アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
毎回入れるようになるだけだよ。それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
いやいやいやw別にそんなめんどくさい話じゃなくて、単純に「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。
そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。# だいたいどこの決済代行会社もそういう仕組みを用意しています。
基本的に、決済代行会社はショッピ
おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
> おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。違います。カード会社ではなく、決済代行会社です。業態が全く別です。
> しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。> そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。はい。それはわかりますが、カード情報をどうのこうの、書かれていましたので。どうも文面からはカード情報とそれ以外の個人情報、これらの漏洩リスク対策を同列に考えているように見受けられますが、全く別であることを理解していますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re: (スコア:0)
毎回入れるようになるだけだよ。
それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
Re: (スコア:1)
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
Re: (スコア:5, 参考になる)
いやいやいやw
別にそんなめんどくさい話じゃなくて、単純に
「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」
とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。
そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、
決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
# だいたいどこの決済代行会社もそういう仕組みを用意しています。
基本的に、決済代行会社はショッピ
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
Re: (スコア:0)
> おっしゃるとおり、クレジットカードについてはカード会社に投げるのが安全でしょう。
違います。カード会社ではなく、決済代行会社です。業態が全く別です。
> しかし、網羅的に抜かれたら問題になる情報はクレジットカードだけではありません。
> そのような情報も分離したデータベースサーバに置けば安全性は高まる、のではないか、という話です。
はい。それはわかりますが、カード情報をどうのこうの、書かれていましたので。
どうも文面からはカード情報とそれ以外の個人情報、これらの漏洩リスク対策を同列に考えているように見受けられますが、
全く別であることを理解していますか?