アカウント名:
パスワード:
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?継続課金とか繰り返し買い物して貰うため?でもトラッキングコードでできるんですよね?なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。マゾなのかな。
ということもあり楽天しか使わなくなったよ
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
ASPはすべてこれですね。ソフトクリエイトhttp://www.ecbeing.net/ [ecbeing.net]もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。あれってもう終わったのかな?
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]よゆうで漏れてるっつーの
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
楽天って楽天自体が悪用してるようなもんだろ…昔から色々やらかしてるし信用出来ない
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。Amazonも同じ。
自分もそれが一つ。あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
amazonが信用できるかは置いといて……amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは決済とは別にして当然ではあるが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
疑問 (スコア:1)
大規模な流出事件が何度も報道されているのになぜクレカ情報を保存しようとするのだろうか?
継続課金とか繰り返し買い物して貰うため?
でもトラッキングコードでできるんですよね?
なぜ保存する必要がないばかりか、リスクしかないものを持とうとするのだろうか。
マゾなのかな。
Re: (スコア:0)
ということもあり楽天しか使わなくなったよ
Re:疑問 (スコア:0)
楽天さんはDMが鬱陶しいから避けてるけど、セキュリティ的には良いとこだったりするの?
#私はAmazonさんなら流出しにくいだろうと考えてる…が流出するときはするんだろうな
Re:疑問 (スコア:1)
母体が大きいところはシステム保全への人材やその他コストをケチることのリスクもわかってるから、
それなりに安心してよい、というかするしかない。楽天もAmazonもまぁ大丈夫だろ。
今回の3サイトについては、完全に薄利多売で、社内でやっすい中国人プログラマを使ってシステム改修してるような会社だから、
まぁそこら辺で脆弱性作り込んじゃったんじゃないかな。
HTTPヘッダ見る限り、サーバーはWindows Server 2012 R2っぽいけど、ログインとかカートとかはレガシーASP使ってるようだし、このご時世にレガシーASPで開発しちゃうような連中が作ったプログラムの安全性なんかお察し。
Re:疑問 (スコア:1)
ASPはすべてこれですね。ソフトクリエイト
http://www.ecbeing.net/ [ecbeing.net]
もともと特価COMはソフトクリエイトが運営していた通販サイトだったけどストリームに譲渡されています。
どのあたりの脆弱性かわかりませんが、国内の多数の大手企業もこれを利用していますので、他にも影響があるかもしれません。
他で流出の情報がなければやっぱりここが脆弱性作りこんじゃったのかもしれません。
Re: (スコア:0)
そうそう、ストリームに特価COMを運営もシステムも丸ごと渡して、あとはストリーム社内で開発してる。
特価COMも元々はASP.NETのシステムだから、マイページ系が.aspになってるあたり、
もう完全にストリーム社内で独自の物に作り直して、そこでしょーもない脆弱性を作り込んだ可能性が高い。
というか国内のECパッケージ系はそれなりに規模があるから、EC-CUBEみたいなしょっぼい所でもない限り、
どこもキチンと外部の脆弱性診断とかしてるからそんな酷いことは起きないハズなんだよね。
Re:疑問 (スコア:1)
今回問題になったような小さい店舗直接よりはセキュリティ的にマシな可能性は高いかと。
当時、結構騒がれたんだけど、それを逆手にとって文句の出にくい状態で店からカード決済の権限奪って
外にはこれからは安心をアピールしつつ、きっちり収益アップや囲い込みにもつなげたというやり手ぶり。
ピンチをチャンスにかえたと一部アナリストさんたちからもとても好評でしたとさ。
見事な焼け太りとぶりに感心したから、なんとなく覚えてた。
まあ今もその時のままかはわからんけどね。
ただなんか問題があっても履歴で手繰りやすいだけでも大手は有利だとは思う。
数ヶ月前の買い物を何処で買ったかなんて覚えてる人は少ないだろうし。
Re: (スコア:0)
楽天って一部大手は例外とか言ってジョーシンとかには引き続きクレジット番号出してなかったっけ。
あれってもう終わったのかな?
Re:疑問 (スコア:1)
楽天 カード情報 流出 - ウェブ検索 [fenrir-inc.com]
よゆうで漏れてるっつーの
Re: (スコア:0)
今も7社が「楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」という表記を出しているようです(参考リンク [no-ip.org])。
………その7社のうちECカレントは「店舗の改装中 [rakuten.co.jp]」で閉じてる。
Re: (スコア:0)
楽天って楽天自体が悪用してるようなもんだろ…
昔から色々やらかしてるし信用出来ない
Re: (スコア:0)
正直自分も楽天は信用していないが、図体でかいだけに事故ったときの規模も大きくなるのでクレジット会社等への説明が楽じゃないかと思って使い続けてる。
Amazonも同じ。
Re: (スコア:0)
自分もそれが一つ。
あと、社会的な対応からも迅速が求められるだろうから対応早そうってのと。
あと、森のなかに木というか、多数漏れたら自分のが被害に合うかどうかは運になるかな?とも。
でも一番はなるべくカード番号伝える先は少数で済ませたいから扱いが多い所を選ぶ。
ただ、モール形式は信用してない。amazonもamazon以外の販売は基本避けている。
Re: (スコア:0)
amazonが信用できるかは置いといて……
amazon以外には決済情報は渡らないはずだよ。
ある程度信用できそうなところ以外からは買わないのは
決済とは別にして当然ではあるが。