アカウント名:
パスワード:
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
私もです。ICカードをつかってる意味がない。というか、felicaのリーダーは一般販売されてるんだから、それを通さないと読み出せない仕組みであれば同じサービスは提供可能。
つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。
クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。(使ったことないけど)
交通系ICカードは、仕様上利用履歴を20件しか保持できません。駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。(駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です
3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。
親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。個人的には、オプトイン方式に変更が一番安全だと思います。
#業界関係者なのにこのシステムの存在を知らなかったのでAC
そもそもとして確かSuicaとかPASOMOって内部にもユニークな番号割り振られてるはずですよバーコード印刷されているのは鉄道各社が割り振ったユニークな番号でICカード自体としてのユニークキーが内部に存在しています。だから、手間でも見たい人はそういうICカードリーダーで内部番号との一致することの確認と窓口での申し込みを作るべきなんですよね
白黒反転のPB~って番号以外に、カード左上に薄っすらと数字とアルファベットで構成された12桁のIDがプリントされています。これがICカードとしてのキーじゃないですかね。
だとすれば、カードを手に取れる人であれば他人のICカードキーも知ることができてしまうので、ICカードのキーを用いる方法もあまりセキュアとは言えないかも。横からのチラ見はちょっと難しそうですが正面からだと意外とくっきり見えますので。
ドライバの ID Read だかのコマンド呼び出すと、券面に印字された番号がそのまま読み出せたはず。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
言ってることはもっともだが… (スコア:2)
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
Re:言ってることはもっともだが… (スコア:1)
Re: (スコア:0)
私もです。
ICカードをつかってる意味がない。
というか、felicaのリーダーは一般販売されてるんだから、
それを通さないと読み出せない仕組みであれば同じサービスは提供可能。
つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。
クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。
(使ったことないけど)
Re:言ってることはもっともだが… (スコア:2, 参考になる)
交通系ICカードは、仕様上利用履歴を20件しか保持できません。
駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。
それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。
(駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です
3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。
親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。
例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。
ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。
個人的には、オプトイン方式に変更が一番安全だと思います。
#業界関係者なのにこのシステムの存在を知らなかったのでAC
Re: (スコア:0)
(つまり、実際に改札が夜間バッチで残額処理してるのと同じ方式)
であれば、可能じゃないかと。
Re: (スコア:0)
そもそもとして確かSuicaとかPASOMOって内部にもユニークな番号割り振られてるはずですよ
バーコード印刷されているのは鉄道各社が割り振ったユニークな番号でICカード自体としてのユニークキーが内部に存在しています。
だから、手間でも見たい人はそういうICカードリーダーで内部番号との一致することの確認と窓口での申し込みを作るべきなんですよね
Re: (スコア:0)
白黒反転のPB~って番号以外に、カード左上に薄っすらと数字とアルファベットで構成された12桁のIDがプリントされています。
これがICカードとしてのキーじゃないですかね。
だとすれば、カードを手に取れる人であれば他人のICカードキーも知ることができてしまうので、ICカードのキーを用いる方法もあまりセキュアとは言えないかも。
横からのチラ見はちょっと難しそうですが正面からだと意外とくっきり見えますので。
FeliCa Reader で (スコア:0)
ドライバの ID Read だかのコマンド呼び出すと、券面に印字された番号がそのまま読み出せたはず。