アカウント名:
パスワード:
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?継続課金とか繰り返し買い物して貰うため?でもトラッキングコードでできるんですよね?なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。マゾなのかな。
ということもあり楽天しか使わなくなったよ
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
ASPはすべてこれですね。ソフトクリエイトhttp://www.ecbeing.net/ [ecbeing.net]もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
疑問 (スコア:1)
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?
継続課金とか繰り返し買い物して貰うため?
でもトラッキングコードでできるんですよね?
なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。
マゾなのかな。
Re: (スコア:0)
ということもあり楽天しか使わなくなったよ
Re: (スコア:0)
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
Re: (スコア:1)
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、
それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。
今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、
まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。
HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
Re: (スコア:1)
ASPはすべてこれですね。ソフトクリエイト
http://www.ecbeing.net/ [ecbeing.net]
もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。
どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。
他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
Re:疑問 (スコア:0)
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。
特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、
もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、
どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。