アカウント名:
パスワード:
意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。
極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。
被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。
そもそも憶測だけで批判することが愚かなことです
「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありませんそういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう
発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
保存する仕様だったとは限らない (スコア:4, すばらしい洞察)
意外と知らない人が多いのかな。保存が禁止されているCVVが流出するのは保存されていたからだ、CVVを保存するのはおかしい、と指摘する人はしばしばいますが、この手の流出はサーバに入られて入力内容を外部送信するよう決済ページを改竄されることで起きます。なので元からCVVを保存する仕様だったかどうかとか、データベースに何が保管されていたかは必ずしも関係ないです。
極端な話、必要な情報が抜けているなら攻撃者側で入力欄を書き加えてあげればいいわけですから。
Re: (スコア:1)
被害にあった会社も、ただ「不正アクセスを受け情報が流出した」(これ以上は、言えません)としか発表するのではなく、
もう少し説明をすれば余計な憶測をされなくて済むし、結果としては自分達への余計な(余分な?)批判も防げるのに。
Re:保存する仕様だったとは限らない (スコア:0)
そもそも憶測だけで批判することが愚かなことです
「今後の対策をどうするか」というタイミングで不正アクセスの詳細も発表したほうがよいと思いますが、「発生の事実」の発表においては経緯はあまり関係なく、結果さえ分かれば問題ありません
そういった詳細な調査を行えば、ほかのコメントで指摘されている通り発表がさらに遅れるでしょう
発表はより迅速な方がいいはずですが、こういう無駄な批判のせいで企業側もある程度情報がまとまるまで発表しない方がよい、と判断してしまうことにもつながりかねないので、むしろそういう余計な憶測をする人たちを批判すべきです