アカウント名:
パスワード:
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
私もです。ICカードをつかってる意味がない。というか、felicaのリーダーは一般販売されてるんだから、それを通さないと読み出せない仕組みであれば同じサービスは提供可能。
つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。
クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。(使ったことないけど)
交通系ICカードは、仕様上利用履歴を20件しか保持できません。駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。(駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です
3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。
親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。個人的には、オプトイン方式に変更が一番安全だと思います。
#業界関係者なのにこのシステムの存在を知らなかったのでAC
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
言ってることはもっともだが… (スコア:2)
高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
(当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)
それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー
Re: (スコア:1)
Re: (スコア:0)
私もです。
ICカードをつかってる意味がない。
というか、felicaのリーダーは一般販売されてるんだから、
それを通さないと読み出せない仕組みであれば同じサービスは提供可能。
つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。
クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。
(使ったことないけど)
Re:言ってることはもっともだが… (スコア:2, 参考になる)
交通系ICカードは、仕様上利用履歴を20件しか保持できません。
駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。
それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。
(駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です
3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。
親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。
例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。
ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。
個人的には、オプトイン方式に変更が一番安全だと思います。
#業界関係者なのにこのシステムの存在を知らなかったのでAC
Re: (スコア:0)
(つまり、実際に改札が夜間バッチで残額処理してるのと同じ方式)
であれば、可能じゃないかと。