Notices by Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co), page 3

zunda ? nはおまけ :green_dango: (zundan@mastodon.zunda.ninja@mastodon.zunda.ninja)'s status on Saturday, 06-Jul-2019 12:36:28 JST zunda ? nはおまけ :green_dango:
- zunda ? nはおまけ :green_dango:
パスワードリセットがばがばだけど守るべきものもないし声上げるのめんどうだわ、って思ってたところに、クレカが入って来ちゃったりした可能性もあったりする？

In conversation Saturday, 06-Jul-2019 12:36:28 JST from mastodon.zunda.ninja permalink Repeated by kuropen
もち (mot@mastodon.motcha.tech@mastodon.motcha.tech)'s status on Saturday, 06-Jul-2019 12:32:31 JST もち
- もち
そうそう。なので、そこの担当者が基本情報レベルのセキュリティ理解があって、土台の策定がおかしいことに改めて気付けるかどうかが最後のラインだったのかなと。たぶん、普通のえんじにゃー達の声が握りつぶされている可能性はそこそこあるわけで、権限を持っている現場の技術的な人間が、最後の判断をした奴がいるんだよ…

In conversation Saturday, 06-Jul-2019 12:32:31 JST from mastodon.motcha.tech permalink Repeated by kuropen
もち (mot@mastodon.motcha.tech@mastodon.motcha.tech)'s status on Saturday, 06-Jul-2019 12:26:33 JST もち
- もち
これ絶妙なところで、これだけ問題になったから総スカンですが、当たり前のように基本設計に書いてあり、当たり前のようにゴリゴリ実装して、とりあえずバグがなく動くことがテストできたとき、そもそも前提としてこの機能やべぇのでは？みたいなことに気付けるかっていうと…意外にも…だと思うところはある

In conversation Saturday, 06-Jul-2019 12:26:33 JST from mastodon.motcha.tech permalink Repeated by kuropen
てるぴっぴ (t@pl.telteltel.com)'s status on Saturday, 06-Jul-2019 12:28:22 JST てるぴっぴ
- てるぴっぴ
受入テストしたセブン側が求めてた仕様通りの実装なんだよアレ多分

In conversation Saturday, 06-Jul-2019 12:28:22 JST from pl.telteltel.com permalink Repeated by kuropen
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 12:28:02 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
セブンペイ側の記者会見で「お客様を犯罪者だというわけにはいかない」との言葉があった。
店としては確かにそうなのだが、システム設計にその考えを持ち込んではならない。それは自動車運転における「だろう運転」に相当する、事故を誘発する行為。
システムは「犯罪者ではないと証明できた以外のクライアントは犯罪者である」との想定で設計されなければならない。

In conversation Saturday, 06-Jul-2019 12:28:02 JST from talknet.akabe.co permalink
てるぴっぴ (t@pl.telteltel.com)'s status on Saturday, 06-Jul-2019 12:21:10 JST てるぴっぴ
- てるぴっぴ
これはまあそうなんだけど、上層部の鶴の一声で「二段階認証？客が離れるだろ」みたいなのが起こるのは大問題かなと

In conversation Saturday, 06-Jul-2019 12:21:10 JST from pl.telteltel.com permalink Repeated by kuropen
てるぴっぴ (t@pl.telteltel.com)'s status on Saturday, 06-Jul-2019 12:24:14 JST てるぴっぴ
- てるぴっぴ
世に放たれてここまで「その仕様はあかん」ってIT関係の人らが言ってることが実装段階で実装者が気づかないわけが無いでしょさすがに

In conversation Saturday, 06-Jul-2019 12:24:14 JST from pl.telteltel.com permalink Repeated by kuropen
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 12:23:10 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
自分が関わっているプロジェクトではコーディングルールで「ゼロトラストポリシー」を規定している。
「ソースコード上に直接記載された以外のいかなる値も断じて信用してはならない」

そして、入力値を信用してはならないということの本質は、信用できないような入力値を入れるようなクライアント、すなわち悪意のある利用者を想定せよと言っている。

In conversation Saturday, 06-Jul-2019 12:23:10 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 12:20:13 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
インターネットで事業をやるにあたって性善説で事を進めようとする手合いは、立場の如何に関わらず猛省しなければならない。

In conversation Saturday, 06-Jul-2019 12:20:13 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 12:20:01 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
インターネットで事業をやるにあたって性善説で事を進めようとする手合いには、立場の如何に関わらず猛省しなければならない。

In conversation Saturday, 06-Jul-2019 12:20:01 JST from talknet.akabe.co permalink
クマノテツ :m4_logo_wh: :sabacan: (kumanotetu@mstdn.mini4wd-engineer.com@mstdn.mini4wd-engineer.com)'s status on Saturday, 06-Jul-2019 12:17:11 JST クマノテツ :m4_logo_wh: :sabacan:
in reply to
- クマノテツ :m4_logo_wh: :sabacan:
- てるぴっぴ
@t
セブンのダメ情シスあたりに変に口出しされて、この仕様になっちゃったんじゃないかなぁと思ってます
ユーザーの利便性が第一（笑

In conversation Saturday, 06-Jul-2019 12:17:11 JST from mstdn.mini4wd-engineer.com permalink Repeated by kuropen
もち (mot@mastodon.motcha.tech@mastodon.motcha.tech)'s status on Saturday, 06-Jul-2019 12:17:09 JST もち
- もち
まあ、こういうとアレなんだが、おそらくあの辺の仕様を決定して実装してテストしてGoを出した技術的な一番上の責任者がいるはずで、そこでどうしたって止まるべきだったの

In conversation Saturday, 06-Jul-2019 12:17:09 JST from mastodon.motcha.tech permalink Repeated by kuropen
てるぴっぴ (t@pl.telteltel.com)'s status on Saturday, 06-Jul-2019 12:13:40 JST てるぴっぴ
- てるぴっぴ
この件、基本情報を勉強すべきはエンジニアやプログラマじゃなくて上層部なのではなかろうか

In conversation Saturday, 06-Jul-2019 12:13:40 JST from pl.telteltel.com permalink Repeated by kuropen
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 11:53:11 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
元ネタはGDPRの制裁金規定（全世界連結売上高の4%、ただし2000万ユーロを下回らない）

In conversation Saturday, 06-Jul-2019 11:53:11 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 11:50:54 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
企業犯罪に対する刑罰は売上高スライドの罰金でなければ無意味という思想。

In conversation Saturday, 06-Jul-2019 11:50:54 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 11:48:33 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
金融・決済・通信販売系のシステムでは多要素認証を義務化する法制定が必要。
※従わなかった事業者には前年度のグループ全体連結売上高にスライドした罰金という罰則も付けて

In conversation Saturday, 06-Jul-2019 11:48:33 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Saturday, 06-Jul-2019 11:47:48 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
金融・決済・通信販売系のシステムでは多要素認証を義務化する法制定が必要。

※従わなかった事業者には前年度の売上高にスライドした罰金という罰則も付けて

In conversation Saturday, 06-Jul-2019 11:47:48 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Friday, 05-Jul-2019 13:06:58 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
そもそもオムニ7やモバイルSuicaがこのような仕様になった原因には日本の携帯電話のガラパゴス化…とりわけキャリア間でSMSの互換性がない状態が長らく続いていた。これにより二要素認証を行うことが困難だった時期に構築されたシステム、ないしはその時代の設計思想が多く残っているためと思われる。

In conversation Friday, 05-Jul-2019 13:06:58 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Friday, 05-Jul-2019 13:05:20 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
そもそもオムニ7やモバイルSuicaがこのような仕様になった原因には日本の携帯電話のガラパゴス化…とりわけキャリア間でSMSの互換性が長らくない状態が続いており、二要素認証をするための基盤が存在しなかった時期に構築されたシステム、ないしはその時代の設計思想が多く残っているためと思われる。

In conversation Friday, 05-Jul-2019 13:05:20 JST from talknet.akabe.co permalink
Kuropen 【10/12停止予定】 (kuropen@talknet.akabe.co)'s status on Friday, 05-Jul-2019 13:01:58 JST Kuropen 【10/12停止予定】
- Kuropen 【10/12停止予定】
なお、他人のメールアドレスにパスワードリセットメールが送れる問題はモバイルSuicaにもあると指摘されているが、確認したところ、オムニ7のものと比べると不正利用するにあたってのハードルが高いと判断した。

In conversation Friday, 05-Jul-2019 13:01:58 JST from talknet.akabe.co permalink