パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

英国のカード関連業界団体、ケンブリッジ大学の学生論文を検閲しようとするも阻止される」記事へのコメント

  • 「カード番号の先頭と末尾だけ残してランダムに数字を入れ替えても、だいたいチェックを通ってしまう」みたいな研究?
    • Re: (スコア:3, 参考になる)

      リンク先より引用:

      According to the report, by means of a man-in-the-middle attack, it is possible to fool the terminal into thinking that the card has accepted the PIN entered and the card into thinking that the terminal has switched back to signature verification. The payment is then authorised as normal and the terminal prints out a receipt with the words "Verified with PIN".

      カードと端末の間でMITMして、端末機側には「正しく認証されました!」って言って、カード側には「署名(多分電子署名じゃなくて手で書く署名)

      • Re: (スコア:2, 参考になる)

        by Anonymous Coward

        開発中の案件にて、とってもよく似た脆弱性があるのに気づいたんだけ
        ど、予算と日程と偉い人からの指摘却下によりそのままになってるんだ
        よな~。ま、ハックしたって誰にも大した利益にならないから大丈夫だ
        ろうけど。
        結局、製造に入る前の検証が甘かったからなんだけど、前工程って時間
        とお金ってくれないんだよね~。
        しかも、後工程でどんどん追加変更されちゃうし。

        #問題が起きたときにはその時の偉い人はいないことがおおいってのも
         また問題。

        • by Anonymous Coward on 2010年12月30日 11時39分 (#1881756)
          ISO 9000sって、そのような際に元のエラい人に首をくくらせるためにあるのでは?
          親コメント
          • by Anonymous Coward

            > ISO 9000sって、そのような際に元のエラい人に首をくくらせるためにあるのでは?

            んなもん、役にたたんです。
            ・偉い人が率先してISO9000(正確には自分たちで決めている品質保証体系)を
             無視して行動している。もっと偉い人は「ちゃんと守ってね(はぁと)」って
             言うだけだし。
            ・さすがに品質記録を持ち出して全面対決するほどの顕在化した問題はそうそう
             おきない。

            • by Anonymous Coward

              ISOって元請け視線からみると、そういう下請けの技術屋さんやラインの諸々を下請けのエラい人を通じて上からコントロールできるようにするツールですから、諦めて下さい。

              国内で手を突っ込んでくるのは大手数社しかないですが、ヨーロッパ系列に足を踏み入れると歩留の高さ、トレーサビリティの確かさと製品および品質改善のロードマップその他もろもろ品質管理体制までベンチマーキングの対象にされて導入前から導入後、導入後も定期的に監視対象に置かれたりするそれなりにえぐいシステムに変わります。

              その代わりに見返りもちゃんと出るので何ヶ所も突っ込むと経営者も意味がわかってくるんですけどね。

Stableって古いって意味だっけ? -- Debian初級

処理中...