徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

先日投稿された動画にて、クレジットカード非保持化のお話を拝見しました。これに関連した質問をさせて下さい。
例えばAmazonなどの加盟店は、初めに入力されたクレジットカード番号を保存して以降の入力を省略したり、時々再入力させて照合したりする機能を提供しています。これは、加盟店が独自に実装しているものなのでしょうか。それとも、PSPが提供する機能を利用して実装しているものなのでしょうか。
もし前者であれば、非保持化の流れと逆行する機能なのではないかと疑問に思ったため、詳細をお教えいただきたいです。

2020/05/10 15:57

YouTubeにて回答しました。
https://youtu.be/BcotMnV-ovc

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Webアクセスにおける常時TLSの普及はだいぶ進んでいるのに、なぜメールはいまだに平文が主流なのでしょうか?
自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。
HasuraのブログでJWTのベストプラクティスとして、最初JWTを短かめの有効期限設定でメモリに格納し、その後silent refreshでログイン状態の保持(refresh tokenはcookieに保存&HttpOnly)を行う、とありましたが、この手法についてはどう思われますか?
https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?
YouTubeの動画がどれも分かりやすいです。動画制作にはどのようなソフトを使っているのでしょうか。