ログアウトしても個人情報が出て来て驚いた

メールアドレス変更のためにJustSystemのユーザ登録情報をいじっていたら、ログアウトしたのに個人情報の編集画面が普通にでてきてちょっと驚き。マジか!?って声を出して席を立っちゃった。

再現の手順を何度か確認してみたのでメモってみる。条件も限定的だし驚くほどの事でもないのかもだけど、ありがちな「戻る」ボタンを押したアレとも違うし、自分としてはちょっと気になったので備忘録だ。

まず、JUST MY SHOPにアクセス。

JUSTアカウントにてログイン。
これが新しいシングルサインオンサービスの認証画面ね。

ログインできると説明通りのオレンジのサイドメニューな画面に。

「その他のご登録内容の変更」を選び、JystMyShopお客様カウンターへ。

「アカウント情報の確認・変更」を選び、JUSTアカウント登録情報へ。

「製品登録内容の確認」を選ぶと、別ウィンドウで購入一覧が表示される。

別ウィンドウの購入一覧を閉じて、JUSTアカウント登録情報から「戻る」をするとJystMyShopお客様カウンターに戻るので、JustMyShopから「ログアウト」する。

ココ迄はJustMyShopのアカウント編集画面からのアプローチ。

この後はカスタマー向けのユーザー画面からのアプローチ。

手打ちでも良いけど私はブックマークから、オンライン登録サービスという見出しのついた「ユーザ登録」というタイトルのページ(笑)を呼び出す。JUSTSYSTEMのトップから「個人のお客様」を選んでも「ユーザー登録」はあるし、サイトマッブの「ユーザー登録」でも行けるのでお好きな方法で。

「登録内容変更」を選び、確認画面へ。

「次へ」でログアウトしたはずのアカウントの個人情報がばっちり出てきて書き換えも可能。

とまあこんな感じ。

これはつまり、JustMyShopからはログアウトしたけどJustアカウントからはログアウトしてないって事? それなら確かに正しいのかもだしセキュリティとしても問題ないとも言えるかもしれないし仕様と言われればそれまでかもしれない。

だとしたら、Justアカウントからのログインは別にするとかここにもログアウトボタンをどこかにおくか、ユーザービリティとしては悪い方向だけどそのほうが自然な感じがするかなぁ。

というか、シングルサインオンじゃなかったのか。シングルサインオフは別概念なのか。ワンストップっぽいアピールだったのをシングルサインオンと混同したのは確かに私のアレかもだけど、なんつうか、生理的に受け付けなかった。

一応、Safariではブラウザを終了してから再度登録内容変更をしようとするとちゃんとログイン認証になったけど。

JustMyShopにログインしただけなのに、「しっかり」ブラウザを終了しない限りはJustアカウントのセッションが完全に終了してないのは、色々と懸念が残るなぁ。

スリープ終了を基本にしたりとかブラウザを立ち上げっぱなしの人だと特にね。たぶん、Ie等のセッションを保持するオプションが有効なブラウザだと終了しても同じかもしれない気がする。試してないのでわからないけど。

まあ、アマゾンなんかサインインしっぱなしの人が多いから、気にならないのかな。私はいつもサインアウトしているけど、神経質しぎるんかね? (^_^;