ツイートする

会話

徳丸浩

@ockeghem

10月22日

カード会社のウェブ系のセキュリティは本当に駄目だなぁ。3Dセキュアもだめ、実行計画（のウェブ関連の記載）もだめ…どちらも非常に重要なものという位置づけですよね…業界の人はどう思っているのだろう。金で解決（補償）すればよいとでも?

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 10月21日

こういうのもさあ、いいかげん直そうと思わんの？別ドメイン名（smbc-card. com）で登録されているパスワードを、ここ（cafis-paynet. jp）で入力させようとしても、自動で入力されないわけさ。smbc-card. comのサブドメインt上のサーバに転送すればいいんじゃないの？何回も言ったけど治らない。

184

364

XeonFeng,CISSP/CISA/PMP

@XoenFeng

10月22日

3Dセキュアバージョン2.0の場合セキュリティと利便性両方も考慮されるはず(リスク高い場合のみ追加認識)。3Dセキュア自体どこがダメなのかがわかりません。

徳丸浩

@ockeghem

10月22日

見知らぬドメインでパスワードを入力させられるという現実の実装のことを言っています

XeonFeng,CISSP/CISA/PMP

@XoenFeng

10月22日

自社でACSサーバー立てるのは現実ではないかなと思います。3Dセキュア認識用のPWはブランド側も管理責任ありますし、どうしても一社には集約し難しい、いかに不正検知の精度を上げて、正規なユーザーなら、そもそもその画面を出せないのも工夫の一つかもしれません。

Moriyoshi Koizumi

@moriyoshit

10月22日

ACSをどこのベンダーが提供するかということと、どのドメインでカードホルダーに提供するかという話は別物です。ベンダーが率先してイシュア保有のドメインでのサービス提供を行うメニューを作ってくれればいいと思うのですが

XeonFeng,CISSP/CISA/PMP

@XoenFeng

10月22日

ACSサーバーのサイトで、ブランドから年度ごとの監査がどれだけ手数かかるかが知らないでしょうね。イシュアドメイン別に立てる場合、審査の手間が相当大変になります。

Moriyoshi Koizumi

@moriyoshit

返信先:

@XoenFeng

さん

イシュア保有ドメイン名ごとにシステムを構築するため、都度監査が必要と考えておられるのでしょうか？技術的にそうなるかどうかは設計次第ですし、おそらくそうはならないかと

午後10:39 · 2020年10月22日Twitter for Android

件のリツイート

件のいいね

返信をさらに表示

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。

アカウント作成

アイテムがありません