アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうがやらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
それが、サーバ側としては一番簡単な解決法かもれしないですね。ユーザとしては毎回クレジットカード情報を入力しないといけないけど。
毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。
> そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。>> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。
「2クリックで即購入させてウハウハ!」とかいう考えで延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
amazonのことですか?(1-clickだけど)
# ショッピングサイトにカード情報は登録しないようにしてるつもりだけど、amazonだけは登録しちゃってるなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:0)
そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
そのへんはPaypalとかの決済代行使うか、3D-Secure経由で各クレジットカードに直に投げるとかしたほうが
やらかしたときのリスク考えると安全だと思うんだけど。「2クリックで即購入させてウハウハ!」とかいう考えで
延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
それが、サーバ側としては一番簡単な解決法かもれしないですね。
ユーザとしては毎回クレジットカード情報を入力しないといけないけど。
Re: (スコア:0)
毎回入力なんか必要ありませんよ。保存しないで決済代行会社に丸投げするだけです。
パスワードもそうですが、むしろ毎回入力させることでフィッシングやキーロガーやその辺にメモされるなどのリスクが発生するおそれがあります。「○○を行うより行わないほうが無条件に安全」なんてことはめったにないのに思考停止する人が多いのは困ったものですね。
Re: (スコア:0)
> そもそも今は、クレジットカード情報を個別サービス側で保存するのがナンセンスになってきてないかな。
まさにその通りで、毎回入力が必要ないサービスでも通常はバックエンドで決済代行会社に丸投げしています。「個人情報が流出したけどクレジットカード番号は含まれていない」というのはそういうパターンです。ベクターが頭おかしいとしか言いようがない。
>> 個人情報を蓄積していたサーバのシステムを改修し、当該サーバに個人情報が蓄積されないよう変更しました。
1日でこんな変更が簡単にできるんだから、そもそも必要もないのに何らかのミスで蓄積されていたのではないですかね。
Re: (スコア:0)
「2クリックで即購入させてウハウハ!」とかいう考えで延々とカード情報を個人情報と紐付けて抱え込んじゃってるのかなー。特に古いサービスなんかは。
amazonのことですか?(1-clickだけど)
# ショッピングサイトにカード情報は登録しないようにしてるつもりだけど、amazonだけは登録しちゃってるなぁ