パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

高木先生、PASMO の「マイページ停止センター」に電凸」記事へのコメント

  • 高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
    そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
    (当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)

    それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー

    • 駅の券売機で出せる明細だけだと思ってました。
      • by Anonymous Coward

        私もです。
        ICカードをつかってる意味がない。
        というか、felicaのリーダーは一般販売されてるんだから、
        それを通さないと読み出せない仕組みであれば同じサービスは提供可能。

        つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。

        クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。
        (使ったことないけど)

        • by Anonymous Coward on 2012年02月28日 16時38分 (#2107692)

          交通系ICカードは、仕様上利用履歴を20件しか保持できません。
          駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。
          それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。
          (駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です

          3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。

          親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。
          例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。
          ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。
          個人的には、オプトイン方式に変更が一番安全だと思います。

          #業界関係者なのにこのシステムの存在を知らなかったのでAC

          親コメント
          • by Anonymous Coward
            専用アプリが必要になりますが、FeliCaのIDを使用してサーバー通信するしかないような。
            (つまり、実際に改札が夜間バッチで残額処理してるのと同じ方式)

            であれば、可能じゃないかと。

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...