We've detected that JavaScript is disabled in your browser. Would you like to proceed to legacy Twitter?

「いま」起きていることを見つけよう

Twitterなら、「いま」起きていることをいち早くチェックできます。

アカウント作成

ツイートする

会話

カード会社のウェブ系のセキュリティは本当に駄目だなぁ。3Dセキュアもだめ、実行計画（のウェブ関連の記載）もだめ…どちらも非常に重要なものという位置づけですよね…業界の人はどう思っているのだろう。金で解決（補償）すればよいとでも?

引用ツイート

Hiromitsu Takagi

@HiromitsuTakagi

· 10月21日

こういうのもさあ、いいかげん直そうと思わんの？別ドメイン名（smbc-card. com）で登録されているパスワードを、ここ（cafis-paynet. jp）で入力させようとしても、自動で入力されないわけさ。smbc-card. comのサブドメインt上のサーバに転送すればいいんじゃないの？何回も言ったけど治らない。

5

184

364

XeonFeng,CISSP/CISA/PMP

3Dセキュアバージョン2.0の場合セキュリティと利便性両方も考慮されるはず(リスク高い場合のみ追加認識)。3Dセキュア自体どこがダメなのかがわかりません。

2

6

8

見知らぬドメインでパスワードを入力させられるという現実の実装のことを言っています

1

9

22

XeonFeng,CISSP/CISA/PMP

自社でACSサーバー立てるのは現実ではないかなと思います。3Dセキュア認識用のPWはブランド側も管理責任ありますし、どうしても一社には集約し難しい、いかに不正検知の精度を上げて、正規なユーザーなら、そもそもその画面を出せないのも工夫の一つかもしれません。

1

6

4

Moriyoshi Koizumi

ACSをどこのベンダーが提供するかということと、どのドメインでカードホルダーに提供するかという話は別物です。ベンダーが率先してイシュア保有のドメインでのサービス提供を行うメニューを作ってくれればいいと思うのですが

1

8

13

XeonFeng,CISSP/CISA/PMP

返信先:

さん,

さん

ACSサーバーのサイトで、ブランドから年度ごとの監査がどれだけ手数かかるかが知らないでしょうね。イシュアドメイン別に立てる場合、審査の手間が相当大変になります。

午後10:34 · 2020年10月22日Twitter for iPhone

件のリツイート

件のいいね

Moriyoshi Koizumi

返信先:

さん

イシュア保有ドメイン名ごとにシステムを構築するため、都度監査が必要と考えておられるのでしょうか？技術的にそうなるかどうかは設計次第ですし、おそらくそうはならないかと

1

1

3

返信を表示

Twitterを使ってみよう

今すぐ登録して、タイムラインをカスタマイズしましょう。

アカウント作成

アイテムがありません