アカウント名:
パスワード:
これ、Web参照は停止しているってあるけど根本のDB側に不可逆なハッシュではなくて生パスワードもしくは可逆的なハッシュで保存されているって事だよね。どこの素人が設計した?そしてその問題は解決してないんだろうな。
いつも思っちゃうけど別にそんなパスワードばっかり守る必要なくね?正直ハッシュ化して欲しいのは他の情報の方なんだけど(笑え)
たとえば何の情報をハッシュ化してほしいのかな?
真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・
#なんで年に2回も漏洩事件にぶち当たるかなー
そもそもクレジットカード番号は保存してはいけない。
クレジットカード番号の保存してもいいんじゃないの?セキュリティーコードの保存は禁止されてるけど
クレジットカード番号の保存してもいいんじゃないの?
保存する必要性がない。クレジットカードを登録するとクレジットカードサーバーからIDが割り振られるので以降はそのIDで取引をします。以降カード番号は必要ないです。クレジットカード会社からはクレジットカード番号は保存しないように言われます。
誰かが決めたルールでゆるされているかどうかは、大きな問題ではないよ。自分でかんがえなさいね。
昔はカード番号でやり取りするシステムあったけど、最近はID連携ばかりですね。
#API叩けばマスクされた番号は取得できたりするのもあるけど
>> #API叩けばマスクされた番号は取得できたりするのもあるけど
下4桁しか表示されないのって他を隠してるんじゃなくて実際に保存してなかったりするのかね。
内部実装がどうなってるかは利用者にうかがい知れないけど。
そうですね。確認の為に有効期限と下4桁~3桁のみ残しますが、それ以外はクレジット会社のサーバーから来るIDしか残しません。
残しませんって言われても利用者にはわからないでしょうけども、運営会社だって残したくありませんよ。
最近はクレジット登録やら銀行引き落とし登録をすると一旦クレジット会社のサイトに遷移して戻るようにもなってきています。
PCIDSS3.0(最新は3.2だけど、英語嫌いだから勘弁してくれw)によると、
PCIDSS 要件3: 保存されるカード会員データを保護する3.4 以下の手法を利用して、すべての保存場所でPANを少なくとも読み取り不能とする・強力な暗号化をベースにしたワンウェイハッシュ・トランケーション・インデックストークンとパッド・関連するキー管理プロセスおよび
JINSがやらかしたことが先月公になった後にockeghem [twitter.com]さんがtweetで
露悪的に言えば、「PCI DSSのせい」だったのだ。
と感想を述べていたことを思い出した。
クレカは使用者を特定する必要があるのに、コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?ハッシュの使い方や使う目的を、きちんと理解してる?
>コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?
コリジョンの発生しないハッシュ化すればいいのでは?
>ハッシュの使い方や使う目的を、きちんと理解してる?
あなたがね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
DB (スコア:0)
これ、Web参照は停止しているってあるけど根本の
DB側に不可逆なハッシュではなくて生パスワードもしくは可逆的なハッシュで保存されているって事だよね。
どこの素人が設計した?そしてその問題は解決してないんだろうな。
Re:DB (スコア:1)
いつも思っちゃうけど別にそんなパスワードばっかり守る必要なくね?
正直ハッシュ化して欲しいのは他の情報の方なんだけど(笑え)
Re: (スコア:0)
たとえば何の情報をハッシュ化してほしいのかな?
Re: (スコア:0)
たとえば何の情報をハッシュ化してほしいのかな?
真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・
#なんで年に2回も漏洩事件にぶち当たるかなー
Re:DB (スコア:2)
真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・
そもそもクレジットカード番号は保存してはいけない。
Re: (スコア:0)
クレジットカード番号の保存してもいいんじゃないの?
セキュリティーコードの保存は禁止されてるけど
Re: (スコア:0)
クレジットカード番号の保存してもいいんじゃないの?
保存する必要性がない。
クレジットカードを登録するとクレジットカードサーバーからIDが割り振られるので
以降はそのIDで取引をします。以降カード番号は必要ないです。
クレジットカード会社からはクレジットカード番号は保存しないように言われます。
Re: (スコア:0)
誰かが決めたルールでゆるされているかどうかは、大きな問題ではないよ。
自分でかんがえなさいね。
Re: (スコア:0)
昔はカード番号でやり取りするシステムあったけど、最近はID連携ばかりですね。
#API叩けばマスクされた番号は取得できたりするのもあるけど
Re: (スコア:0)
>> #API叩けばマスクされた番号は取得できたりするのもあるけど
下4桁しか表示されないのって
他を隠してるんじゃなくて実際に保存してなかったりするのかね。
内部実装がどうなってるかは利用者にうかがい知れないけど。
Re: (スコア:0)
下4桁しか表示されないのって
他を隠してるんじゃなくて実際に保存してなかったりするのかね。
内部実装がどうなってるかは利用者にうかがい知れないけど。
そうですね。確認の為に有効期限と下4桁~3桁のみ残しますが、それ以外は
クレジット会社のサーバーから来るIDしか残しません。
残しませんって言われても利用者にはわからないでしょうけども、運営会社
だって残したくありませんよ。
最近はクレジット登録やら銀行引き落とし登録をすると一旦クレジット会社の
サイトに遷移して戻るようにもなってきています。
Re: (スコア:0)
真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・
そもそもクレジットカード番号は保存してはいけない。
PCIDSS3.0(最新は3.2だけど、英語嫌いだから勘弁してくれw)によると、
PCIDSS 要件3: 保存されるカード会員データを保護する
3.4 以下の手法を利用して、すべての保存場所でPANを少なくとも読み取り不能とする
・強力な暗号化をベースにしたワンウェイハッシュ
・トランケーション
・インデックストークンとパッド
・関連するキー管理プロセスおよび
Re:DB (スコア:1)
JINSがやらかしたことが先月公になった後にockeghem [twitter.com]さんがtweetで
露悪的に言えば、「PCI DSSのせい」だったのだ。
と感想を述べていたことを思い出した。
Re: (スコア:0)
クレカは使用者を特定する必要があるのに、コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?
ハッシュの使い方や使う目的を、きちんと理解してる?
Re: (スコア:0)
>コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?
コリジョンの発生しないハッシュ化すればいいのでは?
>ハッシュの使い方や使う目的を、きちんと理解してる?
あなたがね。