パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

7payで不正利用被害報告が相次ぐ」記事へのコメント

  • by manmos (29892) on 2019年07月04日 17時55分 (#3645978) 日記

    登録しないと2019年1月1日になるという話も。

    • Re:生年月日 (スコア:4, 興味深い)

      by Anonymous Coward on 2019年07月04日 20時23分 (#3646102)

      いろいろすごいよね
      https://twitter.com/HiromitsuTakagi/status/1146537014520532992 [twitter.com]

      退会理由に改行が入っていると受け付けないらしい
      https://twitter.com/HiromitsuTakagi/status/1146543717781626880 [twitter.com]

      親コメント
    • by nemui4 (20313) on 2019年07月04日 18時23分 (#3646004) 日記

      確か登録しようとしたら「30秒で登録」という表示があったはず。
      「素早く手軽に」というのを第一に開発したんでしょうね。

      セキュリティ第一とか言う人はいなかったのか、排除されたのか。

      親コメント
      • Re:生年月日 (スコア:4, おもしろおかしい)

        by 90 (35300) on 2019年07月04日 18時36分 (#3646010) 日記

        必須にするとApp Store審査落ちするとかなんとか。

        親コメント
      • by Anonymous Coward

        https://www.itmedia.co.jp/news/articles/1907/04/news113_2.html [itmedia.co.jp]
        > これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。

        脆弱性が現にあったからきちんと確認できてないよね

        • Re:生年月日 (スコア:5, すばらしい洞察)

          by nemui4 (20313) on 2019年07月04日 20時20分 (#3646097) 日記

          その執行役員様がセブン&アイの脆弱性みたいですね。

          親コメント
        • by miishika (12648) on 2019年07月04日 21時43分 (#3646173) 日記
          セキュリティ審査のメンバーに情報処理安全確保支援士がいたら、資格停止されるのだろうか。
          そうなると資格自体の信用にも関わるので処分しないかもしれないけど。
          親コメント
          • by Anonymous Coward

            セブン&アイ系列のアプリ作っているところで
            登録されている方が一人いらっしゃいますね

          • by Anonymous Coward

            停止しないと資格自体の信用にかかわるだろ。
            もっともプライバシーマークの再現かもしれんが。

          • by Anonymous Coward

            セキュリティーってリスクとメリットの比較ができなきゃ成り立たない分野じゃん。
            どれくらい重要な情報を扱うかで、必要とされる強度も異なるわけだし。

            で、現状、情報処理安全確保支援士なんて、独占業務も法的権限もないのに、維持に金はかかるわ、何かあったら責任取らされかねないわで、まるでリスクにメリットが見合ってない。
            つまりあんな資格を維持してるようなセンスのない奴に、セキュリティーなんかまかせたら駄目だ。

            # 監査で問題を指摘しても修正させる権限は担保されず、事故ったらスケープゴートになるような資格、罰ゲーム以外の何なんだ。

        • by kmc55 (39216) on 2019年07月05日 8時16分 (#3646345) 日記

          ここでのセキュリティ審査って、たぶん(よくある)使用しているソフトウェアに存在するCVEの該非判定くらいなんだろうなーって。
          だから、自作部分がセキュアか、とかプロセスがセキュアかなんて見てないんでしょう。

          ・・・などと、昨日は擁護してたのですが、struts1らしいとか言う噂が出てて、
          もし本当ならstruts1の脆弱性全部塞げてるとはとても思えないんで、
          ほんとセキュリティ審査って何をやったのか聞きたいところです。

          親コメント
        • by Anonymous Coward

          清水健執行役員が語ってますね
          https://www.ryutsuu.biz/column/k022740.html [ryutsuu.biz]

          • by Sukoya (33993) on 2019年07月05日 11時24分 (#3646486) 日記

            電子決済やネット店舗には信頼性に不安があって、ブラウザのウィンドウなのにウィンドウショッピングは利用し難いという利用者視点の問題点を把握した上で、
            お客様に利便性を提供しようとした結果がご覧のありさまでは……

            親コメント
          • by Anonymous Coward

            ネットとリアルの融合に失敗したんか

    • 生年月日は必須にすべきなのか
      生年月日を答えなかった人はパスワードリセットできなくするのが正解なのか
      教えて詳しいひと

      • 決済方法を入力する時点で必須。入力していない場合決済できずクーポンだけ。

        親コメント
      • by Anonymous Coward

        必須でいいんじゃない?ただのクーポンアプリならともかく、クレジット決済するアプリに生年月日入れるのを拒否する人は少ないっしょ。

        # バージョンアップでクレジット決済アプリになったのに、元々のクーポンアプリの仕様が残ってしまったことが敗因?

      • by Anonymous Coward

        必須にしても任意にしても良いが、生年月日は公開情報なので秘密のセキュリティ要素として使ってはいけない。
        別の観点として未成年による契約行為は親権者同意がなければ反故にできるので、事業者としては生年月日を必須にして未成年を弾くのがベター。

        • by Anonymous Coward

          クレジットカードのコールセンターdisってる

    • by Anonymous Coward

      これ、登録した年の1/1ってことか?

      何年か後にパスワード再設定しようとしたら、いつ(何年に)登録したかわからないから、
      パスワード再設定自体動かないとかなるんじゃないの?

      来年に空白登録しても2019/1/1になるのだろうか

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...