アカウント名:
パスワード:
その先のカード会社のサーバで確認するんでしょそっちもぶっ通しなのかな?セキュリティが売り物のカード会社にしてはザルい気がするな
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。
# 3Dセキュア必須にするとかはできるけど
クレカに限らず決済システムはそう言うもんですねー。クレカ経由の場合は保証が一応付いてるし色んな規制が良くも悪くもあるので、悪いことしたら捕まるし保証もされるけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
PayPayの仕組みは知らんが (スコア:2)
その先のカード会社のサーバで確認するんでしょ
そっちもぶっ通しなのかな?
セキュリティが売り物のカード会社にしてはザルい気がするな
Re: (スコア:3)
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
Re: (スコア:2)
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?
裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。
# 3Dセキュア必須にするとかはできるけど
Re:PayPayの仕組みは知らんが (スコア:0)
クレカに限らず決済システムはそう言うもんですねー。
クレカ経由の場合は保証が一応付いてるし色んな規制が良くも悪くもあるので、悪いことしたら捕まるし保証もされるけど。