三井住友VISAカードのVpassのCORSの実装がおかしい件

私は三井住友VISAカードを使っている。理由としては

  • 知名度が高いだけあり、ユーザーサポートなどが充実している
  • 三井住友銀行を前から使っているので、三井住友銀行でカード料金を支払うと『SMBCポイントパック』というサービスの対象になり、ATMの手数料などで特典を得られる
  • 三井住友VISAゴールドカードが欲しいが、自分のようなWeb系に就職した人間の場合、三井住友VISAゴールドカードを得る方法が、大学生の内に三井住友VISAデビュープラスカードを契約して実績を積む以外ないと思った

なのだが、不満がないわけではない。VpassというWebでカードの明細を確認するサービスがあるのだが、このサービスが昔から微妙でずっと改善されていない。

これはこれで改善して欲しいのだけど(以前証明書の件だけ問い合わせで改善のお願いをしたところ、作業中との回答を得ていた)、先ほど使ったらとりあえず証明書はSHA256になっていた。

しかし見ていると変な表示が出ていることに気付いた。

f:id:catatsuy:20160812190149p:plain

安全でないスクリプトを読み込むとmixed contentsになり、Chromeから危険なサイトだと警告された。少し見てみたところ、どうもCORS周りに誤りがありそうだった。

developer.mozilla.org

MDNは日本語訳もある。

詳しい理由はよく分からないが、クレジットカードの決済情報を扱っているのでセキュリティには気を払って欲しいなという気持ち。

お問い合わせで言ってもいいのだけど、ちゃんと取り合ってくれるのかよく分からないし、多分ただの実装ミスなので即セキュリティに問題があるかというと微妙。

CORSは個人的に好きな技術でもあるので、みんなが正しく扱う未来が見たい。