アカウント名:
パスワード:
だいたい決済に必要なすべての情報を店が保管・管理するっていう仕組み自体に無理があるよ。セキュリティもルールも守られるわけもないし、そんなの期待するのが悪い。
クレカ会社がこういう現行の仕組みを捨てさせる方向にもってかないといけない。クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させるべき。
件のストアがどういう仕組みを採用してたかは分からないけど、ストア側のサイトが改ざん可能という前提だと、
> クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させる
という方法ではいずれにしろ「飛ばす」部分を改ざんすることで情報詐取は可能。過去に実例もあったはず。
3Dセキュアの導入も必須だな
3Dセキュアは、カードを物理的に拾ったり盗んだり盗み見たり、セキュリティコードの総当りで破られないための対策だから、今回のような漏洩の対策にはならない。プロキシ型フィッシングに多要素認証が対策にならないのと同じ理屈。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
またセキュリティコード流出w (スコア:-1)
だいたい決済に必要なすべての情報を店が保管・管理するっていう仕組み自体に無理があるよ。
セキュリティもルールも守られるわけもないし、そんなの期待するのが悪い。
クレカ会社がこういう現行の仕組みを捨てさせる方向にもってかないといけない。
クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させるべき。
Re: (スコア:0)
件のストアがどういう仕組みを採用してたかは分からないけど、ストア側のサイトが改ざん可能という前提だと、
> クレカ会社本体で決済させるか、きちんとクレカ会社が監視・認定してる決済業者に飛ばしてそっちで決済させる
という方法ではいずれにしろ「飛ばす」部分を改ざんすることで情報詐取は可能。過去に実例もあったはず。
Re:またセキュリティコード流出w (スコア:0)
3Dセキュアの導入も必須だな
Re:またセキュリティコード流出w (スコア:1)
3Dセキュアは、カードを物理的に拾ったり盗んだり盗み見たり、セキュリティコードの総当りで破られないための対策だから、今回のような漏洩の対策にはならない。プロキシ型フィッシングに多要素認証が対策にならないのと同じ理屈。