アカウント名:
パスワード:
ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし
カートの中身に何が入っているか丸見えだし
rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]カートの中身どころか購入した物や購入者・発送先情報が平文です。
メールはもうあきらめよう。ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。今更どうしようもない。
購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。
最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。(家族バレ対策なのかも知れないけど……)
PGPかS/MIMEの公開鍵を登録しておくと、それで暗号化して送ってくれるってのが一番いいんだけどね未登録の場合は決済が実行されましたって内容だけで取引の詳細は書かないようにするとか。
その公開鍵の登録操作が暗号化で保護されていなかったりして。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
ログインするサーバーか決済する時だけHTTPSとかおかしいでしょ。カートの中身に何が入っているか丸見えだし
Re: (スコア:1)
カートの中身に何が入っているか丸見えだし
rakuten.co.jpとyahoo.co.jpのメール経路は平文らしいので、
https://security.srad.jp/story/15/11/17/043203/ [security.srad.jp]
カートの中身どころか購入した物や購入者・発送先情報が平文です。
Re: (スコア:1)
メールはもうあきらめよう。
ほとんどのメールサーバ間の通信は平文だし、サーバ内やメールアーカイブ内でももちろん平文。
今更どうしようもない。
購入者や発送先はメールに書かず、注文番号だけ書いてサイトにログインして確認してもらうのが良い。
最近だと、親切なアダルト系ショッピングサイトはそうしてくれてるよ。
(家族バレ対策なのかも知れないけど……)
Re:ついでに銀行や証券会社、ショップサイトでも強制してほしい (スコア:1)
PGPかS/MIMEの公開鍵を登録しておくと、
それで暗号化して送ってくれるってのが一番いいんだけどね
未登録の場合は決済が実行されましたって内容だけで
取引の詳細は書かないようにするとか。
Re: (スコア:0)
その公開鍵の登録操作が暗号化で保護されていなかったりして。