アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうがやらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
それが、サーバ側としては一番簡単な解決法かもれしないですね。ユーザとしては毎回クレジットカード情報を入力しないといけないけど。
毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re: (スコア:0)
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうが
やらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで
延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
それが、サーバ側としては一番簡単な解決法かもれしないですね。
ユーザとしては毎回クレジットカード情報を入力しないといけないけど。
Re: (スコア:0)
毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。
パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。