隠れた悪意を感じますよね。
ミキタニ証券にも激震がはしっています。
ミキタニグループはまだスマホ用の認証アプリをリリースできていないので、某競合から3歩くらい遅れています。
パスワードベースの認証システムがヲワコンであるというコンセンサスから何年経過しているでしょうか?
ミキタニグループがテック企業ではないことをまたまたまたまた世間に広めてしまいましたね。
さて、今日はGW返上であわてふためくミキタニ証券のお仕事を増やしておきましょう。
たとえばごみためのアカウントでは通知メールは「配信しない」となっています。
で、「配信する」のラジオボタンをクリックするのですが・・・
→「設定ボタン」がDisableのままwww
え?メインメールじゃだめなんですか?追加でメールを登録するの?
落ち着いてください、ヒントはこれです↓↓↓
→グルグル(スピナー)
つまりこのミキタニ証券の最重要設定と思われる「ログイン通知メール設定」を変更するときは、ページのロードが完全に終了することをユーザーが自らが確認する必要があるということです。
→おまえらドットインストール見て初めてサイト作った大学生か
そうすれば、以下のように、まともに設定が行えます。
ただこれ、「Web画面専用」なんですね。なんの意味もねー!?w
ちなみにですが、ポイント獲得メール設定の設定ボタンは常にEnableです。
→設定ごとにデザインがばらばらという。
ここから透けて見えるのは以下の2ルートです。
- 「ログイン通知メール設定」画面のロードに時間がかかる謎
- まさかここが抜け穴になっていて、「第3者が勝手に通知をオフにできるバグ」があったんじゃね?とゲスの勘繰り
- 設定ボタンをDisableにする必要ある?
- なんでラジオボタンはDisableにしないの?w
ゲスの勘繰りついでに以下も書いておきます。
- 以前からバグとして認識されている
- 問い合わせも多発している
- しかし対応は簡単(Severityは低)
- じゃぁこのまま放置しよう
- そうすれば「サポート対応件数の実績」を水増しできる?
実はそこに抜け穴があってそこを突いた攻撃が成立してたとかいう地獄のしなりおは妄想です。
ツイッキー(直後):
そもそもですが、さいきん(騒動前に)楽天証券で導入されたわんにゃん認証って知ってます?
数字4~8桁の「認証コード」よりも「堅牢」らしいんですけど、ここの開発陣、正気を失っているんじゃないですかね?
巷の声1:メアド変更されたら何の意味もないで
巷の声2:メールの文面駄々洩れサービス(IIJていうなw)使っていたら何の意味もないで
一方、楽天ウォレットの2要素認証は、比較的常識的な対応となっています。
→パスキーと、認証システム(Google Authenticatorとか)
おなじミキタニグループなのに、この差はなんだろう。
SMS認証が廃止される世の中で、わんにゃん認証を2025年に導入するって、いったいどんなスーパーバイザーを雇ったんですかね?
SMSを使った二要素認証、Googleが廃止へ–なぜ? 「実は安全ではない」が業界の常識 – CNET Japan
誰ぞの名言を吐く人も現れそうです。
巷の声3:(大変率直に言って)お嬢様はアホでいらっしゃいますか?(梶プロのイケボで)
