アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
毎回入れるようになるだけだよ。それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
いやいやいやw別にそんなめんどくさい話じゃなくて、単純に「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。
そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。# だいたいどこの決済代行会社もそういう仕組みを用意しています。
基本的に、決済代行会社はショッピ
> 決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。カード番号の流出そのものは防げませんけど自社の責任になることは回避できますよね。
何か勘違いしていますね。
そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。逆にショッピングサイト側が不正アクセスを受けたとしてもクレジット情報自体は別会社の別サーバーにあるのですから流出しようがないという話だと思いますけど。
決済代行会社が信用出来ないのならクレジットカード自体の利用をやめるべきでしょうね。
> 何か勘違いしていますね。> そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。だから自社(=ショッピングサイト)の責任になることは回避できると言っているのでまったく同じことを言っているように思うのですが、何を勘違いしているのですか?>> カード情報の入力を全てロギングするようなプログラムを仕込まれた状況でカード番号の漏えいを防げるとか、決済代行会社は魔法でも使ってるんですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re: (スコア:0)
毎回入れるようになるだけだよ。
それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
Re: (スコア:1)
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
Re: (スコア:5, 参考になる)
いやいやいやw
別にそんなめんどくさい話じゃなくて、単純に
「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」
とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。
そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、
決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
# だいたいどこの決済代行会社もそういう仕組みを用意しています。
基本的に、決済代行会社はショッピ
Re: (スコア:-1)
> 決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
カード番号の流出そのものは防げませんけど自社の責任になることは回避できますよね。
Re: (スコア:0)
何か勘違いしていますね。
そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。
逆にショッピングサイト側が不正アクセスを受けたとしてもクレジット情報自体は別会社の別サーバーにあるのですから流出しようがないという話だと思いますけど。
決済代行会社が信用出来ないのならクレジットカード自体の利用をやめるべきでしょうね。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:0)
> 何か勘違いしていますね。
> そこから流出するとすればそれはショッピングサイト側ではなく決済代行会社側から流出したことになるのですからショッピングサイト側には何の落ち度もありませんが。
だから自社(=ショッピングサイト)の責任になることは回避できると言っているのでまったく同じことを言っているように思うのですが、何を勘違いしているのですか?
>> カード情報の入力を全てロギングするようなプログラムを仕込まれた
状況でカード番号の漏えいを防げるとか、決済代行会社は魔法でも使ってるんですか?