三井住友VISAカードのVpassのCORSの実装がおかしい件
私は三井住友VISAカードを使っている。理由としては
- 知名度が高いだけあり、ユーザーサポートなどが充実している
- 三井住友銀行を前から使っているので、三井住友銀行でカード料金を支払うと『SMBCポイントパック』というサービスの対象になり、ATMの手数料などで特典を得られる
- 三井住友VISAゴールドカードが欲しいが、自分のようなWeb系に就職した人間の場合、三井住友VISAゴールドカードを得る方法が、大学生の内に三井住友VISAデビュープラスカードを契約して実績を積む以外ないと思った
なのだが、不満がないわけではない。VpassというWebでカードの明細を確認するサービスがあるのだが、このサービスが昔から微妙でずっと改善されていない。
— バンジー (@catatsuy) 2015年12月6日
三井住友VISAカードのWebページの証明書の話です
— バンジー (@catatsuy) 2015年12月6日
三井住友VISAカードのWebサイト、パスワードも短いものしか設定出来ないし、本当にどうなっているんだ
— バンジー (@catatsuy) 2015年12月6日
これはこれで改善して欲しいのだけど(以前証明書の件だけ問い合わせで改善のお願いをしたところ、作業中との回答を得ていた)、先ほど使ったらとりあえず証明書はSHA256になっていた。
三井住友VISAカードのサイト、SHA128からSHA256になっててめでたい!
— バンジー (@catatsuy) 2016年8月12日
しかし見ていると変な表示が出ていることに気付いた。
三井住友VISAカードのサイトがSHA256になってめでたいと思ったけど、普通にプログラムにミスがあるみたいですごく残念な感じになってる
— バンジー (@catatsuy) 2016年8月12日
安全でないスクリプトを読み込むとmixed contentsになり、Chromeから危険なサイトだと警告された。少し見てみたところ、どうもCORS周りに誤りがありそうだった。
https://t.co/m2EEBT5Me0 のJSON APIをCORSで叩くためにOPTIONSリクエストを送っているのだけど、そこで405 Not Allowedが返ってきてる
— バンジー (@catatsuy) 2016年8月12日
無理矢理実行すると、どこかのAPIがhttpのURLにリダイレクトするみたいでmixed contentsになる
— バンジー (@catatsuy) 2016年8月12日
某社にCORSの実装間違えているから直してくださいってMDNのURLまで貼り付けて連絡したのに、結局直してくれなかったし、一般的に難しいと認知されているのかな?
— バンジー (@catatsuy) 2016年8月12日
MDNは日本語訳もある。
CORSが必要となるのって、いろんな一定規模以上のサービスを提供している、一定規模以上の企業に限られるので一般的な技術ではないというのは分かる
— バンジー (@catatsuy) 2016年8月12日
CORSについて知りたい方におすすめの記事 / CORSでハマったことまとめ - pixiv inside https://t.co/NIkGhkKNIo
— バンジー (@catatsuy) 2016年8月12日
詳しい理由はよく分からないが、クレジットカードの決済情報を扱っているのでセキュリティには気を払って欲しいなという気持ち。
お問い合わせで言ってもいいのだけど、ちゃんと取り合ってくれるのかよく分からないし、多分ただの実装ミスなので即セキュリティに問題があるかというと微妙。
CORSは個人的に好きな技術でもあるので、みんなが正しく扱う未来が見たい。