ツイートする

会話

徳丸 浩
@ockeghem
カード会社のウェブ系のセキュリティは本当に駄目だなぁ。3Dセキュアもだめ、実行計画(のウェブ関連の記載)もだめ…どちらも非常に重要なものという位置づけですよね…業界の人はどう思っているのだろう。金で解決(補償)すればよいとでも?
引用ツイート
Hiromitsu Takagi
@HiromitsuTakagi
·
こういうのもさあ、いいかげん直そうと思わんの? 別ドメイン名(smbc-card. com)で登録されているパスワードを、ここ(cafis-paynet. jp)で入力させようとしても、自動で入力されないわけさ。smbc-card. comのサブドメインt上のサーバに転送すればいいんじゃないの? 何回も言ったけど治らない。
画像
5
184
364
XeonFeng,CISSP/CISA/PMP
@XoenFeng
3Dセキュアバージョン2.0の場合セキュリティと利便性両方も考慮されるはず(リスク高い場合のみ追加認識)。3Dセキュア自体どこがダメなのかがわかりません。
2
6
8
徳丸 浩
@ockeghem
見知らぬドメインでパスワードを入力させられるという現実の実装のことを言っています
1
9
22
XeonFeng,CISSP/CISA/PMP
@XoenFeng
自社でACSサーバー立てるのは現実ではないかなと思います。3Dセキュア認識用のPWはブランド側も管理責任ありますし、どうしても一社には集約し難しい、いかに不正検知の精度を上げて、正規なユーザーなら、そもそもその画面を出せないのも工夫の一つかもしれません。
1
6
4
Moriyoshi Koizumi
@moriyoshit
ACSをどこのベンダーが提供するかということと、どのドメインでカードホルダーに提供するかという話は別物です。ベンダーが率先してイシュア保有のドメインでのサービス提供を行うメニューを作ってくれればいいと思うのですが
1
8
13
XeonFeng,CISSP/CISA/PMP
@XoenFeng
ACSサーバーのサイトで、ブランドから年度ごとの監査がどれだけ手数かかるかが知らないでしょうね。イシュアドメイン別に立てる場合、審査の手間が相当大変になります。
1
4
4
Moriyoshi Koizumi
@moriyoshit
イシュア保有ドメイン名ごとにシステムを構築するため、都度監査が必要と考えておられるのでしょうか?技術的にそうなるかどうかは設計次第ですし、おそらくそうはならないかと
1
1
3
XeonFeng,CISSP/CISA/PMP
@XoenFeng
返信先:
@moriyoshit
さん
できなくはないですが、ドメインの管理と管理に対しての審査が大変になります。経済的な合理性があってからのセキュリティなのです。一つ正規なASCドメインに統一すれば正規ではないドメインの3Dセキュア認証がすぐ分かるからです。ACSサーバーの知名度がまだまだ低いことはよく分かりましたT T
午後11:01 · 2020年10月22日Twitter for iPhone
4
件のリツイート
2
件の引用ツイート
4
件のいいね
返信を表示

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。
アカウント作成
アイテムがありません