先週くらいにTwitterあたりにメモったけど悪例として書いておく。CAMPFIREというクラウドファンディングのサイトがあって、会員登録しようと、右上の新規会員登録のリンク( https://camp-fire.jp/regists/add )をクリックすると上のような画面に。/regists/add とかいう謎パスとかFacebookのところのheight大きすぎなのは今回はスルーして、Twitter認証でログインを試みる。

で、認証して戻されたページがこれ。メールアドレスはいいとしてもパスワードも入力させようとしてくる。パスワードを預けたくないからTwitterのOAuthでログインしようとしているのに意味を成していないし連携に成功したという情報も画面から得られない。普通に会員登録させてオプションとしてTwitterアカウントの連携とかをするというケースはあると思うけれど、そういう場合は会員登録とかログインの際にTwitter OAuth認証のリンクとか出さないし、登録後のアカウント設定画面とかでやるのが普通なのだけど、どうすればこんな設計に行き着いて今現在も放置されているのか意味が分からない。こういう認証周りがまともに出来てないところにクレジットカード情報預けるの正気ではないし、昭和みたいなCSRF対策を改善しない体質のまま平文パスワード送信のスマートフォンアプリをリリースというヘマをしたKULINEのような事態にいつなってもおかしくない。