2010-09-16

某サイトへの苦言…

ototoyさんのサイトなんですが…

Twitterで認証できるってんで、Twitter認証をかけて、ログイン。
楽曲購入にはクレジットカード登録が必要だから、ということでクレジットカードを登録。

その後、サイトを閲覧してたら、サイトにクレジットカードが登録されたままなのを確認。
こりゃやばいや、ってことで、削除しようとしたんですが…

クレジット情報を空欄にして登録→エラー
会員情報を削除しようとしたところ→正規会員ではないんで削除不可

んー、正規登録をした上で削除したら本当に消えるんだろうか?

顧客のクレジットカード情報を自前のサイトに持つ時点で、Webサイト構築者の見識を疑うところですが、まさか消せない仕様だとわ…
この状態でセキュリティ破られてクレジットカード情報流れたら、つぶれますぜ?>ototoyさん<せっかくDSD配信始めたばかりなのに…

次の購入時に手間を減らしたいという一念なんでしょうけど、あまりにリテラシーが低い気が…

というわけで、まだクレジットカード情報が残ってます…メールで問い合わせたが現在反応なし…こまったもんだ…


確かにクレジットカードの頭12桁分は見えなくされてるが…Webのセキュリティなんて、ちょっとでもほころびがあるなら突破されてしまうわけで、リスク高過ぎると思いますよぉ~

===追記===
某氏にTwitterでこのことを取り上げて貰った処、即反応が…はええ…

一応メールで回答は貰っていて、対処を検討します、って形で止まってるなー、ということでのBlogとなりました。
改善する方向で検討されている、とのことなので、のんびり期待して待つ事にします。

正直一番気にしてるのは…
・Twitterのログインなんて、非常に怪しいものを認証に使っている…
→過去何度もパスワード流出とかあったわけで、最近はましになってるとしてもです…
・そんな状態でTwitterか自分のサイト、どちらかでセキュリティの問題が発生したら、連鎖的にクレジットカード情報が使われてしまう
→補償するのは ototoy さんになると思う…

というわけで、できれば…
・クレジットカード情報は毎回入力させる
もっといえば…
・VisaとかのV-pass系のサービスとかを利用して、そっちで認証させる(手数料かかるとは思いますが)
のあたりのことをして、クレジットカード情報は一切持たないのがよいと思います…決済までの情報は、決済用のIDがあるはずで、それを維持してれば問題ないはずだし…

あー、
・paypalを使う
でもいいです。なんにせよ決済自体を自社で維持するのは、セキュリティをがんばって維持しないといけないので、大変コストのかかる事ぢゃないかと…

0 件のコメント: