パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

必要性」記事へのコメント

  • セキュリティ専門家の徳丸氏の 2019年のブログ [tokumaru.org]をどうぞ。

    はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。

    大半の事件でセキュリティコードが漏洩している
    上表からわかるように、藤い屋オンラインショップを除いたすべての事件でセキュリティコードが漏洩しています。昨年のまとめも見ていただくとわか

    • いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。

      親コメント
      • by Anonymous Coward

        イコールじゃないけど、パスワードなんかは保存してる例も多いしな。
        (さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)

        保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味で
        ヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。

        • by Anonymous Coward

          落ち度があればいわれのない批判をしていいわけではないよ

        • by Anonymous Coward

          >クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが

          大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが

          • by Anonymous Coward on 2020年10月06日 21時46分 (#3901812)

            >大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
            まともなECサイトは改正割販法施行前からカードの生情報は保存していませんよ
            まともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです
            (トークン+下4桁、有効期限というケースもあり)
            このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます
            一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされています
            そのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・

            余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です

            親コメント
          • by Anonymous Coward

            Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね

            • by Anonymous Coward
              さすがに番号は覚えてないと次回の決済はできないが、それ以外は別に覚えておく必要はない
        • by Anonymous Coward

          Stripe使ってるサイトは確認用で下4ケタだけ表示されてるぞ
          (毎回APIで取ってきて表示して保存してないかもしれないが、サイト内のPDF領収書は載っけてるし)

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...