mixiはパスワード丸見え!

アメーバのハッシュパスワードによるハイジャックが面白かったので、他にもSSLを使わずにログインさせるサービスを探してみました。

SNS大手のmixiのログイン画面をみると、

ありました、ありました!

mixi_pw1.JPG

"SSL(https)はこちら" と書いてあるということは、
何も考えずに普通にログインすると、SSLではなく暗号化されない状態でデータが飛びそうです。

アメーバは、この場合にパスワード自体をMD5で暗号化して送信していましたが、mixiはどんな処理をしているかなっと.....

mixi_pw2.JPG

なんと、mixiのログインは、暗号化しないパスワードをそのまま送信することが標準になっています

mixiのパスワードは丸見え! なのです。

確かに、SSLでのログインが用意されてはいますが、一般の人は、その意味もよく分からず、デフォルトのログインを使うことでしょう。

大変危険なログインだと言えそうです。

mixiユーザのみなさん、必ずSSLログインを使いましょう。

そうしないと、アメーバのケースとは違い、完全にアカウントを乗っ取られます。