アカウント名:
パスワード:
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?継続課金とか繰り返し買い物して貰うため?でもトラッキングコードでできるんですよね?なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。マゾなのかな。
事故後は保管しないようにシステム変更できてるんだしねえ。
絶対衝突しない一方向性関数が有ればねぇ
どういうこと?
ハッシュの空間のほうを常に十分に広く取るようにすれば、不可逆で衝突しない関数は作れそうな気がします。その場合、一対一じゃないので、暗号とはならないんじゃないかと。
私もそういうのほしいと思います。
秘密鍵破棄して、公開鍵で暗号化すれば、それっぽいですよねぇ。何の意味があるかは分からないけど。
でも、クレカ程度の情報量なら、あっという間にハッシュ辞書が完成してしまいますね。
別の情報も一緒に暗号化するとか、仮想化使って別環境で暗号化することで鍵の流出を防ぐとか、クレカ番号だけ変えての暗号化を制限するとか?いや、まぁ、どうするか、良く分かってないけども。
そんなのがあったとして、クレジットカード番号にどのように適用するの?
ということもあり楽天しか使わなくなったよ
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
ASPはすべてこれですね。ソフトクリエイトhttp://www.ecbeing.net/ [ecbeing.net]もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。あれってもう終わったのかな?
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]よゆうで漏れてるっつーの
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
楽天って楽天自体が悪用してるようなもんだろ…昔から色々やらかしてるし信用出来ない
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。Amazonも同じ。
自分もそれが一つ。あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
amazonが信用できるかは置いといて……amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは決済とは別にして当然ではあるが。
楽天、確かにお漏らしはしないけど、不正利用という観点からは未だに、3Dセキュアどころか、セキュリティコードすら不要な状況をどうにかして欲しいと思います。そりゃ、保険で保証はされるけどさ…。
セキュリティーコードとかいうゴミはともかく、3Dに関してはカード会社の怠慢が全て。
大手イシュアでも、3D登録されているカードは全体の20%程度しか無い。リスクを担保できるなら、3D使わない方が当然売り上げが上がるので、Amazonとか楽天はガン無視しているわけです。
3Dセキュア使ったところで、クレカ番号は店側にわたるから意味ない。
流出したカード番号が認証に対応しない楽天で使われやすいと言う話だから、クレカ番号がわたるとかは関係無い
3Dセキュアって店側にはメリットがあっても、購入者側には何のメリットもないだろ。
手間がかかるだけ害悪ですらある。
店にも大してメリットなくて、イシュアだけにメリットがあるんですよ。そりゃ普及しません。3Dセキュア自体なんというか、ダサい方式だけど、どうしても普及させたければ料率を大幅に優遇するとか、何らかの策が必要じゃないでしょうか。
俺には関係ねえからと言う一方的な思い込みで犯罪抑止を批判する奴はクソ
全ての店、とまでは言わなくても、ほとんどの店で3Dセキュアに対応しないかぎり、犯罪抑止にはなりませんよ?
>3Dセキュアあの知らないドメインのサイトに飛ばされてそこでパスワードを入力するって作りはなんとかならんかったのかdnp-cdms.jpとか知らねーよそこはユーザが使ってるカードの会社のドメインでやれよ
NSA 「呼んだ?」
他の類似事例なんか調べないか、漏れても大したことがないとこの期に及んで高をくくっているか、うちだけは大丈夫という謎の自信に満ち溢れているか、はたまたそもそもクレカ情報が漏れると言うことの意味が理解できないか、そんなところではないでしょうか?
「愚者は経験に学び、賢者は歴史に学ぶ」というように、こういう人たちは自分が痛い目に合わない限り、理解できないのでしょう。
厨二病なコメントですね
決済代行会社によって呼び方は違うけど、決済代行会社に預けたカード番号を使って決済するための紐付けコードはもらえるから、システムさえ作れば余裕で出来る
Amazonみたいに次回以降は入力不要にするなら店側がカード情報を保持することにはなるね
ならない。良く読めよ。店舗側は紐付けコードと、紐付け用のカード番号の一部(多くは下4桁とか)だけ持っていれば、次回以降はカード番号を入力せずとも、店舗側で保管しておいた紐付けコードで決済できる。
>店舗側は紐付けコードと、紐付け用のカード番号の一部(多くは下4桁とか)だけ持っていれば、
それは決済代行会社によって異なる
> それは決済代行会社によって異なる細かい仕様は違うけど、有名どころは大体できるぞP社もS社もV社もG社もE社も出来るむしろ出来ない決済代行会社を教えて欲しいぐらいどこだよそのショボい会社
ユーザーにも同じ事が言えますかねえ。
#クレカ決済は最後の手段、可能ならワンタイムデビットで
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
疑問 (スコア:1)
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?
継続課金とか繰り返し買い物して貰うため?
でもトラッキングコードでできるんですよね?
なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。
マゾなのかな。
Re:疑問 (スコア:2)
事故後は保管しないようにシステム変更できてるんだしねえ。
Re: (スコア:0)
絶対衝突しない一方向性関数が有ればねぇ
Re: (スコア:0)
どういうこと?
Re: (スコア:0)
Re:疑問 (スコア:1)
ハッシュの空間のほうを常に十分に広く取るようにすれば、不可逆で衝突しない関数は作れそうな気がします。
その場合、一対一じゃないので、暗号とはならないんじゃないかと。
私もそういうのほしいと思います。
Re: (スコア:0)
秘密鍵破棄して、公開鍵で暗号化すれば、それっぽいですよねぇ。
何の意味があるかは分からないけど。
Re: (スコア:0)
でも、クレカ程度の情報量なら、
あっという間にハッシュ辞書が完成してしまいますね。
Re: (スコア:0)
別の情報も一緒に暗号化するとか、仮想化使って別環境で暗号化することで鍵の流出を防ぐとか、クレカ番号だけ変えての暗号化を制限するとか?
いや、まぁ、どうするか、良く分かってないけども。
Re: (スコア:0)
そんなのがあったとして、クレジットカード番号にどのように適用するの?
Re: (スコア:0)
ということもあり楽天しか使わなくなったよ
Re: (スコア:0)
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
Re:疑問 (スコア:1)
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、
それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。
今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、
まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。
HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
Re:疑問 (スコア:1)
ASPはすべてこれですね。ソフトクリエイト
http://www.ecbeing.net/ [ecbeing.net]
もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。
どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。
他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
Re: (スコア:0)
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。
特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、
もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、
どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
Re:疑問 (スコア:1)
今回問題になったような小さい店舗直接よりはセキュリティ的にマシな可能性は高いかと。
当時、結構騒がれたんだけど、それを逆手にとって文句の出にくい状態で店からカード決済の権限奪って
外にはこれからは安心をアピールしつつ、きっちり収益アップや囲い込みにもつなげたというやり手ぶり。
ピンチをチャンスにかえたと一部アナリストさんたちからもとても好評でしたとさ。
見事な焼け太りとぶりに感心したから、なんとなく覚えてた。
まあ今もその時のままかはわからんけどね。
ただなんか問題があっても履歴で手繰りやすいだけでも大手は有利だとは思う。
数ヶ月前の買い物を何処で買ったかなんて覚えてる人は少ないだろうし。
Re: (スコア:0)
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。
あれってもう終わったのかな?
Re:疑問 (スコア:1)
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]
よゆうで漏れてるっつーの
Re: (スコア:0)
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
Re: (スコア:0)
楽天って楽天自体が悪用してるようなもんだろ…
昔から色々やらかしてるし信用出来ない
Re: (スコア:0)
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。
Amazonも同じ。
Re: (スコア:0)
自分もそれが一つ。
あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。
あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。
でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。
ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
Re: (スコア:0)
amazonが信用できるかは置いといて……
amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは
決済とは別にして当然ではあるが。
Re: (スコア:0)
楽天、確かにお漏らしはしないけど、不正利用という観点からは未だに、3Dセキュアどころか、セキュリティコードすら不要な状況をどうにかして欲しいと思います。そりゃ、保険で保証はされるけどさ…。
Re: (スコア:0)
セキュリティーコードとかいうゴミはともかく、3Dに関してはカード会社の怠慢が全て。
大手イシュアでも、3D登録されているカードは全体の20%程度しか無い。
リスクを担保できるなら、3D使わない方が当然売り上げが上がるので、
Amazonとか楽天はガン無視しているわけです。
Re: (スコア:0)
3Dセキュア使ったところで、クレカ番号は店側にわたるから意味ない。
Re: (スコア:0)
流出したカード番号が認証に対応しない楽天で使われやすいと言う話だから、クレカ番号がわたるとかは関係無い
Re: (スコア:0)
3Dセキュアって店側にはメリットがあっても、購入者側には何のメリットもないだろ。
手間がかかるだけ害悪ですらある。
Re:疑問 (スコア:1)
店にも大してメリットなくて、イシュアだけにメリットがあるんですよ。
そりゃ普及しません。
3Dセキュア自体なんというか、ダサい方式だけど、
どうしても普及させたければ料率を大幅に優遇するとか、何らかの策が必要じゃないでしょうか。
Re: (スコア:0)
俺には関係ねえからと言う一方的な思い込みで犯罪抑止を批判する奴はクソ
Re: (スコア:0)
全ての店、とまでは言わなくても、ほとんどの店で3Dセキュアに対応しないかぎり、
犯罪抑止にはなりませんよ?
Re: (スコア:0)
>3Dセキュア
あの知らないドメインのサイトに飛ばされてそこでパスワードを入力するって作りはなんとかならんかったのか
dnp-cdms.jpとか知らねーよ
そこはユーザが使ってるカードの会社のドメインでやれよ
Re: (スコア:0)
NSA 「呼んだ?」
Re: (スコア:0)
他の類似事例なんか調べないか、漏れても大したことがないとこの期に及んで高をくくっているか、うちだけは大丈夫という謎の自信に満ち溢れているか、はたまたそもそもクレカ情報が漏れると言うことの意味が理解できないか、そんなところではないでしょうか?
「愚者は経験に学び、賢者は歴史に学ぶ」というように、こういう人たちは自分が痛い目に合わない限り、理解できないのでしょう。
Re: (スコア:0, 荒らし)
厨二病なコメントですね
Re: (スコア:0)
できるんですか?
Re:疑問 (スコア:1)
決済代行会社によって呼び方は違うけど、決済代行会社に預けたカード番号を使って決済するための紐付けコードはもらえるから、システムさえ作れば余裕で出来る
Re: (スコア:0)
納得です。
paypalで決済するならpaypalがやられなければ安心みたいなもんか。(paypalは別件で話題になってはいるけど)
Re: (スコア:0)
Amazonみたいに次回以降は入力不要にするなら
店側がカード情報を保持することにはなるね
Re: (スコア:0)
ならない。良く読めよ。
店舗側は紐付けコードと、紐付け用のカード番号の一部(多くは下4桁とか)だけ持っていれば、
次回以降はカード番号を入力せずとも、店舗側で保管しておいた紐付けコードで決済できる。
Re: (スコア:0)
>店舗側は紐付けコードと、紐付け用のカード番号の一部(多くは下4桁とか)だけ持っていれば、
それは決済代行会社によって異なる
Re: (スコア:0)
> それは決済代行会社によって異なる
細かい仕様は違うけど、有名どころは大体できるぞ
P社もS社もV社もG社もE社も出来る
むしろ出来ない決済代行会社を教えて欲しいぐらい
どこだよそのショボい会社
Re: (スコア:0)
ユーザーにも同じ事が言えますかねえ。
#クレカ決済は最後の手段、可能ならワンタイムデビットで