haru.fm という話題（に上り気味）なサービスがあって、はてなID、livedoor ID、JugemKeyID、OpenIDでログインできるという意欲的なサービスだと思っていたのだが、そこに「mixi ID でログイン」が。mixiは認証APIなんて無いよ。と、職場で物議を醸した。

ログインページのフォーム

このフォーム、送信すると、mixiのIDとパスワードが、haru.fmに送られてしまう。
「IDとパスワードを（ウチへ）送ってください」とは、フィッシングと同じなので、やめてほしい。*1
実際にログインすると、haru上のニックネームがmixiの会員番号を利用した適当なものになる。おそらく裏側で代理ログインをしてHTMLからmixiの会員番号を取り出しニックネームに使っているのかと想像。

この状況。

• フィッシング「詐欺」ではないのかもしれないが、ユーザを誘導して他所のパスワードを聞き出すという点では同じ。*2
• フィッシングの横行で「パスワードを入力するときはアドレスバーのドメイン名を確認」とさんざん言われているのに、それに逆行することを堂々とユーザに促すとは何ぞ。
• なぜmixiなのか？同じことをするならYahoo!でもなんでもいいように思える。

ブログで書き散らすだけでは何なので、直接メールも書いてみた。

実は、僕も確認せずに実際にmixiのパスワードをharuに送信してしまいました。有名どころでの認証が並んでいて、その中にmixiがあったからつい信用してしまった。自分は大丈夫と思っていたけど、やっぱりフィッシング詐欺に遭う可能性があるな、気をつけよう。