■認証の済んでないメールアドレスに個人情報を含んだメールを送るな

自分はメールアドレスが短いので、よく間違いメールが来るんだけど、立て続けに二件問題のあるメールが来たので、ここに問題点を書いておく。ここに書いて意味があるかどうか知らないけど。

二件ともファッション関係だったのだけど、通販サイトに登録した際に誤って、俺のメールアドレスを登録してしまったようで、「登録しました」みたいなメールが来た。どちらにも、氏名、住所、電話番号、さらにはパスワードがきちんと書かれていた。こんなことされたら、俺が情報いじり放題。クレジットカードまでサイトに登録していたら、俺が買い物し放題になっちゃう。

対策は、

1. 登録完了の通知メールを出す際は、氏名以外は書かない(そもそもいるのかという気もするが)
2. それ以上の情報を含むメールを送信する必要のある際は、よくあるランダムなURLで一度メールアドレスの認証を行うこと
3. 認証を行う際も、URLを踏ませるだけでなく、最低一度本人しか知らないパスワードを入力させるなど、別の情報を使うこと

でないと、マジで問題大きい。これによる被害って、表に出てないだけで、結構あるんじゃないか。

あと、登録完了のメールを送る際は、誤ったメールを送った場合の対応をきちんと書いてほしい。一件は修正してもらったけど、もう一件はメールアドレスがないので、まだ修正てないまま。おかげで、すでに買い物を確認するメールが来ていて、その人、買い物を完了できてない。忙しいので、電話するとか勘弁。間違ったことが発覚した後だって、「破棄してください」なんて、俺はともかく、悪人には通用しないかんね。

どんなシステムでも、パラノイアックなセキュリティマニアを一人置かないとだめだって。

Permalink | 記事への反応(0) | 23:29

ツイートシェア