む、タリーズはW2を使って構築してたのか
うーん……プラットフォームとしてはそこそこ大手どころだな…
要はW2の対策が悪かったってことなんだけど…
ごろう in おひとりさまインスタンス
ここがメインアカウント。
財政上の理由により廃止する可能性あり。
サーモンラン(安定クリア(生存重視)勢)
音ゲー(いわゆる黄譜面の常連)
IT関係にわか(本職はとあるWebサービスでSREというかQAというかなんというか…をしてる)
主なサブアカウント
・イカトドン @gorou12
・いかすきー @gorou12
主要3アカウントまとめ
https://notestock.osa-p.net/@gorou12@mstdn.pokete.com/group_main
・Bluesky: https://bsky.app/profile/pokete.com
む、タリーズはW2を使って構築してたのか
うーん……プラットフォームとしてはそこそこ大手どころだな…
要はW2の対策が悪かったってことなんだけど…
なるほど、タリーズの件はカード入力画面のJSに埋め込まれたのか。
となると回避は困難か……システム側の脆弱性ってことになるなあ
さっきの書き方だとおかしいな
セキュリティコードを含めたクレカ情報を、いったんサーバープログラムに渡してたとかかなあ
非保持化の原理って、ブラウザで入力した情報をJSで決済代行会社にトークンで渡すからECサーバーを通らない ってことなんよね それができてなかったかな
タリーズの件は近しい界隈にいるので気になるのう
たぶん自社EC上でセキュリティコードまで入力させるスタイルだったんだろうな、そこでそのフォームを丸ごと掠め取られるプログラムを仕込まれたとかかなあ?