アカウント名:
パスワード:
ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし
カートの中身に何が入っているか丸見えだし
rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]カートの中身どころか購入した物や購入者・発送先情報が平文です。
メールはもうあきらめよう。ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。今更どうしようもない。
購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。
最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。(家族バレ対策なのかも知れないけど……)
理解できるんだがなんかモヤる。いやその、某銀行でVISAデビットカードでの引き落としが発生するとメールが飛んでくるのですが、そこに金額すら書いてないからいちいちログオンして確認しないといけないというのが…。
URLだけ書いてあればクリック一発(ログイン情報はデバイスがおぼえている)な気がしますが、クリックがめんどくさいという話でしょうかログイン情報をデバイスに記録していないのでしょうか。
前者であればURLを勝手に開くようなMUAを使えばいいんでしょうが、SPAM対策が大変だなぁ…後者だとぱっと手の打ちようがなさそうですね暗号化したQRコードがAA等で書いてあって、ARメガネをかけておくとそれがデコードされて読めるとか?URLをOCRしてもいっしょか…
メールにURLが載ってないんであれば乗せてほしいですね
と、ここまで書いてSMBCデビットで同じようにメールをもらっていることを思い出しました
URLは乗ってるが、開いてもログイン直後の画面になるだけですなぁ…ハンバーガーメニューとドロップダウンリストをたどらないとみられない?だめな作りだなぁ…金額もメールに載せてもらうかと思ったが設定メニューもないのかぁ
> URLを勝手に開くようなMUA
そんなマルウェア自動感染機能がついたMUAとか怖すぎて使えねーよ
PGPかS/MIMEの公開鍵を登録しておくと、それで暗号化して送ってくれるってのが一番いいんだけどね未登録の場合は決済が実行されましたって内容だけで取引の詳細は書かないようにするとか。
その公開鍵の登録操作が暗号化で保護されていなかったりして。
メールはもうあきらめよう。
『全ウェブサイト及び電子メール通信の暗号化対応の義務化』なので、政府・サイバーセキュリティ戦略本部には案があるはず。
範囲は行政府の提供するサービスだけでしょ、普通に考えて…
行政が国民に提供するサービスの話だから、ここで使われる技術・仕様は、ネットショップがネットショップ利用者に対しても使えるのでは。
市井のネットショップがその技術・仕様を使うかどうかなんて、特にこのストーリーと関係がないでしょ。政府機関の話なんだから。
こんな現状を変えるソリューションなのに、民間利用しないなんてもったいない。
民間利用するのも民間の自由だよ。というか、すでにできるよね。サーバ内やメールアーカイブのデータ暗号化は、ストレージを暗号化すればクリアだよね。メールサーバ間の暗号化通信は規格化されてるんだから、それを使えばいいよね。
今回は政府側の「対応」なんだから、対応できる外部の相手が政府機関のサーバと通信できればセキュリティは向上するわけだし、何が問題なの?非対応な外部メールサーバとのやり取りはどうしようもないけど、それをことさらに論いたいわけ?
Google透明性レポートでいつも暗号化しないドメイン上位なのに、改善する気はないのかな。 https://transparencyreport.google.com/safer-email/overview?encrypt_reg... [google.com] 地域別の上位のドメイン: 受信差出人: yahoo.co.jp地域別の上位のドメイン: 送信宛先: docomo.ne.jp宛先: ezweb.ne.jp宛先: softbank.ne.jp宛先: yahoo.co.jp
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
カートの中身に何が入っているか丸見えだし
rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、
https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]
カートの中身どころか購入した物や購入者・発送先情報が平文です。
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
メールはもうあきらめよう。
ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
今更どうしようもない。
購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。
最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。
(家族バレ対策なのかも知れないけど……)
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
理解できるんだがなんかモヤる。
いやその、某銀行でVISAデビットカードでの引き落としが発生するとメールが飛んでくるのですが、そこに金額すら書いてないからいちいちログオンして確認しないといけないというのが…。
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:2)
URLだけ書いてあればクリック一発(ログイン情報はデバイスがおぼえている)な気がしますが、
クリックがめんどくさいという話でしょうか
ログイン情報をデバイスに記録していないのでしょうか。
前者であればURLを勝手に開くようなMUAを使えばいいんでしょうが、SPAM対策が大変だなぁ…
後者だとぱっと手の打ちようがなさそうですね
暗号化したQRコードがAA等で書いてあって、ARメガネをかけておくとそれがデコードされて読めるとか?
URLをOCRしてもいっしょか…
メールにURLが載ってないんであれば乗せてほしいですね
と、ここまで書いてSMBCデビットで同じようにメールをもらっていることを思い出しました
URLは乗ってるが、開いてもログイン直後の画面になるだけですなぁ…
ハンバーガーメニューとドロップダウンリストをたどらないとみられない?
だめな作りだなぁ…
金額もメールに載せてもらうかと思ったが設定メニューもないのかぁ
Re: (スコア:0)
> URLを勝手に開くようなMUA
そんなマルウェア自動感染機能がついたMUAとか怖すぎて使えねーよ
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
PGPかS/MIMEの公開鍵を登録しておくと、
それで暗号化して送ってくれるってのが一番いいんだけどね
未登録の場合は決済が実行されましたって内容だけで
取引の詳細は書かないようにするとか。
Re: (スコア:0)
その公開鍵の登録操作が暗号化で保護されていなかったりして。
Re: (スコア:0)
メールはもうあきらめよう。
『全ウェブサイト及び電子メール通信の暗号化対応の義務化』なので、政府・サイバーセキュリティ戦略本部には案があるはず。
Re: (スコア:0)
範囲は行政府の提供するサービスだけでしょ、普通に考えて…
Re: (スコア:0)
行政が国民に提供するサービスの話だから、ここで使われる技術・仕様は、ネットショップがネットショップ利用者に対しても使えるのでは。
Re: (スコア:0)
市井のネットショップがその技術・仕様を使うかどうかなんて、特にこのストーリーと関係がないでしょ。
政府機関の話なんだから。
Re: (スコア:0)
メールはもうあきらめよう。
ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
今更どうしようもない。
こんな現状を変えるソリューションなのに、民間利用しないなんてもったいない。
Re: (スコア:0)
民間利用するのも民間の自由だよ。というか、すでにできるよね。
サーバ内やメールアーカイブのデータ暗号化は、ストレージを暗号化すればクリアだよね。
メールサーバ間の暗号化通信は規格化されてるんだから、それを使えばいいよね。
今回は政府側の「対応」なんだから、対応できる外部の相手が政府機関のサーバと通信できればセキュリティは向上するわけだし、何が問題なの?
非対応な外部メールサーバとのやり取りはどうしようもないけど、それをことさらに論いたいわけ?
Re: (スコア:0)
Google透明性レポートでいつも暗号化しないドメイン上位なのに、改善する気はないのかな。
https://transparencyreport.google.com/safer-email/overview?encrypt_reg... [google.com]
地域別の上位のドメイン: 受信
差出人: yahoo.co.jp
地域別の上位のドメイン: 送信
宛先: docomo.ne.jp
宛先: ezweb.ne.jp
宛先: softbank.ne.jp
宛先: yahoo.co.jp