久しぶりに見てみたら、サイトがリニューアルされていた。以前からユーザアカウントがあるので、ログインしてみたが・・・Nortonに止められる。
ログインフォーム等が基本的にSSLになっていないので、ログインに使う電子メールアドレスをNortonがブロックしているのだが、これはつまり同時に送るパスワードもそのまま流れているということ。確認してみたが、特に手前で何か操作することもない様子。*1
ページにhttpsプロトコルでアクセスしてSSLを使ったログインすることは可能*2だが、今度はページの各要素を表示する度に電子メールアドレスを送信しているという警告が。調べてみると、暗号化を指定していないCookieに電子メールアドレスがそのまま記載されている。ページをまともに表示することが出来ない*3ので、サイトに意見を送っておいた。
少なくとも、ログイン部分の記述は大問題であろう。そもそも、画面にメールアドレスが表示されているし、ログイン後はhttpsで通信するのが適切だ。