クレジットカードの情報はどこか届かないところへしまって欲しい [プログラミング]
アリコは、(アリコのカード情報を一括で抜ける EC サイトは無いので)三菱UFJ 証券みたいに内部犯行だと思うが・・・
http://www.47news.jp/CN/200908/CN2009081401000577.html
最近、EC サイトの SQL インジェクション(らしき手法)でクレジットカード番号が漏れることのなんと多いことか。
http://www.itmedia.co.jp/news/articles/0908/10/news054.html
http://www.itmedia.co.jp/news/articles/0808/06/news110.html
http://www.itmedia.co.jp/news/articles/0807/24/news048.html
そして、 IPA からの注意喚起
http://japan.cnet.com/news/sec/story/0,2000056024,20398447,00.htm
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html
SQL インジェクションの脆弱性があることも良くないことではあるが、そもそも SQL インジェクションでデータが抜けるところにカード情報がしまってあることに驚く。
別データーベースか、少なくともクレジットカード情報部分は別ロールでないと読めないようにして、Web 経由のロジックからは登録はできても、読み取れないところにしまって欲しい。
外部の犯行じゃないにしても、SQL インジェクションで抜けるようなところにあるってことは、普通に運用保守をやっている人もカード番号見れちゃうってことじゃないの・・・。
以前は、「住所、氏名等の情報は漏れたがカード番号は別保管だったので大丈夫」というような報道が多かったように思うが、そういうところはむしろ安心して使えるのでは無いかと思う今日この頃。
http://www.47news.jp/CN/200908/CN2009081401000577.html
最近、EC サイトの SQL インジェクション(らしき手法)でクレジットカード番号が漏れることのなんと多いことか。
http://www.itmedia.co.jp/news/articles/0908/10/news054.html
http://www.itmedia.co.jp/news/articles/0808/06/news110.html
http://www.itmedia.co.jp/news/articles/0807/24/news048.html
そして、 IPA からの注意喚起
http://japan.cnet.com/news/sec/story/0,2000056024,20398447,00.htm
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html
SQL インジェクションの脆弱性があることも良くないことではあるが、そもそも SQL インジェクションでデータが抜けるところにカード情報がしまってあることに驚く。
別データーベースか、少なくともクレジットカード情報部分は別ロールでないと読めないようにして、Web 経由のロジックからは登録はできても、読み取れないところにしまって欲しい。
外部の犯行じゃないにしても、SQL インジェクションで抜けるようなところにあるってことは、普通に運用保守をやっている人もカード番号見れちゃうってことじゃないの・・・。
以前は、「住所、氏名等の情報は漏れたがカード番号は別保管だったので大丈夫」というような報道が多かったように思うが、そういうところはむしろ安心して使えるのでは無いかと思う今日この頃。
2009-08-19 09:23
nice!(0)
コメント(0)
トラックバック(0)
コメント 0