アカウント名:
パスワード:
だいたい決済に必要なすべての情報を店が保管・管理するっていう仕組み自体に無理があるよ。セキュリティもルールも守られるわけもないし、そんなの期待するのが悪い。
クレカ会社がこういう現行の仕組みを捨てさせる方向にもってかないといけない。クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させるべき。
件のストアがどういう仕組みを採用してたかは分からないけど、ストア側のサイトが改ざん可能という前提だと、
> クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させる
という方法ではいずれにしろ「飛ばす」部分を改ざんすることで情報詐取は可能。過去に実例もあったはず。
3Dセキュアの導入も必須だな
3Dセキュアは、カードを物理的に拾ったり盗んだり盗み見たり、セキュリティコードの総当りで破られないための対策だから、今回のような漏洩の対策にはならない。プロキシ型フィッシングに多要素認証が対策にならないのと同じ理屈。
クレカ会社本体が直々に決済サービスやってくれりゃあ既にそのクレカ会社がユーザーのカードを管理してくれてるはずだから「あなたが持ってるカードってこれですよね。どれ使います?」とユーザーに選ばせるだけでよくてユーザーはクレカ番号をポチポチと手入力する必要ないはずで勝手な釣りページに誘導されてもユーザーは「は?自分のカード無いじゃん」ってなるだけと思うけど誰しもが考える事だろうけど実現してないって事は、なんか落とし穴あんのかな・・・
でもあれか。そういう仕組みを整えても、釣りページの中で「カード番号とセキュコード入力してくださいwうひひw」と書かれてあったら半分くらいの人は「へえ?そうなん?じゃあ・・」と疑わずに入力しちゃって、結局あまりいいもんじゃない、というオチなのかな。
言いたいことはわからんでもないが、世の中にクレジットカードを発行してる会社がどんだけあると思ってるんだ
実は自分も色んな会社さんのECサイト構築する仕事を生業にしてて決済代行サービスさん利用させてもらってるんだけど改めてドキュメント見てみると、カード会社大量にあるのね。。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
またセキュリティコード流出w (スコア:-1)
だいたい決済に必要なすべての情報を店が保管・管理するっていう仕組み自体に無理があるよ。
セキュリティもルールも守られるわけもないし、そんなの期待するのが悪い。
クレカ会社がこういう現行の仕組みを捨てさせる方向にもってかないといけない。
クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させるべき。
Re:またセキュリティコード流出w (スコア:0)
件のストアがどういう仕組みを採用してたかは分からないけど、ストア側のサイトが改ざん可能という前提だと、
> クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させる
という方法ではいずれにしろ「飛ばす」部分を改ざんすることで情報詐取は可能。過去に実例もあったはず。
Re: (スコア:0)
3Dセキュアの導入も必須だな
Re:またセキュリティコード流出w (スコア:1)
3Dセキュアは、カードを物理的に拾ったり盗んだり盗み見たり、セキュリティコードの総当りで破られないための対策だから、今回のような漏洩の対策にはならない。プロキシ型フィッシングに多要素認証が対策にならないのと同じ理屈。
Re: (スコア:0)
クレカ会社本体が直々に決済サービスやってくれりゃあ
既にそのクレカ会社がユーザーのカードを管理してくれてるはずだから
「あなたが持ってるカードってこれですよね。どれ使います?」とユーザーに選ばせるだけでよくて
ユーザーはクレカ番号をポチポチと手入力する必要ないはずで
勝手な釣りページに誘導されてもユーザーは「は?自分のカード無いじゃん」ってなるだけと思うけど
誰しもが考える事だろうけど実現してないって事は、なんか落とし穴あんのかな・・・
でもあれか。
そういう仕組みを整えても、釣りページの中で「カード番号とセキュコード入力してくださいwうひひw」と書かれてあったら
半分くらいの人は「へえ?そうなん?じゃあ・・」と疑わずに入力しちゃって、結局あまりいいもんじゃない、というオチなのかな。
Re: (スコア:0)
言いたいことはわからんでもないが、世の中にクレジットカードを発行してる会社がどんだけあると思ってるんだ
Re: (スコア:0)
実は自分も色んな会社さんのECサイト構築する仕事を生業にしてて
決済代行サービスさん利用させてもらってるんだけど
改めてドキュメント見てみると、カード会社大量にあるのね。。。