アカウント名:
パスワード:
カートの最終画面で確定すると、1. 「カード会社に接続しています」というiframeをロード2. 他社API(非尼)をコール3. その他社APIが、君が使っているカード会社のサイトをコール4. カード会社のサイトが「SMS・メールでワンタイムパスワードを送ったから入力しろ」を表示5. コードを入力して送信6. カード会社サイトがAPIをコールバック7. 他社APIがアマゾンをコール8. やっとアマゾンの「お買上げありがとう」ページが表示
クッソ面倒。Amazonは自社内でできないのか?
> 他ECサイトとの違いはカード発行会社にリダイレクトしておらずamazonドメイン内で認証画面を表示していること
iframeな。
マーチャントを信用しなくてもいいようにするための 3D セキュアなのに、コードをマーチャントに渡したら意味なくない?
それらの項目、一人で全てを遂行するわけじゃないやん?ユーザー・Amazon・カード会社の責務をごっちゃにしてちゃそりゃ大変よ実際、言うほど面倒じゃないべ?
まあユーザからみたら,認証のためコード入力は必要で,あとは数秒間待つだけだよな。でも iframe で埋め込むくらいならリダイレクトされた方が,何が起こっているか分かりやすい。そこを隠した方が UX として優れているという判断なんだろうけど,それでユーザの責務が免責されるわけではないんよね。
カード会社のurl がトップに出た方が安心できるし埋め込まれたらフィッシング詐欺で何か気づく手がかりがまた減る
「カード会社のurl」ならまだマシなんですけどね。実際は全然知らないサイトに飛ばされたり。https://twitter.com/HiromitsuTakagi/status/1318925217746407427 [twitter.com]
なにこれ嫌な感じ
「メッセージ」が合ってたら、まぁ進めるかもですが。
例えばわたしがよく利用するツイキャスの有料配信ではtwitcasting.tvからsecure.epsilon.jpmanage.tds2gw.gmopg.jpch-acs2.cafis-paynet.jpなどにトバされるようだ。どうみても私の契約してる楽天銀行visaカードのurlには見えない。「知らないurlはフィッシング」を大前提にするとこれは不安である。
誰だか言ってて同感だったんだけど、3Dセキュアだからってネームサービスの意味でのドメインまで別である必要はないんじゃね?
じゃないやん
4, 5の追加認証要求プロセスは、イシュアがリスクベース認証において中リスクと判定した場合にのみ実施される。低リスクと判定した場合は、4, 5を経ずに承認して6に遷移する。高リスクと判定した場合は、追加認証なく不承認。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
カード支払いの場合 (スコア:0)
カートの最終画面で確定すると、
1. 「カード会社に接続しています」というiframeをロード
2. 他社API(非尼)をコール
3. その他社APIが、君が使っているカード会社のサイトをコール
4. カード会社のサイトが「SMS・メールでワンタイムパスワードを送ったから入力しろ」を表示
5. コードを入力して送信
6. カード会社サイトがAPIをコールバック
7. 他社APIがアマゾンをコール
8. やっとアマゾンの「お買上げありがとう」ページが表示
クッソ面倒。Amazonは自社内でできないのか?
> 他ECサイトとの違いはカード発行会社にリダイレクトしておらずamazonドメイン内で認証画面を表示していること
iframeな。
Re:カード支払いの場合 (スコア:1)
マーチャントを信用しなくてもいいようにするための 3D セキュアなのに、
コードをマーチャントに渡したら意味なくない?
Re: (スコア:0)
それらの項目、一人で全てを遂行するわけじゃないやん?
ユーザー・Amazon・カード会社の責務をごっちゃにしてちゃそりゃ大変よ
実際、言うほど面倒じゃないべ?
Re: (スコア:0)
まあユーザからみたら,認証のためコード入力は必要で,あとは数秒間待つだけだよな。
でも iframe で埋め込むくらいならリダイレクトされた方が,何が起こっているか分かりやすい。
そこを隠した方が UX として優れているという判断なんだろうけど,それでユーザの責務が免責されるわけではないんよね。
セキュリティ的に (スコア:1)
カード会社のurl がトップに出た方が安心できるし
埋め込まれたらフィッシング詐欺で何か気づく手がかりがまた減る
Re: (スコア:0)
「カード会社のurl」ならまだマシなんですけどね。
実際は全然知らないサイトに飛ばされたり。
https://twitter.com/HiromitsuTakagi/status/1318925217746407427 [twitter.com]
Re:セキュリティ的に (スコア:1)
なにこれ嫌な感じ
「メッセージ」が合ってたら、まぁ進めるかもですが。
Re: (スコア:0)
例えばわたしがよく利用するツイキャスの有料配信ではtwitcasting.tvから
secure.epsilon.jp
manage.tds2gw.gmopg.jp
ch-acs2.cafis-paynet.jp
などにトバされるようだ。
どうみても私の契約してる楽天銀行visaカードのurlには見えない。
「知らないurlはフィッシング」を大前提にするとこれは不安である。
Re: (スコア:0)
誰だか言ってて同感だったんだけど、3Dセキュアだからってネームサービスの意味でのドメインまで別である必要はないんじゃね?
Re: (スコア:0)
じゃないやん
Re: (スコア:0)
4, 5の追加認証要求プロセスは、イシュアがリスクベース認証において中リスクと判定した場合にのみ実施される。
低リスクと判定した場合は、4, 5を経ずに承認して6に遷移する。
高リスクと判定した場合は、追加認証なく不承認。