Want to take advantage of all the new Twitter features?
Tweets
- Tweets, current page.
- Tweets & replies
- Media
You blocked @HiromitsuTakagi
Are you sure you want to view these Tweets? Viewing Tweets won't unblock @HiromitsuTakagi
- Hiromitsu Takagi Retweeted
『不正ログインに使用されたID・パスワードは弊社に登録されていないものが多数含まれており、「リスト型攻撃」による不正ログインと判明しました。』 2019年8月23日 弊社会員向けスマートフォンアプリでの不正ログインについて(三井住友カード株式会社) https://www.smbc-card.com/company/news/news0001468.pdf …pic.twitter.com/PnpxOZXfzh
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
これ、Amazonのように下4桁が表示されるサイトとあわせ技で全ての桁が判明するわけですが…Amazonは大丈夫として、他のサイトはどうか?
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
『クレジットカード番号についてはマスキングを行っているため、特定されることはないという』とは言え、下3桁のみのマスクで13桁は表示される / “三井住友カード「Vpass」アプリに1.6万件の不正ログインか - INTERNET Watch”https://htn.to/WZBjjo7FXQ
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
Vpassの不正ログイン、アプリに対してだったんだな。パズル認証がWebサイトを守ったんだ
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi RetweetedThanks. Twitter will use this to make your timeline better. UndoUndo
- Hiromitsu Takagi Retweeted
(続き) > 本件に関しましては、多くのお客様から様々なご意見を頂戴しております。 お客様からいただきましたご指摘につきましては真摯に受け止め、 今後も引き続き改善に努めて参ります。 何卒ご理解賜りますよう宜しくお願い申し上げます。
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
そのときの(たぶんテンプレ)回答がこれ。 > セキュリティの観点から詳細をお伝えすることができかねますので 誠に恐縮ではございますが、 「パズル認証」は、Vpassのセキュリティ向上を目的に、 不正アクセス対策の一環として導入させていただいた次第です。
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
だからパズル認証導入時に「そんなバカなもの導入止めて。考え直して」って苦情メール送ったのに < 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュースhttps://www3.nhk.or.jp/news/html/20190823/k10012045751000.html …
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
おっとvpassアプリにはパズル認証(笑)が無いのか! ってことは、アプリの動作をトレースされるとアレね… Vpassログイン時のパズル認証について https://www.smbc-card.com/mem/service/sec/puzzle.jsp … 「スマートフォンアプリは対象となりません。」https://twitter.com/huhka_com/status/1164850965553401856 …
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi RetweetedThanks. Twitter will use this to make your timeline better. UndoUndo
- Hiromitsu Takagi Retweeted
スマホのブラウザからVpass見るとパズル認証無い不思議。
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
Vpassアプリのログインはパズル認証ないんだけど、なぜかその二つを関連付けている人がいる
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
だからスマホアプリが狙われたんかな。穴があるんなら認証の意味ないな。
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
その後、このサイトは、月代わりでCPATCHAのデザインを変更するという愚策 http://takagi-hiromitsu.jp/diary/20060930.html … を取って笑いをとった後、生年月日を入力させる対策を追加していた。pic.twitter.com/PV0jTQNTvs
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
そのような欠陥認証の対策として、不完全性が避けられないCAPTCHAという方法を用いることについて、「この目的でCAPTCHAを使うのはよくない。」としたのであった。(CAPTCHAは、あるとき突然、ボットによって続々破られるようになるときが来ないとは限らないからだ。)
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
当時Googleが既に、ボットによるパスワード破り対策に、ログイン画面でCAPTCHAを出していた。それを真似たのだろうが、利用者に責任のないところで保険的にCPATCHAを加えたGoogleの場合とは根本的に異なる。4桁数字暗証をWebで用いるのは、サイト運営者の落ち度である。
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
…ログインは、クレジットカード番号16桁と、クレジットカードの4桁暗証番号で可能になっていた。これは危険だと電話で抗議したのが2005年ごろだっただろうか。それが効いたか自力で気付いたか、CAPTCHAによる対策が入ったわけだ。それがこんなハリボテでは話にならないのであった。
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
このとき「このCAPTCHA導入の目的は荒らし対策ではない。この目的でCAPTCHAを使うのはよくない。その理由は今はここでは言わない。」と結んだのは、実は、今で言ういわゆる「リバースブルートフォース」攻撃に対する対策だろうと思ったからだった。当時、三井住友カードのログインは、…
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
昔こういうのがあった。 飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき http://takagi-hiromitsu.jp/diary/20060810.html …pic.twitter.com/JJuW515Pyq
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
パズル認証(笑)の件、11年前のこれの続編を書かねばならんのかね。クレジットカード会社のセキュリティ要員はクルクルパーばっかなのかしら。 飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき(2006年08月10日) http://takagi-hiromitsu.jp/diary/20060810.html …pic.twitter.com/L22SmQycAj
Thanks. Twitter will use this to make your timeline better. UndoUndo
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.