アカウント名:
パスワード:
認識ロジックがまともに組めなくて、認識失敗多すぎー>何でもかんでも通しちゃえ
って事かW
テストケースの誤りでは。今回の改善目標である「本人の指紋でNGとならないこと」(偽陰性のテスト)に気を取られて、「本人の指紋でないものでOKとならないこと」(偽陽性のテスト)が疎かになってしまったんじゃないかなあ。
要求分析のときに漏れたんだろ
偽陽性が疎かになったのはそのとおりだけど、テストに漏れたんじゃなく意図的に無視したんではないかな。ほぼほぼ「偽陰性が問題にならない程度まで要求一致率(しきい値)を落とす」って対応でしょこれ。
乱暴な事を言えば、生体認証は本質的に認証ではないので偽陽性で突破されてもさほど問題は無いし。鍵の扱いが運用や実装と無関係にここまで脆弱な自称認証、そうそうない。
何もない->異常もない->OK!あるパターンではないですか?
0とORをとる
指紋認証アルゴリズムが変わったので再登録が必要だけど、旧データが有ると仕様バグで全部承認しちゃうとか?
キャッシュカードか。確か、
カードに口座番号と暗証番号を記録する実装→落ちてる明細の口座番号と任意の暗証番号で偽造カード作って金を下ろせた↓カードの暗証番号欄をゼロにしてサーバで暗証番号管理→ゼロ以外が記録されている場合はその番号でサーバ側の記録を上書きする実装が出る→拾った明細で金を下ろせるのみならず暗証番号を上書きして本人を締め出せる事態に
てな具合だったっけ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
これって・・ (スコア:0)
認識ロジックがまともに組めなくて、認識失敗多すぎー>何でもかんでも通しちゃえ
って事かW
Re:これって・・ (スコア:1)
テストケースの誤りでは。
今回の改善目標である「本人の指紋でNGとならないこと」(偽陰性のテスト)に気を取られて、
「本人の指紋でないものでOKとならないこと」(偽陽性のテスト)が疎かになってしまったんじゃないかなあ。
Re: (スコア:0)
要求分析のときに漏れたんだろ
Re: (スコア:0)
偽陽性が疎かになったのはそのとおりだけど、
テストに漏れたんじゃなく意図的に無視したんではないかな。
ほぼほぼ「偽陰性が問題にならない程度まで要求一致率(しきい値)を落とす」って対応でしょこれ。
乱暴な事を言えば、生体認証は本質的に認証ではないので偽陽性で突破されてもさほど問題は無いし。
鍵の扱いが運用や実装と無関係にここまで脆弱な自称認証、そうそうない。
Re: (スコア:0)
何もない->異常もない->OK!
あるパターンではないですか?
Re: (スコア:0)
0とORをとる
Re: (スコア:0)
指紋認証アルゴリズムが変わったので再登録が必要だけど、
旧データが有ると仕様バグで全部承認しちゃうとか?
Re: (スコア:0)
キャッシュカードか。
確か、
カードに口座番号と暗証番号を記録する実装
→落ちてる明細の口座番号と任意の暗証番号で偽造カード作って金を下ろせた
↓
カードの暗証番号欄をゼロにしてサーバで暗証番号管理
→ゼロ以外が記録されている場合はその番号でサーバ側の記録を上書きする実装が出る
→拾った明細で金を下ろせるのみならず暗証番号を上書きして本人を締め出せる事態に
てな具合だったっけ?