アカウント名:
パスワード:
その先のカード会社のサーバで確認するんでしょそっちもぶっ通しなのかな?セキュリティが売り物のカード会社にしてはザルい気がするな
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな決済かけてないから失敗してもカード会社側は特に検知しないと思う新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
めんどくせいからここにぶら下げておくけど大抵第三者がいう対策は考えられている。その上で実施されていない。何故か?そう言った問題を防ぎたいなら上で言われてるようにAuth使えって話。Checkは「カード有効性しかしない」のだからいいのカード会社の仕様が間違ってんじゃなくって使う処理を間違えているだけじゃないのかな?
こうすればいい、ああすればいいじゃないよ実際どういう実装してたのかは分からんがAuthで少額決済してたら防げたと思うよ
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481709/120600279/ [nikkeibp.co.jp] って、まさにその Check の仕様の問題を突かれているわけではないの?
これも Check の使い方を間違っている (Auth を使うべきところで Check を使っている) ということ?
記事に書いてあるのに読めないのはちょっとカード会社側で最終的に不正検知に引っかかって落とされるリスクは上がってるけど割り出すだけじゃら複数のサイトでオーソリ投げれば試行回数は事実上いくらでもあるっていう記事に対してオーソリだチェックだって何を言ってるんだ
オーソリだチェックだってのは (#3535282) がそう説明してるから言ったのであって、こっちが問題にしてるのは『試行回数は事実上いくらでもある』ことに対してカード会社側で対策する気はないの? ってことなんだけど。
他のツリーで『カード番号でロックをかけたら正規の利用も出来なくなるからダメ!』って話があるけど、不正利用されるくらいなら正規の利用が一時的に制限される方がマシという考え方も有りえるでしょ。
これまた他のツリーにあるとおり、カード会社としては不正利用絶対阻止! という考えではなくて、確認でき次第キャンセル・返金して、保険でカバーできれば問題ないと考えているのでしょうけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
PayPayの仕組みは知らんが (スコア:2)
その先のカード会社のサーバで確認するんでしょ
そっちもぶっ通しなのかな?
セキュリティが売り物のカード会社にしてはザルい気がするな
Re: (スコア:0)
auth(オーソリ 与信枠確保)で投げると金かかるんでcheck(カード有効性チェック)で決済ネットワーク流してんじゃないかな
決済かけてないから失敗してもカード会社側は特に検知しないと思う
新規登録でユーザ増えていってるかな?になるだけなんで
で、登録通ってしまえばPayPayのサーバから正しいauth投げられるだけなので分からん
Re: (スコア:0)
めんどくせいからここにぶら下げておくけど大抵第三者がいう対策は考えられている。
その上で実施されていない。
何故か?そう言った問題を防ぎたいなら上で言われてるようにAuth使えって話。
Checkは「カード有効性しかしない」のだからいいの
カード会社の仕様が間違ってんじゃなくって使う処理を間違えているだけじゃないのかな?
こうすればいい、ああすればいいじゃないよ
実際どういう実装してたのかは分からんがAuthで少額決済してたら防げたと思うよ
Re: (スコア:0)
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481709/120600279/ [nikkeibp.co.jp] って、まさにその Check の仕様の問題を突かれているわけではないの?
これも Check の使い方を間違っている (Auth を使うべきところで Check を使っている) ということ?
Re:PayPayの仕組みは知らんが (スコア:0)
記事に書いてあるのに読めないのはちょっと
カード会社側で最終的に不正検知に引っかかって落とされるリスクは上がってるけど
割り出すだけじゃら複数のサイトでオーソリ投げれば試行回数は事実上いくらでもあるっていう記事に対して
オーソリだチェックだって何を言ってるんだ
Re: (スコア:0)
オーソリだチェックだってのは (#3535282) がそう説明してるから言ったのであって、
こっちが問題にしてるのは『試行回数は事実上いくらでもある』ことに対して
カード会社側で対策する気はないの? ってことなんだけど。
他のツリーで『カード番号でロックをかけたら正規の利用も出来なくなるからダメ!』
って話があるけど、不正利用されるくらいなら正規の利用が一時的に制限される方が
マシという考え方も有りえるでしょ。
これまた他のツリーにあるとおり、カード会社としては不正利用絶対阻止! という
考えではなくて、確認でき次第キャンセル・返金して、保険でカバーできれば
問題ないと考えているのでしょうけど。