アカウント名:
パスワード:
その先のカード会社のサーバで確認するんでしょそっちもぶっ通しなのかな?セキュリティが売り物のカード会社にしてはザルい気がするな
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。
# 3Dセキュア必須にするとかはできるけど
そもそも不正利用を100%なくそうなんて日本人的ゼロリスク原理主義的思考ではなく不正に利用された部分は保険でカバーすればいいという発想なので(もちろん不正利用が多くなれば保険料がかさんだり最悪保険を拒否される可能性があるから少ないに越したことはない)。中国のAliPayやWeChatPayなんて、正常な決済が50%あれば審査を通る(それでも採算がとれる)らしいぞ。どれだけ儲かってんだよ。
こんなんでも偽札のリスクよりはましという世界なんでしょうかねゼロリスク原理主義ではないつもりですが、そこまでついていけるか自信がないですね
クレカに限らず決済システムはそう言うもんですねー。クレカ経由の場合は保証が一応付いてるし色んな規制が良くも悪くもあるので、悪いことしたら捕まるし保証もされるけど。
出来るよ?だから、店舗で決済金額チェックさせられるだろ?請求金額間違ってませんよねーって。アレが本来の運用やぞネットの場合10倍とかされてもわからんからチェックは必須
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
PayPayの仕組みは知らんが (スコア:2)
その先のカード会社のサーバで確認するんでしょ
そっちもぶっ通しなのかな?
セキュリティが売り物のカード会社にしてはザルい気がするな
Re:PayPayの仕組みは知らんが (スコア:3)
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
Re:PayPayの仕組みは知らんが (スコア:2)
自分も思った。API使える開発者が悪意持ってたら同じことじゃん、って。
クレカの決済システムなんて、運営に最終的にはバレることに目を瞑れば、こんな面倒な手口をしなくても悪意ある開発者は「客が認識してる金額の10倍を引き落とす」みたいなこともできちゃうよ?
裏を返せばAPIを使える人を絞ることでしか、安全性は担保できないよね。
# 3Dセキュア必須にするとかはできるけど
Re: (スコア:0)
そもそも不正利用を100%なくそうなんて日本人的ゼロリスク原理主義的思考ではなく不正に利用された部分は保険でカバーすればいいという発想なので(もちろん不正利用が多くなれば保険料がかさんだり最悪保険を拒否される可能性があるから少ないに越したことはない)。中国のAliPayやWeChatPayなんて、正常な決済が50%あれば審査を通る(それでも採算がとれる)らしいぞ。どれだけ儲かってんだよ。
Re: (スコア:0)
こんなんでも偽札のリスクよりはましという世界なんでしょうかね
ゼロリスク原理主義ではないつもりですが、そこまでついていけるか自信がないですね
Re: (スコア:0)
クレカに限らず決済システムはそう言うもんですねー。
クレカ経由の場合は保証が一応付いてるし色んな規制が良くも悪くもあるので、悪いことしたら捕まるし保証もされるけど。
Re: (スコア:0)
出来るよ?
だから、店舗で決済金額チェックさせられるだろ?請求金額間違ってませんよねーって。
アレが本来の運用やぞ
ネットの場合10倍とかされてもわからんからチェックは必須