新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ：“典型的やられサイト”で学ぶセキュリティのワナ（2/3 ページ）

[谷井将人，ITmedia]

荒井が組んだコード

上野　おぉ〜〜これは……やばいね。

荒井　やばいですか。

上野　うん。いや、一人でここまで実装できるのはすごいよ。でもかなり危ない箇所があるから、そこを直していこう。

荒井　そんなにですか。

上野　まぁ初めのうちはよくあるよ。じゃあ問題点を洗い出してみようか。

上野　まずは簡単なところから。パスワード入力欄なんだけど、これ入力したパスワードがそのまま見えるようになってるよね。例えば、この画面を第三者に見られたら簡単にIDとパスワードを見られちゃう。

パスワードが丸見え

荒井　確かに……

上野　他のWebサイトとかを見ると分かると思うけど、一般的にはパスワード入力欄は何を入力しても伏字を表示するのが普通かな。

荒井　アスタリスク（＊）になってるのをよく見ます。それで「パスワードを表示する」という項目にチェックを入れると文字列を確認できるとか。

上野　うん。そうすれば誰も見ていないのを確認してからパスワードをチェックできるからね。

上野　で、次。例えば存在しないIDをテキトーに入力してログインしてみると「そのユーザーは登録されていません」って表示されるよね。これだと攻撃者に与える情報がちょっと増えてしまう。

「そのユーザーは登録されていません」

荒井　あ！　存在しないことがばれちゃうんですね。

上野　そう。そのIDについては調べなくてもよくなる。いろいろ議論されていて絶対にそうとはいえないけど、一般的には攻撃者に与える情報が極力増えないように「IDまたはパスワードが違います」と表示するのがいいとされている。

荒井　どっちが違うのかをぼかして伝えるんですね。