アカウント名:
パスワード:
そろそろ抜本的な対策が普及してくれてもいいと思うんだ。
普及すべきその「抜本的な対策」とは?
サイバー・ノーガード戦法を許さないことかな。「不正アクセスした第三者に改竄されての漏洩なので、サイト運営も被害者です」みたいな部分を法的に認めなくする。
みたいな部分を法的に認めなくする。
ご自分で「みたいな」と言っちゃってる時点で、法的な定義は難しいだろうってことに気づきましょうよ。
改ざん検知サービスとか?
あとはアプリケーションやストレージのリードオンリー化(ライトプロテクト)とか。物理キーを利用した暗号化ソリューションやデジタル署名ソリューションなんかもあったら面白そうだね。とりあえず遠隔(ネットワーク経由)で書き換えできないようにしたり書き換えたら無効になったりしたら改ざんできない。
デプロイのたびにデータセンターまで出向いてストレージを物理的に引っこ抜いて入れ替えるのか…。私は遠慮しておきます
最近はクラウドばかりで聞かなくなったけど、データセンターならリモートハンド契約とかあるでしょ?それこそ専用アプライアンスでライトプロテクトスイッチ付きが開発されるとかさ。
サイト毎に別々の支払画面があると、サイト自体が改竄されると裏でどう保存されてるかなんてわかんないんだよね。3Dセキュアあったとしても、番号取られるのは同じだし。
時々見かける事前に明示許可したときしか決済通さないようなサービスを使うか、いっそやめてQRとかコンビニ払いにしぼる?
中国ではクレジットが普及しなくて、常に前払いかキャッシュだったんですが今そっちのほうがセキュリティ的に優れているという状況。
ネット販売もQR(支払いは全部財布アプリを経由)ですから
コンビニで出すか機械に読み込ませるQRコードや番号が改ざんされてるかも
3DセキュアもURLバーを非表示にされると正当なものか確認しようがないんだけどね。で、アプリ内で表示する場合は当たり前のように非表示だし、ブラウザにリダイレクトする場合でもご丁寧に非表示にしてる。フィッシングサイトに誘導されてても気付ける手段がないって、設計した奴はバカなのかと。
現金の転送テクノロジが望まれる。
小規模小売はガチガチの対策費用を広く薄くサービスに転嫁できなくてECを維持できなくなりそうなので、通販は大手しか使わない自己防衛でええのでは。
今時はカード番号非通過対応してるのが普通じゃないの?決済代行側からJSとHTML読み込んで送信みたいな作りが普通なような
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ペイメントアプリケーションの改ざんが行われたため (スコア:0)
そろそろ抜本的な対策が普及してくれてもいいと思うんだ。
Re: (スコア:0)
普及すべきその「抜本的な対策」とは?
Re: (スコア:0)
サイバー・ノーガード戦法を許さないことかな。
「不正アクセスした第三者に改竄されての漏洩なので、サイト運営も被害者です」みたいな部分を法的に認めなくする。
Re: (スコア:0)
みたいな部分を法的に認めなくする。
ご自分で「みたいな」と言っちゃってる時点で、
法的な定義は難しいだろうってことに気づきましょうよ。
Re: (スコア:0)
改ざん検知サービスとか?
Re: (スコア:0)
あとはアプリケーションやストレージのリードオンリー化(ライトプロテクト)とか。
物理キーを利用した暗号化ソリューションやデジタル署名ソリューションなんかもあったら面白そうだね。
とりあえず遠隔(ネットワーク経由)で書き換えできないようにしたり書き換えたら無効になったりしたら改ざんできない。
Re: (スコア:0)
デプロイのたびにデータセンターまで出向いてストレージを物理的に引っこ抜いて入れ替えるのか…。私は遠慮しておきます
Re: (スコア:0)
最近はクラウドばかりで聞かなくなったけど、データセンターならリモートハンド契約とかあるでしょ?
それこそ専用アプライアンスでライトプロテクトスイッチ付きが開発されるとかさ。
Re: (スコア:0)
サイト毎に別々の支払画面があると、サイト自体が改竄されると裏でどう保存されてるかなんてわかんないんだよね。
3Dセキュアあったとしても、番号取られるのは同じだし。
時々見かける事前に明示許可したときしか決済通さないようなサービスを使うか、
いっそやめてQRとかコンビニ払いにしぼる?
Re:ペイメントアプリケーションの改ざんが行われたため (スコア:1)
中国ではクレジットが普及しなくて、常に前払いかキャッシュだったんですが
今そっちのほうがセキュリティ的に優れているという状況。
ネット販売もQR(支払いは全部財布アプリを経由)ですから
Re: (スコア:0)
コンビニで出すか機械に読み込ませるQRコードや番号が改ざんされてるかも
Re: (スコア:0)
3DセキュアもURLバーを非表示にされると正当なものか確認しようがないんだけどね。
で、アプリ内で表示する場合は当たり前のように非表示だし、ブラウザにリダイレクトする場合でもご丁寧に非表示にしてる。
フィッシングサイトに誘導されてても気付ける手段がないって、設計した奴はバカなのかと。
Re: (スコア:0)
現金の転送テクノロジが望まれる。
Re: (スコア:0)
小規模小売はガチガチの対策費用を広く薄くサービスに転嫁できなくてECを維持できなくなりそうなので、通販は大手しか使わない自己防衛でええのでは。
Re: (スコア:0)
今時はカード番号非通過対応してるのが普通じゃないの?
決済代行側からJSとHTML読み込んで送信みたいな作りが普通なような