アカウント名:
パスワード:
セキュリティ専門家の徳丸氏の 2019年のブログ [tokumaru.org]をどうぞ。
はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。
大半の事件でセキュリティコードが漏洩している上表からわかるように、藤い屋オンラインショップを除いたすべての事件でセキュリティコードが漏洩しています。昨年のまとめも見ていただくとわか
いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。
イコールじゃないけど、パスワードなんかは保存してる例も多いしな。(さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)
保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味でヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。
>クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが
大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
>大半のECサイトでは、クレカ番号もパスワードも保存していると思いますがまともなECサイトは改正割販法施行前からカードの生情報は保存していませんよまともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです(トークン+下4桁、有効期限というケースもあり)このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされていますそのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・
余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です
Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
最近はセキュリティコードを保存していなくても盗まれる (スコア:5, 参考になる)
セキュリティ専門家の徳丸氏の 2019年のブログ [tokumaru.org]をどうぞ。
Re: (スコア:0)
いまだに漏洩=保存程度の認識で批判しちゃうんですねぇ。
Re: (スコア:0)
イコールじゃないけど、パスワードなんかは保存してる例も多いしな。
(さすがにクレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが。)
保存はしてなくても、サイトを改竄されて仕込まれたりしてたとしたら、それは別の意味で
ヤバイから、批判されるべき落ち度があったことについてはなんも変わらん。
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:0)
>クレジットカード使うサイトでクレカ番号を保存してたりすると恰好がつかんが
大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
Re:最近はセキュリティコードを保存していなくても盗まれる (スコア:3, 参考になる)
>大半のECサイトでは、クレカ番号もパスワードも保存していると思いますが
まともなECサイトは改正割販法施行前からカードの生情報は保存していませんよ
まともなECサイトでは「カード情報を保存する」オプションはトークナイゼーション [it-trend.jp]という仕組みでカード会社側で保存されているカード情報に紐づけられるトークンを保存しているだけです
(トークン+下4桁、有効期限というケースもあり)
このトークンはカード情報が暗号化されている訳ではないので当然復号もできませんし、通常は加盟店番号や特定のIPアドレスなどとセットでしか決済を受付無い事が多いため流出しても被害が最小限に抑えられます
一方デメリットもあり一般的にトークンを用いた決済は例えトークン取得時の初回決済にセキュリティコードや3Dセキュアを通過していたとしても、それらを利用しないカード番号と有効期限のみの決済として扱われ不正利用(チャージバック)の対象外とされています
そのため改正割販法施行前は、ダメダメなECサイトがトークナイゼーションを利用せずカード番号、有効期限、セキュリティコードを保存していた理由の一つでもあるのですが・・・
余談ですがクレジット会社が運営しているECモールもカード番号は基幹システムのみがもち、ECモール自体はトークンのみの保存が一般的です
Re: (スコア:0)
Amazonで買い物するとき何も聞かれないということは全部憶えているということだよね
Re: (スコア:0)