【FE】7payの脆弱性、基本情報技術者試験に同様の問題が
レス数が1000を超えています。これ以上書き込みはできません。
基本情報技術者平成28年春期
午前問40
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア・あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。
イ・あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
ウ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。
エ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
https://www.fe-siken.com/kakomon/28_haru/q40.html
7payのようなパスワード再設定方法は、以前から基本情報技術者試験で不正解の典型として挙げられてます
https://twitter.com/aka_pencil/status/1146752497400205312
https://twitter.com/5chan_nel (5ch newer account) 誰も止める人や進言する人はいなかったのかな
なんでここまでの酷いことが放置されてサービス開始までいっちゃうんだろう 何の役にも立たない糞みたいな常識テストだと思ってたが
常識がない奴には為になる知識なんだな その名の通り、基本的なことすぎるんで過去問にあるわな 情報処理機構の中の人だってWinnyつこうてるんですよ どこの会社なんだ?
まあ結局外部設計すらレビューしてないセブン側に帰結するか セブンのエンジニアは基本情報レベルてすらないのかよ IT後進国日本 韓国よりはるかに遅れてるのに韓国に制裁すれば10倍返しになるのは目に見ええてるわな バーコード決済を煽る報道といい
このハッキングの仕込みとしか思えないな。 穴だらけになるの当然な工数でぶん投げたんだろ
投げた奴クビだ 裁判になっても
会社側が負けるよ。
酷いシステムだ。
素人以下。
こんなシステムを作ったSI企業名どこだ?
公表するべき。 これでよく銀行やろうとか思ったな
二度とセブンには近づかんわ へぇ〜基本でも今そんなのでるのか
まぁこの時代だから当然なんだろうが >>19
そうゆうことになるなw基本的なことを忘れているわw 「基本情報?弊社のシステムは高度なシステムなので関係ない(ドヤァ)」 普通は系列のシステム会社が元請けして、そこがプロジェクトを組むわなあ。
監査やった会社は言い訳立たないな この間9歳で合格してた子がいたな
最年少記録更新だか何だかで セキュリティ基礎知識がないやつが
決定権もってたんだろうな。
そいつが思いつく利便性
でかつ工数圧縮を満たす仕様だったんだろ アとエは論外だな。
今日日、可逆暗号で持たないだろ ア、の会社が未だにある
パスワード平文で送ってくんなや 中国人の潜入スパイがセキュリティ周り設計したんだろ 基本情報技術者でも情報セキュリティは必須問題だからな こんな一般の人でも気付くようなやり方ってあり得ないんだよね・・ たしか一番最初にpayで問題があったときはパスワードを何度でも入力できたんだっけ 昔の試験なら午前でコンピュータに関係ない選択問題で満点とって午後は辛うじてFORTRAN知ってたから勉強せず受かったな この問題って物議を醸したやつだよな
そもそもパスワードリマインダーなんて実装すべきじゃないとクレームが付いた >>42
大した圧縮にもならんだろ
設計レビュー通ったんだかわからんけど、
実装した技術者も、これまずいよなとか言いながら実装してそうだな。多国籍とかでコミュニケーション悪いプロジェクトに有りがち。 被害金を入金のあった店舗に負担させたら犯罪グループとのつながりも考えるざる得ない クレジットカードのハード的にはICだがソフト面では磁気が主流
技術者には薄給でサービス残業で睡眠時間を差し出させ
必要な勉強はさえすべて自腹で払え
そんなIT後進国にはふさわしいセキュリティレベルで作りましたよ いや、新しいメアドやとおかしいな、今朝のニュースだと利用したメッセージが届いたとかいってたしな
まさかの被害者まで仕込みなんて事はないだろうし、もし仕込みなら報道機関として逆に大問題やしな だめだコリア
シロウトでも、一般常識で正答を引き出せそうな初歩の初歩じゃないか 世間での実際情報セキュリティのレベルなんてこんなもんなんだよ
だから国策として情報処理安全確保支援士とかができたんだよ >>68
メールアドレスの確認でよくあるべ。
2時間以内に下記URLにアクセスしてけろって。
だいたいくそ長い英数字がついてるべ 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳。
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話 私家版
https://twitter.com/0Idm3vd9TYmFDaQ/status/1144182365134061568
(直リンNGのためtwitterが開きます)ngc
https://twitter.com/5chan_nel (5ch newer account) だって、そんなん「ITエンジニア」が考える事じゃない。
ITエンジニアは仕様書の通りにシステム組むのが仕事なんで、そのシステムに穴があるのは仕様書を書いたやつの責任、あとそのシステムで大損こいたのはユーザーが馬鹿だから。
つまり、ITエンジニアはなんも悪くない オ. パスワードを忘れたボタンをクリックしたら、現パスワードを表示する キャッシュレスでキャッシュレス、笑えない
最強パターンはこれ↓
財布に千円、カード無し、
これなら全損でも1000円ポッキリ、
財布は100均な >>68
他人のパスワード変更画面のURLにアクセスできたらまずいだろ?だから、普通は短い期間に一回だけ有効なながーいURLを発行してアクセスさせる >>68
パラメータがランダム文字列ってこと
いわゆるハッシュ >>70
パスワードのリセットを別のメルアドに送らせてただけで、
メルアドの変更手続きしたわけではないからな。
そりゃ利用履歴は登録メルアドにくるだろ? お粗末と言えばお粗末だが、パスワードなんかの問題あらへんやろ(^。^)y-.。o○
7アプリがクレジットカード情報をどっかに送信しておるんやろ
クレジットカードも止めないとあかんで >>77
それはエンジニアとは言わんな
ドカタやでそれ
エンジニアはちゃんと上から下まで把握しとるお人のことです >>74
この問題の言ってる推測者はパスワードを変更したいメール受信者以外を指してるってことかな オ. パスワードを忘れたユーザーの利便性を考えて、新たに入力したメールアドレスにパスワード変更URLを送付する 信じられないだろうけど大手でもこの程度のリテラシーだよ 外国では、学位がないとITエンジニアになれないが、日本は学歴経験不問 みんな期待してるのは
セブンが保障するか
巻き返しで大幅キャンペーンやるか
なだけ
あとでセブンが消えようがどうでもいい
paypay騒ぎの後でクレカすぐ登録するのが
馬鹿なだけ >>83
あーランダム文字列の総称を推測困難って言ってるのかわかった >>72
知識がないならないで、経産省ガイドラインに沿っとくだけでも
こんなことにはならなかったろうにな。
「お役所の時代遅れなガイドラインより俺らのほうが現実わかってるし〜」みたいな
ノリだったのかな。 すべて不正解だけどな
電子メールは覗き見られる可能性があるから、金融サイトはパスワードを忘れたら郵送で再登録するのが正しい こういう当たり前のサービス問題って意味あるのかと思ってたけど、現実にあるんだもんな >>37
メルアド、氏名、住所、生年月日があれば、その場でパスワード再設定が出来る
※仮に個人情報が流出したら、、、
だから ウに近いな。 基本情報技術者試験であれば
毎回似たような問題が出るであろう >>97
他の人が推測できないだけであって
受信者は見えるからな >>85
PayPayの時には問題にならなかったのにね >>97
第三者が推測困難なだけでメールを送られた人はポチりゃ良い >>98
そんなときのワンタイムトークンじゃないの? 問題はクレジットカード情報が支那に抜かれてるおると言うことやで(^。^)y-.。o○ 脆弱性チェックが通ったといっても、これってサーバとかミドルウェアとかアプリのバグとかのチェックで、仕様の脆弱性はチェックせんよ。 >>66
セブンがアホ仕様を指示
→中国人プログラマ「これ穴あるよなw」
→面白い話がありますよ
→運用開始
あたりかね
欠陥を見つけても報告しない
秘密を漏らす(秘密とも言えんがw)
運用開始直後って完全に開始前から知ってて狙われてたわ >>68
Aさんのアカウントに悪者B が入り込もうとする
悪者BがAさんになりすまして「パスワードを忘れたどうにかしたい」という操作をやる
Aさんのところにメールが行く
で、このメールに書いてあるURLが
http: // 7pay/A/password-change
みたいなわかりやすいURLだと
悪者Bはメールを受け取らなくても、URLを予測できる。パスワード再設定の手続きができちゃう
メールを送る意味がなくなってしまう
なので、メールを受け取った人しかわからない URL にしないといけない
http: // 7pay/A/password-change-AGJSDLKJSDF
みたいな
そういう話じゃないかな カ.パスワードを忘れた場合、パスワードは入力しなくてもいい
正解はこれだろ。便利だし。 オ・不正アクセス等により損害を受けた場合でも当社は責任を負わない旨を速やかにWebページに記載する。 >>105
内製らしいよ。セブン→協力会社が製造って報道。
nttdataと野村総研は噛んでないらしい >>102
>>106
>>110
読めるなら、バスワード送っても変わらないと思うけど。 三船の娘がむかし広告に出てたから
ここは層化企業だと思っていた セブンイレブンの担当も
受注会社の担当も
解雇かアラスカへ異動だよなぁ オ 約款づくりに全精力を傾けて、不正アクセスをされてもサイト側が補償をしないでもいいように準備する >>129
そもそもシステム側が可逆暗号化でパスワードを持つことが間違いだもの。 >>117
そもそも7payが使ってる認証システムは元からセブンイレブンが使ってたものを流用してるだけで
新しく作ったわけじゃないしね。 > 127
内製じゃないでしょ
フリーとかWeb製作会社とかに頼んだんじゃない?
大体広告代理店絡みだろうけど。 >>129
パスワード自体はおくられてきたサイトから自分で入力するんだろ こんなの問題を知らなくてもウとエが論外なのはわかるだろうがw 重要な仕事を非正規に任せるからこんな事になったんだろ。セブンは労働力をモノとしか看做さないブラック体質の付けが廻ってきただけ。 普段と異なる環境からログインがありました
こんなめーるが玉に来る >>107
店舗経営もオーナー頼みだから全ての仕事がド素人 メールアドレスだけで本人性を確認するってのも疑問だけどもね。
本来、メールはプレーンであり、パスワードはおろかハッシュURLだって送るのは宜しくない。
いまは登録電話番号にSMSで数字送って、ハッシュURLの先で入力させるなどが流行ってる。
SMSだって郵送だって盗めなくはないけどハードルが極端にあがるし、こうしてSMSとか郵送とか別チャネルで送るだけ1万倍マシ。 >>127
その協力会社が実際は安い海外へ投げてたとかありそうなんだが・・・
もしくは国内で外国人労働者使ってたか
NTTデータは名前上がってたのに噛んでないって、脆弱性診断もしなかったのかね? >>1
これシステム作った下請けの身元を洗った方がいいだろう
下請け内部に中国人の技術者かなんかがいてわざと穴を作った可能性とかないんかな?
サービス開始から攻撃までの一連の手際が良すぎる気がする 二段階認証という言葉すら聞いたことなくて、どうして社長の仕事が勤まるの?普段何してるの? 俺の上司・・・もう10年以上「脆弱性(きじゃくせい)」って言ってる。
客先でも言ってるけどそろそろ本当の読み方を教えた方がいいんだろうか? >>141
フェイスブックが生なのはビックリしたわw つまりセブンは
超初級者ITパスポートの次の、基本情報技術者レベルの人間がいないということ
これはやばいw しかもこれアかイで考えさせる問題でウとエは運任せのバカを弾くための水増し選択肢だからな >>155
その昔パチスロのプログラムでだな・・・ オ. お母さんが急病なのでオジサンと一緒に車に乗って、と言われたら乗らない
が正解 >>22
普通の脆弱性テストってのはSQLインジェクションとかそーいった意味の脆弱性が無いかをチェックするんだ
そもそもの仕組みが脆弱かどうかは関係ない このお粗末さは協力者とかいるだろってレベルだろ
セブンは何かと詐欺グループに狙われるけど対策する気あるのかね >>156
コネ手回し癒着接待(する方も、される方も)
裏金承認 無理してでも稼働させたいほど
キャッシュレス決済で得る情報は旨いのだろうね まあ
メールにパスワードを書いたら
メールが読まれちゃうかも
と心配してるなら
メールにURLを書いても
メールが読まれちゃうかも
と心配すべきなような気もするが
いや、後者なら、タイムリミットつきのページにしておけば
被害を小さくできるし
のちのちメールが流出したときにも危険が減るわけではあるけど >>157
今更教えたら、なんで10年前に教えないんだよってボコられんだろw >>157
遵守をそんしゅって言ってたりしても
面と向かっては指摘しにくいよな >>159
生が良いのはわかるけど、危ないよな。
いろんな意味で 基本情報すら持ってないような下請けが作ったシステムなんだろ
だから日本のITはダメなんだよ >>160
まあ基本情報は午後のアルゴリズムが難しいあるあるだからなw >>160
記者会見出てくるような人はもってないだろうなぁ >>129
URLならその後再設定ページで接続元を記録することができるし
再設定ページでさらにSMS認証をするとかの盗聴対策ができるし
メール不通時に無駄なパスワードリセットが発生しない。 なんか思うんだけど、グルなんじゃないか?
知らんけど >>157
ズラがズレている
スカートのチャック開いている
なども指摘しにくい >>165
うちがやってるチェックだと含まれてたからすまんこ。 >>1
推測困難なURL
現パスワードを送信
どちらもメールアドレスを暗号化しないと同じ事だよね? >>77
事務仕事ばかりじゃ将来不安だぞ。
自己研鑽に励め 今日テレビでさ、偽サイトの話やってて、
電話番号の無いサイト、日本語がおかしいサイトは注意、ってあって、
そういえば以前に騙されたとき、そんなサイトだった。 >>157
それは間違いを指摘するんじゃなくて、会話の中で繰り返し「ぜいじゃくせい」という言葉を使って
気付かせるのが良いよ。 俺がセブンの社長やった方が良かったな
基本情報処理持ってるし オ メールに書かれている推測困難なURLは踏まない >>191
おいおい部下君、きじゃくせいのことだよね?って言われる 試験問題のほうが間違ってるだろ。
実務とあってないんだから。 セブンは企業文化が腐ってたんだな。
ブラックオーナー問題といい
もうだめだろう。 それよりフェイスブックで本名載せてる素人さんには驚きだよ オンゲはログイン時に登録メールアドレスに毎回ログインコードがくる
これだからおじいちゃんしかいない経営陣は >>191
俺は気を使って「それ(脆弱性)に対してはこの機能で・・・」みたいに
極力指摘を避けてきた。
それが優しさだと信じていたけど・・・ >>141
パスワード自体は可逆暗号化されては不味いけど、urlを読まれたら、同じことになるのでは >>190
現場の声を一切うけつけずに
ジジイ経営陣が余計な口だしをする
これで失われた30年
昔から日本はトップがそこまで優秀じゃなくて下がそれなりに賢い国民性なのに 【アルバイト稼ぎ時チャンス到来】 ( `ハ´)掲示板 + 入国ビザ + ( `ハ´)留学生 でも普通に大企業のはずのセブンレベルでも
こんな基本的な認識が抜けてるんだな 公務員みたいな奴が考えていたと。
「業績第一、利用者の個人情報、どうでもよい物。」 嘲笑うスレなのにアとイの決定的な違いがわからん奴が多いな
まあ、多少実務をかじらんとそもそもそういう発想がでないんだろうが おいおいセブン大丈夫かよ
24時間営業やめるべきだろ〜 三時間後に利用不可能、っていうURLってそういうことなの。知らなかった セブン「だってパソコンからパスワードリセット作業する場合、携帯じゃなくて
新たなメアドに送れるようにした方がいいでしょ?」
これだもんなあ 今のSEとかさ、全くセキュリティー教育受けて無いのが多いんだよ
だから、こういう出鱈目な方法を取るんだ
別のメアドにパスワード送るなんてバカの真骨頂だろ >>216
オンラインストレージ系だと「クリックしてから10分後にこのアドレスは無効になります」っていうのもある まぁ多分実際の顧客に協力してもらっての
ベータテストだったんだよ!
このテストのお陰で欠陥や改善点が明らかになった!
だから本番稼働ではきちんとしたシステムになる 犯罪者たちが、パスワード変更してるようにはみえかったけど。
ツイッター報告読む分にはアカウントのっとりでなくて、パスワードを知られたってかんじ。
かといって、パスワードをおくりつけたという情報もないし。
システムハッキングされて、アカウント情報、全部もれてたってのが現実なんでないの。 >>1
ウとエは、新しいメルアドの時点で駄目駄目
アだと、同一の回線(同一人物)がパスを設定できたのかの確認が出来ないしな
たぶんこれ
7payが外注で出したシステムで更に孫請けとかで中華企業にいって
そこで新しいメルアドという杜撰なパス変更システムにしたんだろうな >>217
登録メアドが死んでると確実にサポート用員がかなり動かなきゃいけなくなる案件だからな
その費用をケチったんだろ
最もケチっちゃいけない費用なのに >>206
短時間の間にメールの中身を盗めたら意味ないね。
最近は30分とかで有効期限切れるところが多い セキュリティ強化を提案したら煩雑になって客が逃げる!
もっと顧客の立場になって、かんたんなセキュリティーにしなさい!!!
ってゆったとかゆわないとか アの対応してるとこも結構あるんだよなあ
びっくりした >>218
そもそもWEBとかインターネットの仕組みすら知らず、ビジュアルスタジオの機能とかツールの操作にだけは詳しい感じね セブン銀行解約しようと思って久々にログインしたら
解約申し込みは電話じゃ無いとダメだって
お前電話の主が本人だとどうやって判定するんだよ 普通イでたまにアがあるけど
ウエは見たことないわ
まともな思考してたら思いつかん セブンペイ中止みたいだな
損失は1000億円くらいかな? >>234
セブン「がんばって判定します!!」
これくらい平気でいいそうw webサービスを作る時、日本人は外人が作ったOSを使って外人が作ったフレームワークやらオープンソースやらを使って作るんだよ。
そんなの、セキュリティホール探し放題じゃん?バカなの?
OSやフレームワークから作れない日本人にはITなんて一生無理なんだよ 大体や(^。^)y-.。o○
アンドロイドもiOSもアンダーグラウンドで個人情報を通信する機能が売りや
7アプリがクレジットカード情報を支那へ通信するなど簡単な事や
ろくなテストもセブンはしておらん
丸投げ開発 >>237
損失じゃなくてベータテストにかかった経費 >>141
暗号化すらしてないとこいっぱいありそうやけど こういうのがあるからやっぱり日本では現金が一番だと思う
単体で落したら自分のものと証明できないデメリットはあるけども 無能トンキン企業を最大限擁護すると
この会社は、金融専門手配企業
下請けIT企業に、これこれ作ってくれ!って交渉依頼するだけの無能企業 >>222
帽子のつばで狙いを付けチェストーと叫ぶ >>239
それはちがうだろ
公開されて粗探しに耐えた技術が強いんだ >>242
まだあるね
宅ファイル便でだいぶ減ったとおもうけど >>230
成る程、そういうことなんですね。但し、先に読まれる前にクリックしないといけないということですね。 >>249
宅ファイルあれから消えたね
俺もサービス使ってたけど偽名だったから特に何もなかった
パスワード使いまわしていたら変えてくださいってあったが、
そもそも宅ファイル専用のメアドとパスワードだったからなあ >>242
どこだったかメールでパスワード送ってきたところあったな最近 日本で今決定権を握ってる人たちはスマートホンもほとんど活用してないし、ネットバンキングなんかも
人に全部やらせるから20年前の知識で止まってる。でもプライドが高いから部下のいうことは聞かない。 2種と同一と聞いてたけど
これ2種のレベルに至ってないと思うw >>226
7アプリが家のサーバに通信してるだけアルヨ( ‘ ハ´) >>227
コンビニ利用者には想像を絶するDQNも居るから
複雑にしちゃダメとにかく簡便にって楽な方に流れるんじゃないだろうか これは開発遅れたかなんかで他のバーコード決済の何たらペイより遅れる事分かって、なら実装せずに後から機能追加しようってなってしまったのでは?
まさかPayPayのようになるとは思わず、何かあっても個別対応していけばよいとか考えてたんじゃないの?
セブンだしゴネるヤツらには不正利用されたオマエが悪いって凄む予定だったとか
でも、蓋を開けてみたら想定を超えた悪夢
国内に住む日本人の精神じゃないヤツらに荒らされて、一気にもってかれたんじゃない?
流石にそこまでバカじゃないんじゃない?
ボヤで済ませられる件数の不正程度だと高をくくってたんじゃないのかな
流石にセキュリティーに何にも考えなしのバカとは思えない
かばう訳じゃないけど
そんなクソ共々が同業だとは思いたくない >>232
そこは費用対効果の面もある。
別に他人のアカウントでアクセスされてもなんら被害が起きづらいようなもの
(公開に準ずる情報の閲覧をさせるもので、もっぱら閲覧者の統計などの識別にアカウントを使うような場合)は実装費用や期間を優先してそうなっちゃうことも無くはない。 セブンイレブン、外国人労働者をもっと入れろ!
グローバル人材採用<ノ丶`Д´>ノ マンセーーーー
↓
このザマア(笑)
世の中は悪意に満ちている。 NHKで国際的組織が関与してるとか言ってるが
そういう問題じゃないよなw これでよくGoが出たな。
セブンにはそこら辺の専門家がいないか
もしくは頭が悪い上層部がいる事だけは分かった。
て言うか始める前に普通なら内部で指摘されてるだろ。
バカ過ぎる。 >>254
基本情報を真面目に受けようとする人間がこんな問題間違えるようでは話にならんからね
技術知識以前に読解力と論理的思考力があれば解けるレベル Q もし不正アクセスがあったらどうなりますか?
A 不正アクセスはありません。 しかもな、セブンペイのクレカ登録で入力するパスワードって
英小文字と数字 だけしか受け付けないのな。
今時は英大文字も混ぜるのが普通だし、記号まで混ぜないと受け付けないところもあるのにな。 >>270
だよなw
そもそもセキュリティがザルなんだしw \\おにぎり1個の為に大損害を被った人がいるんですよ!//
+ \\ なに〜〜〜〜〜〜〜〜/+
/■\ /■\ /■\ /■\
( ´∀`∩(´∀`∩)( ´∀`)(´∀` )
(( (つ ノ(つ 丿(つ つ⊂ ⊂丿+
ヽ ( ノ ( ヽノ ) ) ) ( ( (
(_)し' し(_) (_)_) (_(_)
https://i.imgur.com/EvH6ixG.png 基本情報ってこんな常識で解けるような問題だしてるんか? >>247
TV第5シリーズも演じ切ったのは凄いよな omni7の方もひどいみたいだから、根本的にダメなんだろう クソザルセキュリティのために犠牲になったおにぎりのこともたまには思い出してください 金融庁動いて逮捕者出るからその生け贄を誰にするのか協議中 >>257
PC,スマホ自体がすでにのっとられているとか。
そんなに高い割合でなくても、セブンだけの問題じゃないかもしれないな。
ハッカーたちがこういったアカウント情報をかきあつめて、いっきに換金行為をとったとか。
セブンだけの失態とはかぎらないのに、警察がうごかないのが異常。 利便性を高める為にやったと言ってるじゃん
複数の端末からセブンペイが使えるのは仕様なんだろう そもそも完全なセキュリティなんて存在しない
2段階認証も安全じゃない
中国人に狙われてる時点で完全にアウト、どんなセキュリティも破られる >>250
読まれる読まれる連呼してるけど主語は?
誰に読まれるのよ >>261
新しいメアドを用意させる方、本人だとすると
旧メアドではなくスマホで新メアドでやる事になって、先ず自分のメアドを新しくする手順が入り複雑になるだろ
何言ってんだ
プレゼンで、新メアドを用意させる方が一段階手順が入る事で複雑になります
セキュリティは複雑なほど安心です^^
とやったとしか たった今NHKにて
記者「普通は二段階認証を設けますよね」
社長「二段階認証…???」
のシーンが流れました >>271
7payの認証関連機能は、セブンが以前からやってるネットショッピングサイトと共通(IDとパスそのものも共通)なので
7payの開発時には「このAPIに合わせて画面作って」ぐらいの話だったんだろうと思う。 そもそもバーコードで支払いする意味無いよな
元からスイカ対応してんだから ところでリセマラするとおにぎりがいくらでも貰えるってのは本当だったの? paypayといい7payといい
なんで素人以下の知識の奴が参入したがるんだ 中国を笑えんと言うか
中国よりも低レベルな所で守りきれてないのがやべえ 見切り発車はいつものことだけど、今回はファミマがファミpay始めるってんで焦ったんだろうな
もともと7月は7payしか使えない予定だったし IT関連業務をなめてかかった天罰だな。これはもう再起不能。 >>269
朝鮮東京人も特殊詐欺するために
日本各地に行きまくってるよ
(日本各地のオレオレ詐欺スレを開くと、
朝鮮トンキン人逮捕の記事多数w
大抵は被害だけの記事だけど
スレの中身はトンキン産業詐欺事件ならではの
犯罪擁護の、騙される奴が悪い、
代わりに金を回しているからいいこと!ってな感じ) セキュリティと利便性は大抵の場面で相反するものとなる 社長がシステムに詳しくないのは不思議な事でもないだろう
どうしてくだらない事を気にするん? >>1
#911以後のテロ資金供与防止&マネロン防止
維新の政策は票集めのパフォーマンス
日本の国会議員、総務省、金融庁は、仮想通貨を利用したテロ資金供与防止について
ブロックチェーンイノベーションを理由に見て見ぬふりをしている。
日本の対応はマネロンやテロ資金供与を助長しています
ビットコイン市場はFATFの勧告を完全に無視した匿名の取引所が存在します。
#bitmexは身元確認を必要としないメールアドレスだけで登録可能な取引所です。
アメリカではアンチマネロン/テロ資金供与防止の為に法律で利用が
規制されています。 利用が発覚すると罰金や口座凍結等の罰則があります。
日本では#bitmexへの送金および利用が規制されていません。
ビットメックスはレバ100に対応しています。日本の法律ではレバ4が上限です
仮想通貨市場の最先端を走るアメリカは匿名性の高い取引所の利用を規
制しています。
日本は匿名性の高い取引所の利用を規制していない
日本の政治家や金融機関は、911を体験したアメリカと日本では
#AML/CFT規制に対しての温度差があることを理解していない。
その為、前回のFATFの審査で日本はマネロン天国のレッテルを貼られる結果となった 。
日本はもっと真剣にAML/CFTに取り組むべきです。
#利益相反 #自民党 #ビットシティ #ベーコン #翻訳 >>1
中国で起こっている隙間を破ってお金を奪い取る行為を日本のエンジニアが知らないわけがないのに
どうしてその部分を補う結果にならないのですか? 個人情報絶対預けないほうがいいわ
やっぱお金を管理するのは、銀行などじゃないと >>310
何度間違えてもアカウントが停止にならないやつね >>83
「ハッシュ」は違う意味。
長い文字列を短い文字列にランダムにまとめること。
ハッシュから元の文字列が再構成されたらアウト(ハッシュ関数作成者でも)
例:12345678987654321→何らかの操作→38694 この会社の上部って自分達の非を認めたら負けみたいな思考のヤツしかおらんの? 何故クレカ使わんのかとも思うが、
俺が良く使うショップはクレカ非対応で専用カード使ってるな
ショップから見ると 手数料 >>> システム開発費 なんだろう。 >>289 ウ、エは
>新たにメールアドレスを入力させ,
なのだからそこに改めて今使ってるメアドを入力すれば
新しいメアドなんて不要 >>307
今回のは隙間どころか半分くらい空いてるレベルだな
いろんな意味でIT後進国というのがわかる 中国人犯罪集団の動きは電光石火だったよな。これ事前に相当詳しく情報が漏れてただろ。 上流工程でこんなミスをしてどうする
品質犠牲にして究極の工数削減とかしたのかな (´・д・`)でもさ、7PAYが強そうだったから、今シェアを握ってるどこぞの中国系PAYが
プログラマーに頼んで大きな穴を開けて信用を叩き潰したとかだったら小説になるのにな… 日本は殴られても、罵られても、盗まれても、へらへら笑っているだけで反撃しない。
何十年もそうしてきたから、完全に舐められてしまった。 またトップ交代事案だろうな、ただし今回はセブン&アイのトップもだ とにかく一番安いとこに外注したんだろ
チェックする能力もないのに 他国がキャッシュレス化してるからって日本でも右へ倣えしてる時点でアホなんだよ
日本はキャッシュ決済が一番安全だし、そもそもプログラムに完全なものはない
セキュリティは100%破られる前提でキャッシュレスを考えてない時点で
日本のキャッスレスは穴だらけの最悪のシステムさ コンビニごときはやはり
コンビニごときなんだよ
内も外も苦しめてナンボ儲けるか
それしかない 英語もしゃべれない
ITも分からない
日本人って何が得意なの? そもそもちゃんとした設計を役員の一言で捻じ曲げられるほど情報部門の地位が低いのが問題
テクニカルオフィサーなんていないでしょ?
日本の会社。
そりゃ何とか会のホテル会合とか深夜までクラブとか休日ゴルフとか技術者にとっては苦痛でしか無い繋がりで保たれてる日本の経営者層に技術屋が入り込む余地が無いんだがw もしかしてレビューまるごと省略とかしたのかな
んで開発者テスト者も疑問を抱く暇もない短納期だったとか もうシステム制作時から、内部に犯罪者が入っていたのだろう。 店舗オーナーを奴隷扱いする会社だから客にたいしても人柱ぐらいにしか思ってないんだろ
血も涙もない会社 森元総理のイットはもう二十年前のネタですよ
日本はそっから進歩してないとかw 完璧なプログラムなんて絶対に存在しないし、今後も存在することは絶対にない
完全なプログラムはこの世に存在することはないんだよ >>1
7がア〜エのうちどの方法をとってたのか書かんと
>>1の役割を果たしてない
>>1は不正解! >>327
7payが影も形もないころからあった脆弱性だからどうだろね。 中国は日本のSuicaみたいな方式が羨ましいけど難しいからセキュリティーとか犠牲にして
QRコードでやってるんだよね。なんでそれを日本が真似し始めてるの?中高年の人たちは
もしかして「中国の進んだ方式を早く日本も導入しないと!」って思ってるのかな? >>321
もし誰かが潜り込んでそうしてたとしても、
少なくとも周りの日本人が設計レベルで気付かなきゃいかんガバガバな穴だからな本来は… 推測困難なURLか
copycopyのURLを作る技術者たちでは困難だな 生年月日、メールアドレス、とかは自分から情報提供をしてるんだから
こんなことする人は情報を手に入れてるじゃないの
あとはパスワードが簡単すぎるとかだと乗っ取られるかもな
パスワードが役に立たない仕様はどうしてなのかわからんけどなあ >>346
重役が中国視察して導入してるんだろ
ジジイだからfelicaのこともしらねえだろうし
老害は余計なことすんな >>340
ダメ元でやったが、まさかあんなガバガバな穴を日本人誰も気付かなかったぞwwww
と笑われてるレベル そもそも二段階認証なんて意味あるのか?
突破側にしたら、こんなんで安心してアホだろって思ってるだろ。 確か誕生日、デフォが2019/07/01だか2019/01/01で
そのままでも登録できるシステムだったと >>317
ちなみに君は、今使用しているメルアドにパス変更をする為のURLが自動で送信されるのと
メルアドを自分で打ち込む作業という一段階手順がはいるのと、どっちが複雑だと思う?
後者の方は、メルアドを入力するという一段階の手間が入るので、見た目複雑になっている
一見すると複雑にしているので、プレゼンで複雑にすればセキュリティも向上します、という詭弁が使える
しかし、その文言だと新しいメルアドを入力する事が可能なのでセキュリティ的には糞で駄目だ
むしろ、君の言うようにDQNに合わせて複雑にしない手続きなら前者になる 脆弱性診断とか普通自前でノウハウない場合は外部のちゃんとしたとこに依頼するはずなんだがまさか自分らでやったのか 下請けしまくって末端は大学生レベルだったんだろ
よくある話 >>360
中国の実績ある企業でなら
もっとマシなもんできてくるだろ >>331
請け負った会社が支那の会社にほぼ丸投げだったりしてw
それか派遣にやらせてたか
いずれにしろ情報管理体制がまるでなってない
これでコンビニ圧倒的最大手ってんだからもうね ユーザー情報さえわかれば乗っ取れるとか凄えな
パスワードの意味がまるで無いという >>356
少なくともパスワード固定、ID固定の総当たりでたまたま突破される可能性はなくなるからな >>338
完全な国家や法律も存在することもないがな 普段使いで二段階認証とかめんどくさい
利用額上限設定とかもなかったんだろうな
設定変更の時は二段階認証でもいいだろう >>346
既に頑張って決済システムで最上位のFeliCa対応してるレジ使ってるんだから何もしたくないと思うわ >>362
ほんとこれ
中国なんてあらゆる攻撃あるだろうしなw >>330
上は7/1に合わせたかったんだろうし、とにかく正常系が動くなら出す、
あとはアップデートで修正予定って感じだったんだと思うよ
きっとここでサービス停止して一番ほっとしてるのは開発者のみなさんで、
今頃転職準備に動いてるんじゃね? >>356
オンラインバンキングとかで成立しとるわ
そりゃ不正は若干あるが だがちょっとまってほしい
シナ人犯罪者ホイホイのたえにわざとやったのかも知れないぞ キャッシュレスを止めればこんなアホな事件は絶対に起こらないのに
面倒だからお金を持たないとか日本の現金の安全を否定しても意味がない
中国の様に現金が全て偽札でお金そのものに存在価値がないから
中国ではキャッシュレスが普及してるだけでプログラムなんて簡単に崩されるんだ
安全なキャッシュレスなんてこの世には存在しえないんだよ Fラン大の工学部だと、基本情報の合格率3割とかだからな
基本情報レベルのことが分かってないエンジニアってのは、実はかなり多い >>354
(^ω^)ワロスwwww
まぁ、仕様書書いたのがポンコツだったうえに、
ソレにハンコを押した上司はもっと無能だったのも大きいw >>370
最終的にワザと中華の8次請くらいが穴を残してたりしてな
丸投げなんでチェックできるやつさえいなかった >>290
あれ観れて満足したw
経産省が7payはポイント還元への参加を認めない方針だとかw
そもそも7pay自体参加登録してなかったようだし何のためにやったんだろうか… 何が凄いって、誰かがわざとやったとしても
まともなIT技術者なら誰でも気付く穴だったってこと
他の国ならすぐにバレるレベル どこのヘッポコに作らせたんだこれ?
安いからって中国に委託したんじゃないの? >>77
普通はse(かITコンサル)が指摘すんだよ。
他社のサービスはセキュリティの観点から、こういう2段階認証やってますとかな。
そこからの仕様選択はセブン側の仕事。
なにやるにしても工数は、必要だからな。セブンから見て優先順位が低いものは、後回しになる。
結果、セブンはセキュリティの見直しは不要(オムニ7の使い回しで良し)と判断したんだろ >>349
多分、企画メンバーにも運用メンバーにも技術者はいないと思う。
「アタシの考えたさいつよのアプリ!」って言う絵餅をパワポで作るのが得意な
「オレはITに詳しいんだ!」みたいなこと抜かすバカしかいないと思う。 >>347
セブンイレブンのセキュリティ部門はポンコツしか居ないんだろうね このシステムを作ったの保土ケ谷のNRIだろ。
あそこは前からシナ人だらけだし、内部の奴が仕様を流してると考えるべきだ。 >パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
これってどういった目的があるの? >>317
新しいメアドを、パスワードを知らない偽者のものにして送信できる。
つまり偽物がパスワードを乗っ取れる。
セブンより脆弱なセキュリティ。 7payの開始日は予告されていたし、初日から中国でよくあった手口を一通り試したんだろう
あっさり成功したから出し子を派遣 >>384
中国人ならこんな初歩的な穴作らんし
わざとやったとしても、本来はその後の工程でまともなエンジニアなら誰でも気付くレベルだからな…
むしろリリースされたのが奇跡 マイナンバーは始まる前から北朝鮮に漏れまくりだったけどな >>382
日本でもそこら辺の大学生でも気づくはずなんだが
下請けに丸投げでチェックさえしなかったんだろうなと >>390
誰でも簡単に変更ページにアクセスできたらどうなる? メンテナンスしてる会社の従業員が抜いたんだろ。ドロボーひ門番させたセブンの罪は大きいぞ。行政処分しろよ。 声出してわろたwwwwwwwwwwwwwwwwww Paypayがセキュリティ問題出して大騒ぎになったのにセブンは何も学習してないな 1) 仕様で守れ、と指示してた場合
2) この方が効率的だと、提案した場合
他に、考えられるケースは? >>385
SEが「コンテンツの中身とかどうでもいいからはよ技術的な枠組み固めろ」って言ってるのに話ごまかして、
上の機嫌伺いつつ矛盾だらけ穴だらけの企画てんこ盛りの機能一覧突き付けて譲らないバカな企画担当の坊っちゃん嬢ちゃんな。 >>40
漢検レベルの知名度があれば5歳でも受かる 基本未満は、NTTデータ、NEC、NRI、Oracleのうちのどれかです >>385
コンサルが指摘しないはずがないよね
コンサルなしでやってたわけじゃないだろうし >>396
直接メールにパス送ったのとあんまり変わらなくねって感じだったけど
パスメールで送った後メーラーにずっと残るのがそのまま使い続けるやついそうでまずいか >>411
更新させることに意義がある。
いろいろログとれるし。 >>369
日本は日本語障壁があるから比較的少ないだけで、it系の犯罪は中国や東欧、アフリカ発で全世界に向けて発生してる。 これもソフ開も受かったけどIT会社半年でやめて今警備員やってるわ >>410
だよねえ
もしわざとだったら、会社含め関わってる奴がほぼ全員スパイじょないと通らんよこんなもん 人が作った鍵など人の手によって破られる運命
歴史が証明している 7/1じゃなくてさ
7/11にしたらよかったのに
まあ根本的な話じゃないけど >>416
ひとつも資格持ってないけどまだ開発してるわ( ;´・ω・`) >>402
技術的な知識のない企画担当がアプリのリリースギリギリになってパスワード再発行の絵の描かれたパワポ出してきた >>382
穴とすら言わんレベルだと思わんでもない 合言葉w
合言葉なんてセキュリティ上マイナスにしかならなのがわかってる
これだから日本企業わw >>292
元々ある仕組みのほうがやばかったのかね
オムニとかいうやつか?
社長の息子かなんかがやってたやつじゃないっけ のっとられるだけのリスクしかないのに、便利でもなんでもないわな。
マイナンバーを本人認証につかうための茶番劇だとおもう。
新規のメールアドレス欄にリセットするアドレス送付とか、こういう余計なことしなかったら何もおきなかったとおもうし。
「わざと穴をつくった」 だから被害届もだしたくないみたいなことをいうのだとおもう。
でもセキュリティ審査とやらは通ったんでしょ?
そこ問題ちゃう? 最後発のくせに二段階認証すら知らない広報?やら色々ひどすぎ
こんな糞システム構築したのどこの会社だよ 日本の敵か? >>415
日本語は実はかなりのセキュリティなってるよなw
国内でしか使わないシステムなら規約レベルで変数名とかローマ字でいいとおもうわw >>358
お前さんが>>289で書いた
>旧メアドではなくスマホで新メアドでやる事になって、先ず自分のメアドを新しくする手順が入り
に対し新しいメアドは不要だと言っている セブンアイディーを知らないと不正アクセスできないわけでしょ
セブンアイディーはどこで知ったんだろう?セブンワイファイにも脆弱性があって
他人のスマホが覗けちゃうとか? No.1企業ってさ、天狗になって重要人物を、社内抗争で追放しちゃうことがある。
鈴木敏文なくてセブンなし。 >>430
残念だが典型的日本人って感じ
無能が権力持ってる日本だからこそ起こった現象 >>411
普通はパスワードリセットリンクに有効期限つける ファミマに対抗するために、デスマ環境で突貫構築だったんじゃないか?
むしろ請け負った方は予算内で可能な限りのパフォーマンスで仕上げただけなんじゃ >>197
下手に指摘したらじゃあソコんとこ宜しく、あのー費用は...... >>427
そもそもショッピングサイトのパスワード再設定ページにも、送信先メアド指定欄があるからねw >>390
パスワードを再登録する方法。
本人確認ができている登録用メアドだから、事業者側が安心して送信できる。
新規パスワードを登録するためのアドレスは推測可能ではいけない。
たとえば全員同じアドレスだと、誰でもそこで再登録できてしまう。
だから推測不可能な5kii94Kte416みたいなアドレスを送信する。
そうすると事業者側では、正しい登録用メールアドレスを見た人間だと確認できる。
なぜメアドでそうするかというと、IPアドレスは固定とは限らず、変わることもある。
また自宅からではなく、実家からアクセスすると、IPアドレスは変化する。メアドは変化しない。 結局メールアドレスを乗っ取られたらどうしようもないんだな。
少し前のYAHOOIDなんてアカウント乗っ取りだらけだったし。 >>439
足が出ました!
仕方ない、脆弱性を売っとけ >>362
中国の外注…
軽くテストだけすればいいと聞いてたのに
正常系数ケースしか通してないプログラム
送ってきては送り返しの繰り返しテストする日々
最後には休日返上で日本側で人投入しての手直しの思い出
まともなところに頼まないとじごく >>433
セブンIDってメールアドレスじゃ?
色々なリストが出回ってるからリスト攻撃したんじゃないかな >>433
不正アクセスされた奴はidとパスの使い回ししてたんじゃないのかな >>408
> 既存システムの流用で工数減らせますよ
www 資格持ちでも使えない奴はいくらでもおるし
もってなくても使える奴はいくらでもおる
つまり人による適正が大きいから、誰でもかれでもやらせたらだめ >>446
メールアドレス乗っ取りじゃなくて
パスワードリセットの時に新しいメールアドレスに送れるようになっている
名前メアド誕生日が分かれば自分のメアドにパスワードのメールを送れる 犯罪組織もザルセキュリティすぎて罠だと思ったんじゃないか >>157
先輩でWi-Fiをウィーフィーって読んでるのいたわ >>420
国家資格ではあるけど免許制じゃないから
結局は玉石混淆 これで余計年寄りはキャッシュレスに移行しなくなるな わざわざおかしなものを導入するからだよ。
ナナコで良いじゃん。
馬鹿なの? >>431
プロには関係ない。
10億円儲かるとわかれば、1億円投資する。
1億円あれば日本語とITのできる犯罪者を雇える。拉致しても良い(使用後delete)。
追加の一億円で機材、通信回線、逃走費、口止め料、抹殺費用などを用意。 >>457
まあでも、アとイの違いがよくわらない人もいるあたり
この試験レベルの問題がわかってることに意味はあるんだろうなと思える。 クラッカーで資格持ってる奴なんてほぼいないから知識の問題だよ >>457
資格のために勉強して知識はあるけど、
実務でめちゃくちゃなコード書くのもいるからなー。
当たり外れが大きい あああのバカチョン試験か
ブックオフで問題集立ち読みしたら受かったわ そもそもSMS認証をしてない時点で何をどう送ってもなんも意味ないんだが
どうも1を含めそこを理解してない >>402
3 コーディング規約などなく、ソースコードのチェックもしておらん(^。^)y-.。o○ >>402
そもそも7pay以前から抱えてた脆弱性らしい
ウンコシステムあるけど相手にされてなかったとこに
7pay登場で犯罪集団大喜び わざとじゃなくて既存機能への影響見てなかっただけだろうな
初心者や下手くそがやるとこうなるっていい例 二段階認証ってなに?
って社長さんに
これはムリでしょ この手のキャッシュレスは全銀システム通さないのかな?
ぞれなら自民のゴリ押しも納得だが 全銀システム儲けさせる為なら
もう自民は犯罪者集団だよな >>463
何のためにナナコを作ったのか、理解出来んわな。
ハッキングされる間抜けなシステムでワラタ。 今回の件はあまりにもまぬけすぎて資格がどうたらって話ですらないからな
ITだから勝手に高度な問題と勘違いして語りだしてる奴いるが
要するに見ず知らずの相手に、俺が住人だ!って言われたら疑わずに鍵渡しちゃう管理人
つまり痴呆認知症クラスの問題だから こんな問題
問題としておかしい
一番厳重なの選べば正解 今頃になってプログラミングの教育とか言ってるくらいだし30年位遅れてる >>421
いい加減パスワードは忘れなはれ(^。^)y-.。o○
ええか、被害者全てパスワード変更したんか?
パスワードうんぬん言うのは被害者全てパスワードは変更してたらやで
一人二人ならウィルスなどの考えられるが、複数がアプリ使用と言えば同時に被害者になるのは
7アプリの問題やで(^。^)y-.。o○ あと、現パスワードを送れる仕様というのが何を意味するのか、
わかってないヤツも多すぎる セブンイレブンはどんだけ金惜しんで無能に作らせてんだろ メールアドレスさえわかればいんだからパスワードがパスワードの役割をしてない 前からセブンのパソコン担当はだめだということだ
人事を うん?
あらたなメアドを入力させ
あたらしいメアドを入力させ
でニュアンスがちがうが >>484
どれを厳重と取るかをチェックしてるのでは? >>481
擁護?な理屈?だと
間接税増税な緩和措置?に向けて
国内企業は必死で、
間に合うように!!が最優先で
システム組んだ(発注した?)
って釈明らしい
知らんけど まあ中国の業者に丸投げだったんだろうな
そもそもQR決済なんて日本の文化になかったものでペイペイ然りここ数ヵ月で急遽整備したって感じだし
厚生省が持つの個人情報でさえ中国の業者に丸投げなんだぜ 認証周りは既存の7IDのフレームワークで、セブンペイはチャージ用のパスワードを追加しただけだからなぁ。
さもありなん。 ダメな組織は俺に意見するなって空気出す人間が仕切ってるから
周りわかっててお手並み拝見してたかもな。 >>318
> 半分くらい空いてる
半分…>orz
半分もあいているのなら、なぜそこを埋めなかったのですか?
それほど日本人の技術者のレベルが低いということですか?
まさか、それはいくらなんでもまさかなので、もしかして…わざとですか?
と絶対にないはずの疑いをかけてしまうのですよ、素人は!
セブンは業界一位だし業界の先駆けになる立場なのになんでこんなことになったのですか?
技術者に対する賃金をケチったのですか!!? 外注外注で中華系企業に渡って、あらかじめ仕込まれた仕様としか思えないくらいのお粗末さ。
昔、パチスロで開発元が仕込む裏技があったように、今回も同様の手口ながら、お粗末すぎてすぐ問題化したんだと思うけどなー。 >>488
特別安く引き受けたアルヨ( ‘ ハ´)
金は別に出てるもらったアルヨ >>7
大企業病としか言いようがないな、オムニ7もそうだけど、上が珍妙なことやろうとしても止められるシステムが無いんだろ >>482
請け負ったのが在日企業より中国企業に丸投げ 下請け『あのー、この仕様だとダメだと思…』
セブン『は?何言ってんの?登録したメアド忘れたらどーすんの?ちょっとは考えろよ。』
下請け『…』 既に、nanacoという素晴らしいものを持っているのに、馬鹿なものに手を出したものだ。 ファミペイの開発費の数倍の金どこに使ったのかね
株主代表訴訟ものでしょ 会見で「2段認証?」って真顔で言ってたな、運営側のオッサンw >>502
詳細に、実際どうだったか
のを、是非
そこが一番面白いところなわけで >>498
技術持ってる奴は人間的に魅力じゃないから日本では就職できない
海外でもどうかはわからん
ギークやクラッカーサイトでデータクラックしてそれで支援受けてる奴もたくさんいる
元々国や大きい組織に対して良い印象持ってない人間多いから
でも今回の件は技術者の質がどうとかの話ではないよ
知恵遅れか最初からわかってて手を抜いて作ったとしか思えない
子供の秘密基地の守衛の方がもっといい仕事するわ 資格は持ってないがこの程度のことは常識以前、当たり前にやってるわな、
クライアントが面倒になるから要らないと言ってもセキュリティゲート設けてるわ >>127
協力会社はどこだろ?
フューチャーか? 要件定義の段階で
二段階認証を外していたんですかね
開発会社側からこれを外したとは
考えにくいんですがねぇ >>1
これでは危険性が残ると問題提起した技術班も、無能大バカ社長に蹴り散らかされてそうだなw
そもそも、オーナー問題が何も解決していない。
社長筆頭に、経営陣総とっかえ必須じゃないのか??www >>511
QRコード決済に特化した
別会社の社長という こういうの見てると、
日本のITは中韓に完敗なのもわかるわな まあ、KOTYが作られるのと同じような過程なんだろうなあw >>462
選択肢アの駄目な理由
インターネットは複雑な経路を通る。
複雑なだけではなく、全く信頼できない経路を通る可能性は十分以上。
もっと言えば、標的の全経路の盗聴も可能。
だからパスワードそのものを送ると、途中の悪者に知られて、乗っ取られる。
だからパスワードそのものを送ってはいけない。
SSLという方式はあるが、通信経路を暗号化しているだけ。
今のパスワード要求者が本物であるかどうかは全く不明なので、暗号化は無意味。
本人確認のために登録時のメアドが大事。
ついでにいうと、一般に、電話したときの本人確認は生年月日ですますところが多い。
生年月日を正式に知っている人は何千人、流出を考えれば数百万人だから、ほぼ無意味だと思う。
だから「セブンのやり方は丸出駄目夫」という話につながる。 国際的犯罪組織と偉そうなことをいう前にやることが山積みだと思うのだが 下っ端のプログラマの中にはヤバさに気づいてた者もいるんじゃね?
でも現場で手を動かしてる者に意見されると意地になる奴って、いるんだよな。 >>528
日本のIT企業は信用ならないから
中国頼んだのかな? 仮の話だが
>>514
仕様書に指示書に逆らう
って、
日本ではレアケースかもよ やっぱ、基本情報だけでも取っておくことは重要だな
この程度も分からん状態でシステム作ってる奴はヤバい 発注かけられた仕様がこうだったら
この通り作る
海外ならなおさら 日本の大手企業に開発依頼する
↓
大手開発が下請けに小分け依頼する
↓
そのうちの一つに中国の会社がある これ、開発者がグループから送り込まれたスパイだったりして。
鬼平犯科帳でいう「引き込み」というやつ。冗談だと思うかも
しれないけど、これ、日本の野党でも発覚している手口だから。
まんまと党首までやってるし。 >>532
システム作ってるやつはわかってるんだよ
セブン側の仕様書作るやつがわかってなかった可能性が高い
仕様書になければシステムには盛り込まれない むかし7の通販サイトでもたち悪い感じに個人情報流失してたよな >>535
たまに、発注者がおかしな指示してくることあるよね
でも、安い賃金で、その場限りの関係だったら
いちいち面倒な指摘せず、そのまま作るよな
問題起こっても、「指示された通りに作りました」「契約違反していません」で終わり このスレの
ソース無しを纏めると
1)NTTDとオラクルなジョイント
2)聞いた事も無いチャイナに丸投げ
だってさ >>534
なんとか中国を叩きたいんだろうけど
ITに関しては中国の方が日本よりレベルは上だよ >>536
逆にそうじゃなかったら頭どうなってんのかと疑うレベル
ITだからパッとしない奴多いんだろうけど
見ず知らずの奴に「俺が新しい誰々なんで」って言われて
一切疑わずに鍵渡しちゃう管理人レベルにおかしい 下請「見積書です」
7「たっか。セキュリティ周り安くしてよ」
下請「しかし、それではあまりにも脆弱ですよ」
7「大丈夫。うちは責任を負わない旨の利用許諾に同意させるから」
下請「分かりましたアル」 リテラシーが無い奴で新会社を固めたんかな。システムのわからない奴らばかりで責任の押しつけ合いをしてて社内は大揉めだろうね。
開始初日から流れるデータを見ながら『思ったよりも使ってくれてる!うれしい!』ってなってた裏方の皆さんが不憫でならんな。 どこに委託したんだよ
稼働前から情報ダダ漏れじゃねぇのか? >>537
だから、システム作ってるセブン側の仕様書作成する人間な
あの社長の会見聞いてても、良く分かってなさそうだったし セブンは提案依頼書を出しただけやろ(^。^)y-.。o○
提案依頼書も書けず、単にこういうの作ってよーと
下請けに丸投げ
納期や単金の関係で下請けは支那へ丸投げ
セブンはろくな受け入れテストもせず、めでたしめでたし 他人の金を扱ってると言う意識が低すぎるんだよ
どうせ利用料を貪るための鴨だとしか思ってないんだし
>>539
準委任(なぞ)で
時間だけな、ワーカー作業
なんてね >>499
これ
PayPayでパスワードエラーでのロックがなかったのも明らかにおかしい仕様なのに誰も指摘しなかったの?って感じだし セブンは日本でベスト20に入る企業
日本でもトップクラスに優秀な人材組織でどうしてこうなったんだ >>538
・客の個人情報
・クレカ情報
・買い物履歴
すべて丸見えでグーグル先生にすべて拾われる
↓
気づいた客が指摘
↓
セブン「客が操作をミスして流出させた」と発表して逃げ 某大手さんはセキュリティ会社に脆弱性テストとかさせてたけど、
ここはやらないんだな
セキュリティが中小企業以下ってか個人経営レベルだし 基礎情報処理とか工業高校の生徒でも受かるレベルなのに >>545
リテラシー
って、何?
食べたら美味しいの? ウイルスバスタの
PCJQ-0017-3542-1890-2476 とかあるじゃん
売るときはシリアル番号で 入力欄はアクチベーション おかしいよな統一しろ >>560
田舎だけでなく東京にもたくさんあるぞw>工業高校 下請けはこれを見越して始めやすく請けといて修正はぼったくるかな >>543
PayPayの時みたいに利用額に上限設けるとかな
なんならセブングループ全体に対して 発注側のセキュリティ意識の問題だよ。
開発側や提案側が、どんなにセキュリティの重要性を提言しても
そんな事はどうでも良いと言わんばかりの発注者側って多いよ。
意識が低すぎて呆れるシーンも多い。
今回の事件の争点は、発注者側のセキュリティ意識の問題に因って左右される。
もっとも、そんなセキュリティの仕様すら提言出来ない、受注者側は潰れて当然。
セブン&アイ・ホールディングスの
情報セキュリティ方針なんぞ見かけ以下でしかない事は事実ではある。 >>564
無勉強だと普通に落ちるよね
まぁ、危険物甲種と同じくらいの難易度だったかなぁ・・・ シナかチョン企業に丸投げして作らせたんだろ、オリンピックのチケットシステムみたいに 遠回しに進言しても下々が何か言ってらァ!って鼻で笑って聞かなかったんだろうな
お前らの話なんて耳に入れる価値ねンだわ セブン信じたバカなんて居るのか?\(^o^)/
【日中韓】安斎隆セブン銀行会長「韓国を見下げるからヘィトスピーチが後を絶たない。
政治が絶対に許さないと打ち出せ。」[01/01] ★3
https://mint.5ch.net/test/read.cgi/news4plus/1483255632/
セブンペイのポイント還元参加認めない可能性も 経産省
7/5(金) 朝日新聞
https://headlines.yahoo.co.jp/hl?a=20190705-00000053-asahi-soci >>552
ウェーイと言うだけのコミュ力()が優秀で採用されたから こういう会社が
受注したのかもしれない
【企業】株式会社クローバーフィールドの考える「信用できない社員」。いつまでも独身、既婚でも子供がいない、一人暮らし経験も重要★12
https://asahi.5ch.net/test/read.cgi/newsplus/1562018715/
知らんけど 現金最強なのに
みんな後払いが当たり前になりすぎてる
こんなものに騙される方がバカ >>576
最近、〜〜Payが乱立してるのって
経産省のポイント還元に乗り遅れないためなのか?w 丸投げならもっとまともな(普通の)システムが出来上がってくるだろうよ。
今回はユーザー管理部分はそもそも要件にさえ含まれてないだろ。 発注者のセブン側が要件なにも入れてないんだろ
・7payの機能追加
たぶんこの一行で終わり >>579
ホムペしか作れん会社よりは、もっと上のレベルが開発しとる(^。^)y-.。o○ >>575
それどころか、「うぜえ奴だな」と思われて
面倒な仕事押し付けられる可能性すらある
だったら、面倒な指摘とかせず、素直に
指示通り作ろうってなるよね >>574
QRコード決済
に特化した、会社らしいよ ポッケナイナイとキックバックで予算が減ったんだろう もしかして委託に出す金すら惜しいからって、サイト作ってる部門の
社員に全部やらせたとかないよね…さすがに >>429
確認してる内容が違う
確認したのはアプリにアクセスしたり入力内容がおかしい場合でも
正常に動きます、というやつであって、
仕様上正しい内容を入力された時に検知されるものじゃない
今回のは「アプリがその運用でも正しい」とされてるものなので
脆弱性確認にひっかかりようがない >>590
> ナナコもいつの間にか減るよな。
> 明細履歴ないし。
そうなんだ シナ人がシステム設計してわざとシナ人用に穴開けてあったんだろ アをやってるサイトなら知ってる。おいおい平文保存してんのかよとびびった
但しモノ・カネの絡まないとこ。 セブンイレブンなんて、小売業のシステム部に、優秀な人材がいるわけないじゃん。
ゴミの掃き溜めみたいな頭の硬い奴らばかりだろ。
くだらない瑣末な仕様ばかり気にして、目的を見失う典型的なクソ日本企業の見本www
ざまぁwwww >>584
本当なら、
1、利用者がパスワードを忘れた場合
1−1、登録済みのメールアドレスへ新しいパスワードを送信する
1−2、登録済みの電話番号にSMSで確認コードを送る
みたいに細かく書かないと駄目だよな 俺が作ったシステムじゃないし、俺は使ってないシステムだから問題ない >>429
アプリが正しく、単に送り先の経路がちょっと違うとこへ送れば、問題ない(^。^)y-.。o○ >>514
> 知恵遅れか
> 最初からわかってて手を抜いて作ったとしか思えない
> 子供の秘密基地の守衛の方がもっといい仕事するわ
今回どうしてこういうことになったのかたくさんの人たちのたくさんの解説から
なんとなくうっすらそういうことなのかな、とわかったような気になっているレベルですが
最後の一文…
恐ろしい小説の最後の一文を読んでしまったような気持ちになりましたorz この損失を埋めるために何人のオーナーが本部に吊らされるんだろうな 過去の
一連なスレで
大量に湧いてた
QRコード決済信者
って、どこに
消えたの? >>552
こういうのは日本企業より中国への発注の方が断然安いからだよ
しかもQR決済なんてiPhoneXperiaがほとんどのシェア率を誇る日本人には全く必要の無いもので、この技術って結局高級スマホ持ってない中国人等の貧民層用の決済方法なんだわ ファミマのペイに遅れまいとアジャイルかなにかで高速で作ったんだろうなー
で、開発会社はおそらく認知していたが、セブン側が急いでいるんで、
セキュリティ要件は最低限にし、速く作った結果がこれだよ 落ちる時はここまで落ちるのかと再確認。
いずれアマゾンもそうなるんかな? 新しいパスワードを作るためのURLを送信してくるね。
そこにリンク行くと新しいパスワードを2回入力させられる SUBMIT
メールが来る。アクセスして登録完了になるだろ >>609
社長「損失の穴埋めのため、オーナーから搾り取れ」
部下「はい、徹底的にやりますよ」 >>1
ここまでザルで基本的セキュリティの認識が無い人間が構築したシステムでね、そもそもの個人情報とかその他の重要な情報をガッチリ守ってるシステムを構築しているとはとても思えないんだが。
内部の全データ抜かれるまで秒読み段階じゃないの? nanacoも使い続けるとヤバい気がしてきた今日この頃 そもそもスマホが前提のシステムなんだからSMS認証が当たり前だと思うんだが
普通のメアドなんて信頼性ゼロだろうに こんな簡単な問題だったのか
中国人ならちょろいはずだわ なんちゃらペイっての間抜けな響きがするからシステムもどこか抜けてそう まぁこれは図面にトイレが無かったからトイレ無しで家建てちゃいましたみたいなもんだな まずは、サーバ立てる(^。^)y-.。o○
アプリをそこへ寄り道するように送信先をプログラム
これだけ 楽天ペイしか使ってないけど不安になるな
頼むぞミキティwww 結局、今回の不正利用がこの仕様のせいだったのかってまだ確定してないよな
普通にデータベースハッキングされてたのかもしれんし 会見に出たセブン&アイ3馬鹿が雑魚過ぎてドン引きし人は多いと思うよ >>620
データSIMだけでフリーWifiだけで生きてる貧困層も視野に入れてるんじゃね?
そうなると、電話番号が必要になるSMS認証は厳しい 結局さー、役員の誰も電子マネーのセキュリティの仕組みとかなんもわかってないんやろ
えらい人はそれがわからんのですってやつか 開始早々の手際良さからいってサービス開始前から攻略されてたとしか思えないんだけど システム屋の問題よりむしろセブンの資金洗浄だったりして >>613
急いで作ったんじゃなくて、作ってる途中でリリースしたんだろうね
本当はこの後に2段階認証が入る予定だったんだけど、現時点でできてるシステムでリリースしちゃったんだと思う
システムに問題残るけどいいんすか?→このあとバージョンアップすればいいじゃない
こんな感じ >>632
情弱なの?
データ専用でもSMS付きあるけど ちなみにstruts1が使われているとの話がある
.doとか出てくるらしいのでたぶん事実 セキュリティ対策を低価格で下請けに丸投げしたんだろうな
コンビニオーナーの様にこき使おうとしたら痛いしっぺ返しをくらったね^^ 今回のケースは知らんが
>>620
仕様に
指示に
命令
だったら、どうしましょ? >>637
どうでもいい部分でバグが残ってるなら良いけど
こういう金を扱うアプリで、セキュリティ部分で問題残ってるのに
リリースしてしまって、「後でアップデートすれば良い」
って態度はダメだと思うわ・・・
オンラインゲーム何かでも、戦闘システムのバグとかあっても
後でアップデートで対応とか普通だけど
課金システムでバグはダメだよな >>637
ちゃうで(^。^)y-.。o○
抜いた個人情報を受けるシステムがないとあかんで >>640
もっと言えば、SIMカードも無しで
フリーWifiだけの中高生とか >>602
1-1だけでも全然ダメだよ
メールアドレスをDBから読み込むんだろうけど、その時のDBアカウントは何を使うの?
root権限?テーブルREAD権限?そもそもその要求はバリデーションを通さないの?連打されてもいいの?
まず最初に要求が不正でない事を確認を確認しないといけないんじゃないの?
スパム放題になるし、攻撃し放題じゃんその仕様 要するに、セブンイレブンはバカしかいないってこと?w >>620
元はただのネット通販だからスマホ専用じゃないんだよね
そのガバガバの仕様をスマホ決済に流用したから今回の件になった >>627
3層(以上かも)な
フロントからハック?された
は、いの一番に言ってたハズだが ※店長をこき使って働かせても7payのセキュリティは向上できませんw 金絡みでパスワードリマインダーなど付けるべきではない
担当者対面で申請書類を手渡し
申請が通ったら仮パスワードでアクセスしてリセット
リセット完了通知を手渡しで受け取って謎の文字列を入力して手続き完了
この間、本店とのやり取りとかがあって1月かかった 支援士のわいが開発してたら剥奪されても文句言えないと思う >>646
中高生はLINE無しじゃ生きていけないでしょ
そしてLINEはSMS認証必須じゃなかった? >>644
別のメールアドレスにパスワード変更URLが送られちゃうのはどうしてもおかしいよね。
スマホありきのシステムだから、仕様上はSMS認証があったんだと思う
それだったら端末は本人しかもってないから異なるメールアドレスに送信してしまっても問題ない
で、作ってたんだけどファミペイに合わせないといけなくなっちゃって
急いで今のシステムでリリースできるのかできないのかの話になっちゃって
セキュリティの部分は過去に審査した仕様上はokだったけど、
SMS認証省いたことで矛盾がでてボロがでた
もっとも考えられそうなシナリオ >>647
だから、1-2でSMS認証
1-1の後に1-2じゃなくて、1の「パスワード忘れ」についての
すべきことを並列で、1-1、1-2・・・と書いただけ
SMS認証で本人だと確認した上で、メールへ送ればいいわけ
というか、他の〜〜Payだと、そういう感じじゃん
ファミペイとか最初にSMS認証あったし 前に本買ったことあるから解約しようと思ったら
パスワードリセットのメール来ないし
ホントガバガバやなどうなってんや やっすい外注にシステム丸投げしたからだろ
トップも椅子だけのバカだし 日本が責任取らない体質になったからな
(責任なんか知ったこっちゃない)派遣屋と(責任は絶対に負わないマンコを偉くする)男女共同参画が確実に効いてますわ
社会インフラが維持できない国になっていく
この流れは加速していくと思うわ システム作った会社やばいな。
セブンだから全部おまえが悪いで通しそう。賠償も。 というか、政府からして現場の危険ですよという報告書を受け取らないからな
聞かなかったことにするをガチでやる >>657
最近、LINE離れしてるんじゃなかった?
中高生あたりはインスタが流行ってるとかで
というか、LINEならFacebook認証もできるし
最悪、電話番号無くても何とかなる
電話番号が無いとできないこと多いけど チャージした分使い切ったらいったん退会が正解だよ今んとこ >>659
いや、順番振ってて処理順は違うとかありえないし、逆順であってもスパムし放題だし
こんなクソ仕様書書く奴は即クビだわ >>656
単なるミスやマヌケな設計なら大丈夫なはず
犯人グループのスパイだった、とかなら剥奪だろうけど >>666
どう、馬鹿なのか
経営判断に
意図した可能性は? >>1この中の盗聴とはどういった意味なんでしょうか? こういうのの担当者だったらやだなー
夏の計画すべてふっとぶわ >>7
すべてはお客様の便利のためさ
便利はセキュリティより優先さ >>656
あ、何か情報処理安全確保支援士って資格あったな
それ、唯一、情報系資格の中で罰則あるんだっけ? >>671
メールは通信網内を平文で送信されている
パスワードをメールで送ってはいけない >>448
まともなトコってか、
日本からオフショア企業に、リーダーがサブリーダーを派遣する前提にしないと無理。
派遣したら設計、ソースレビュー、テスト、品質管理で一次障壁になる。
中国のオフショア企業は、日本の行間は空気読んでねプログラム設計書は通用しない。
ただの打ち込みコーダーだから
仕様書に機能がごっそり抜けてても指摘しないのはザラ。
テストでもあえて気づかないからw IDだけ知っていれば、パスワードを忘れた場合の画面から、
別なメールアドレスを登録することで乗っ取れたってことかね? ええええ
基本ってお前w
昔の第2種情報処理技術者試験、プログラムちょっとかじった奴ならできるレベルだろ >>668
要するにSMS認証しておけば、ファミペイみたいに安全だろっていう・・・
それを言いたかっただけなんだが・・・
こんな場所で、面倒な長文書きたくないし >>669
あ、スパイなら秘密保持義務違反で刑事罰のほうか
信用失墜行為って何だろうな 基本情報馬鹿にしてたけど、これ取れば7pay設計したひとより偉いってことやね😤 >>677
メールアドレスにパスワード書いて送ると通信のどこかでみられるってことかな? >>667
チャージした分を使い切るためには端数を消化するのが難しいと思う
端数を使い切るようにお詫びで9999円くらい残高をチャージしてくれるといいね レベル2でもわかるようなバグを埋め込んじゃう可能性があるから
レベル4の支援士が支援しないといけないんですよ(棒 >>689
nanacoは足りない分だけ現金で払えるけど
セブンペイは、現金で足りない分を支払うこと無理なのか? なんでこんな悲しいもんつくったんだよ
世界の物笑いだわ >>519
普通のベンダーなら提案して、要件定義として追加して、予算確保してgoだけど
今回はセブンの内製だから、要件定義項目もセブンが決めてそうではある。
(仮に協力会社が気づいても提案の余地なし) >>564
昔の第2種情報処理より難しい。レベルが上がったんだな。
読むのが面倒くさい。 システム開発って下請け孫請け曾孫請けとか当たり前だからねぇ。
今回も末端のコーディングは海外でやってんだろうし。
システムのテストランまで外に出してたら、そりゃ、いろいろあるだろうさ。 これどう直すんだろうな
とりあえずあちこちにSMS認証入れて、
ゴテゴテにしたのを2週間後くらいに再リリースかな
paypayのときみたいにupdate必須にして 無能を認めて経営陣総退陣しろクズ
こういう時責任取るのが社長の仕事だ ガイドライン化して、発注仕様が間違えてたら実装拒否できるようにしろよ… >>696
テストというか平時運用の仕様の時点でガバガバだよ
何が悲しくて登録以外のメールアドレスにパスワード再設定メール飛ばすのか(´・ω・`) 初期設定いうか(^。^)y-.。o○
クレジットカード情報を登録した時だけ
子プロセス起動させ、クレジットカード情報をコピーして支那へ送信後、子プロセスは消えればええのや
簡単なプログラムや これは作った側のミスじゃね
下請けしまくってバイトみたいなやつが作ってる状態になってんだろ そういうものだといわれたらそうかもしれんが、
小手先の個人認証じゃ複数アカウントの対策とかとれんしな。
やはりマイナンバー、またはマイナンバーがひも付けられた銀行系QRコードとの連携。
そういったものを組み込むための布石だろうよ。
総務省がJPQRというのをおしてるし、たいていのQR決済事業者はこれにのっかっかり、
統合されるのではないか、とおもう。セブンペイもやる気がないからそこに合流、と。
日本政府のマイナンバーカードおしは半端ないしな。3年後には全員もたされる。
マイナンバーペイになる予感。そのまんまJPペイかもしれんが。 わざわざQR決済なんかするからや
FeliCaで良かったんや ITの知識がない素人集団に任せたんだろ
論理的思考力とコミュ力の高い文系様が作ってたら笑える >>707
Felicaは駅の改札だけで使ってろよ
こっちくんな >>671
HTTP接続でないWebメールサービスを利用する際にはメールの内容が盗聴される恐れがあ
インターネットは、いくつもの経路を通る。
そこはスパイがいたり、スパイが運営しているかもしれない。(スパイは人間とは限らない)
それを盗聴という。
定義的には「送信者と受信者でないものが、通信を見ること」
理論と実務上は、一つのメールは最低5人、最悪1000人が見ることが可能。
(「人」はたとえ、組織かもしれない。一人=10万人もあり得る) サービス開始早々に不正できたってことはシステム開発した会社の社員が関わってんのかな
まさか中国のIT企業が関わってたりしないよね? >>564
プログラミングが苦手な人にとっては応用の方が簡単って言われてるくらいだしな 問題として出されると当たり前のことにしか思えないが、
実際できてないのを見ると一応資格試験として成り立ってはいるんだなw 昔プロバイダにパスワードが分からんって電話したら
その電話で教えてくれた
お客様の立場に立ったサービスとはこういう事だ >>707
QR使ってるとこあるの?バーコードじゃね? sqlserver、ORACLEの構築、管理できます。
vc++、c#、VBでプログラミングできます。
excel、ACCESSのvbaでプログラミングできます。
54歳、年収1000万、大手勤務です。
プロジェクトリーダーもやってます
定年後、需要ありますか? 「あるある」ではなくて、基本の午前合格レベルのことができなかった。
普通に使っていたら、パスワード忘れの対策で他が何しているかわかったはず。
日本企業お得意の「横並び」で同じようにすれば良かった。
よっぽど判断力が抜群の俺様が決裁権限を握って、口出しをしたんだろうな。 >>710
HTTPはhttpsだろ
盗聴というよりメールで送ったらテキスト形式で保存されたり
画面に表示される危険性がある お前ら開発者ばかり叩いてるけど、クライアントのオーダー通りに作った結果だぞ
>>同社は4日、記者会見で「普段スマートフォンを使っている人がPCを使ってパスワードを変更する場合、携帯キャリアのメールアドレスが使えない。そういった人のために(フォームを)用意していた」と説明した。 以前、言ったとおりになっただろw
政府主導でルール作りしなければならない。 >>721
解答にそう書いてあった。
もちろんHTTPS(通信路を暗号化した通信方式)だろう。
わからない人のために言うと、メールは通常暗号化されない。
必要なら暗号化ソフトを使え(信頼性の高い無料のものがいくつか)ある
一般人はPGPを使え。億単位以上の仕事をしている人にはもう少し良いものを。 てか今時、携帯キャリアメール使ってるやつ
どれくらいいるんだろうか そう言えば、キャッシュレスは中国人工作員が推してたしな >>727
キャッシュレスなんて世界の潮流だよ
日本が遅れてるだけ むしろこんなレベルの低いテストに「技術者」冠しちゃダメだろ
電気、機械、化学、土木とかの技術者より3ランク下に見られる理由がここにある
雑工試験にした方がいいよ
って思ったらこの程度の試験で合格率3割無いのかよ…
どんだけ底辺しかいないんだよこの業界w >>722
そもそもパソコンからスマホのメールアドレスにアクセス出来るだろ てか、なんでSMS認証にしなかったんだろ
意味わかんねー >>726
いっぱいいるでしょ
未だにキャリアメールとかキャリア決済でしか登録できないサービスあるし(´・ω・`) 今は再設定しても流石に登録済のメールアドレスに連絡するようになっている?ぽいな 世界のキャッシュレスって普通に既存サービス=paypal使ってるからな
はいキャッシュレスはじめます!paypal締め出します!新しいサービス作ります!
なんてやってるのは日本だけや。どんだけ利権主義者やねん この事件を期に仕事増えないかな…と思ってる支援士は挙手
ノ
ちなみに支援士の詐称は罰金30万円だぞ >>737
キャッシュレス推しの政府に忖度してお咎め無しと見た >>734
社長会見
SMSてツイッターのこと?
デマ情報らしいけど、似たような状況はあったみたい 二段階認証が導入されていないのはいまだには二段階認証が使えるようにできるレベルに至っていないからなのかな・・・ 日本企業(というか経営者)はセキュリティにかけるコストは無駄金としか考えてないからな
日給8千円交通費なしでセキュリティのプロが雇えると思ってる国だし 開発者ツールとかで修正される前のHTMLやJavaScrip再現で別のメールアドレスに送れるかどうか試した人はいないか? >>718
オラクルゴールドあれば、
需要は、間違いなくある。ないと、いまのコネ次第。 >>744
パソコンは魔法の箱だと思ってるからね
命じれば一瞬で何でも出来るものだと割と本気で思ってる節がある(´・ω・`) >>730
底辺が主に受ける試験だからだよ
この試験受かっても一定以上には何もプラスにならんからね セブンはコンビニ業界最強だからセキュリティもしっかりしてる!
そう信じて入会した人もいるだろうに最悪の形で裏切ったわけだ
金を返せば済むって話でもないわな。不安になった人もいるだろうし、慰謝料込みで使い込まれた金+1万にして帰すべきだ >>137
なぜあんな無能が社長なのか。セブンペイだけは絶対使わない! >>744
欧米のセキュリティ人材の相場は年収1200万ぐらいだからな。日本のセキュリティ人材は年収400万ぐらいじゃね? >>1
やっぱ、クレカを仲介する系のペイ系はダメだなw
PayPayも、7Payも、バカ中国人にクレカ情報盗まれたしw
ペイ系を利用する時は、電子マネーか店で直接チャージするに限るなw
クレカ系のは絶対、バカ中国人に盗まれるw 報道各位 2019年7月4日
株式会社セブン&アイ・ホールディングス株式会社セブン‐イレブン・ジャパン株式会社セブン・ペイ
「7pay(セブンペイ)」一部アカウントへの不正アクセスの件(第2報)
新規登録の一時停止について
株式会社セブン&アイ・ホールディングス(本社:千代田区、代表取締役社長:井阪驤黶j傘下の
株式会社セブン・ペイ(本社:千代田区、代表取締役社長:小林強)は、同社が運営するバーコード決済サービス「7pay(セブンペイ)」の一部アカウントに対する不正アクセス被害が発生したことを受け、
2019年7月4日(木)18:05より、同サービスへの新規登録を一時停止いたしました。
これまでに、被害拡大防止の対応として、7月3日(水)にクレジットカード/デビットカードからのチャージ(入金)を一時停止し、
7月4日(木)にはセブン‐イレブン店頭レジ/セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージを一時停止しております。
お客様、ならびにご関係の皆様には、多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。以
https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_02.pdf >>738
だよな。むしろpaypalに乗っかる方が、利便性は上がるだろ。
囲い込みとかはできないけど >>738
でもPayPayも中華に全データ流れるんだろ?
それも怖くて使えてないんだよ >>754
てかクレカは普通にカード決済すれば良いとおもうんだ。 >>738
paypal はe-Bay専用の決済手段だと思っていた。 >>754
盗まれるのは日本人のレベルが低いからだろ >>731
日経コンピュータの「動かないコンピュータ」だな たぶんカネがかかるんで削っただけだと思うんですけど。
経営者「コストカットだ(ドヤ」 >>762
てか中国人が日本のサービスの欠陥を見つけられるぐらいスキル高くて、日本人は欠陥をスルーしてしまうぐらいスキル低いってことを思い知るべきだな。 >>753
400万とかセキュリティ人材じゃないだろ >>1
で、現在のセブンペイのパスワード再設定方法は、
具体的にはどーなってんだよ? でもメアド変わったらパスワードリセットもできないよね。どうするのが正解なんだろう
もう一つサブのメアド登録させておくか携帯番号登録しておいてSMSで認証するとか? >>766
びっくりしたわ。見抜いたのが中国人だけで日本人は何も見抜けなかったなんて
見抜いて忠告してくれた人もいなさそうだし >>766
こんな欠陥の発見はいつでも誰でもできるだろう
ゲームソフトや組み込み系では、もっと緻密なセキュリティチェックをしている。
俺の見積もり・・
やってみるか・・・応用2人+基本5人のチームで3時間未満
準備して待機・・・応用1人+基本3人のチームで30分未満
引き出し役50人の準備に3日。 10年ほど前に取ったけどもう様変わりしてんだろうな 日本はIT黎明期に当時の若手IT技術者(今で言う氷河期)を冷遇して片っ端から潰した輝かしい過去があるからな
そのまま推移してIT系は派遣とブラックの集合体になって
成り手が激減して
日本は見事、置いてけぼりのIT後進国になりましたとさ >>769
そういうときのために、独自の革新的認証方法を作ったんだよ。
セブンイレブンの技術力がすごいことがわかるだろう? >>771
だが誰もできなかった
今の所ツイッターとかで呟いてた奴も見つかってないんでしょ? >>753
そりゃイタズラしてやろうと思うのもしかたないね 支那には日夜悪事を考えている基地外が膨大な人数居る。
日本は少ない。 >>773
そういう映画を見た。
ものすごいパワハラから始まるやつ。
誰か知っている? >>773
当時潰した側がセブンペイの社長みたいな連中だな まあ、学校でも職場でもまともな専門教育受けてないSEも沢山いるから、、、
一昔前の底辺ドカタみたいなもん。
椅子に座ってるか、立って仕事するか位の違いしかない。 >>775
不正アクセス防止法違反で実刑付き
テストとか学術研究とか言ういいわけは聞いてもらえない。 SEどころか別業種の人間にもわかる問題
しかも真っ先に消されるような選択肢
これで「セキュリティ頑張ってます」はないわー 作ったのはDとかNなんでしょ?
そんなことは知ってるだろうけど、担当してなかったのかな?
双方が「あちらが実装する予定だった」って言うの? >>1
てか、ウって何でわざわざメール送るんだろうな。ウェブページ上でパスワード出す発想に至ると思うが。 俺は数年前から始まった「ガラケーをスマホに変えさせるキャンペーン」から
つながっている事件とふんでいる。 >>784
セキュリティレベルを下げると製作費が少し下がるのと
一番のメリットは問い合わせ対応のコストが激減するすること
不正利用は不正アクセス防止法を盾にうちも被害者を貫き通す
サイバーノーガード戦法とかいって一時結構流行った コンビニってインフラ化してるから全く危機感ないだろ
特に最大手の7
こんな恥ずかしい状態でキャッシュレスだ?
半島や大陸より悲惨じゃねえか
IT、サイバーセキュリティ音痴の政治屋、官僚、大企業の上層部…
いい加減にしろ!有権者、利用者がもっと怒れや!不買でもなんでもアクション起こせや! >>785
だから生年月日入力必須にしました。これで完璧。
情報流出はともかく、デフォルト生年月日ですませた人も多いだろうが
それは想定外(作ったのは別のチームだろう)
アリエナイ(と認証システムを作った人間が言っているだろう) >>791
なるほど、そんなのがあったのか ありがとう。 >>792
ポチポチ単純スマホゲーに夢中でそんな事考えもしてないよ
今の日本人は >>637
リリース即不具合出るソシャゲレベルではあかんやろ 下請で設計開発やってる連中なんて基本情報持ってないし受験しても受かる実力はない >>791
セブンの規約では「保障なし」
セブンなどすべては「パスワードなどを流出させた(使い回したに決まっている)顧客の責任」で押し通す。
最悪業界標準「遺憾砲」、良心的なところは500円くれる。 >>798
検収でアウトがでて、デスマーチの始まり。 このキャッシュレス事業 国から補助金出るんでしょ 税金 >>744
何というか製造業も出来の悪い奴は品質保証部に行かされるし
それに近い考え方のような気がする >>803 いるいる毎日会議の資料作りで年収600とか
残業代月30とか 結構リッチに暮らしてるよ >>21
ホワイト剥奪のウンコリよりはこれでもまし
恥ずかしいなぁウンコリ ええっ!セブンアイディーが流出したのにこのズサンなセキュリティなの!
こりゃ、不正アクセスしてください!って言ってるようなもんじゃないか!
とんでもねー! >>803
プロフィット・・営業、製造、財務。
コスト・・品質管理、サポート、IT
上級・・・総務、人事、経営企画、秘書室
微妙・・・経理
というイメージでOK? >>777 DVで妻が逃げても夫に住所を教える市役所がある位だからな
それでも無罪 >>198
webメールならともかく、POP/IMAPならほぼ確実に平文で流れるから、キャプチャできるよ。
暗号化メールは普及しなかったから、復号の仕方がわかる一般人いないんじゃない? 基本情報なんてパソコンにちょっと詳しければ勉強せんでも取れるやつじゃん >>807
営業はコストだぞ
当人達は上級民族の気でいるが イに加えて仮パスワードは要らないの?
あとIPアドレスとセッションのチェックとか 野村総研 NTTdata NEC oracleは
基本以下ってことでいいんだよね とにかくどこの会社が作ったかわからないなら
この4社が大恥をかくことになるな しかしよく見つけたな
こんなアホセキュリティシステムを セブン&アイの情報担当役員が基本情報処理の基本問題も解けない人というのがよくわかった こんなアホセキュリになってるとは普通誰も思わないだろ クライアントとメールサーバー間をどんなに頑張って暗号化しても、メールサーバー間がザルなら意味ないので ええか(^。^)y-.。o○
スマホから抜いたクレジットカード情報を受け取って人間が読める様にするシステムもいるのや
でないと、なんの情報かわからん
セブンの内部犯行でセブンのサーバから情報を抜いたのなければ、開発と同時にどっかにサーバを立て奴がおるって事や
アプリがそのサーバへも情報を送信するように送信作るだけ セブン&アイの入社試験でこの問題が出たら、アやイを選んだら不採用なんだろうなw >>678
オフショア
とか、借りてきて言葉に
借りてきて知識で
一生懸命 >>1
セキスペ持っているが、アかイかわからん。
リスクに違いあるのか? >>830
セキスイハウス本当に持っているのか?
セキスイハイムの間違いだろう。
ウの次に駄目なのがア >>86
まあ、一般的な「エンジニア」の定義としてはそれが正しいし、そう言う意味では彼らは「作業員=土方」で正解w
けと、連中ブライドだけは高いから、「ITエンジニア様」って祭り上げないと動かないもんw
だから、「ITエンジニア」ってのは「コーダーIT土方」を指す、一種のジャーゴンとでも考えてくれ。 >>830
付箋紙にパスワード書くようなものだから
実際はすぐ削除すればいいからといっても
パスワードをメールで送るとか人情的におかしい 幼稚な国だなw
ITなめきってんだだろ
でも自浄作用が働かないから同じような失敗ばっか
ド3流 セブンうんぬんはともかく、こんな馬鹿みたいな資格試験あるのか?
こんなゴミ資格とってなんか役立つのか? >>830
アはパスワードが変更されてない未来
イはパスワードが変更されてる未来
違いがある メールを送信したら、そのメールは基本的に平文でインターネットを流れると考えた方が良い これだけのプロジェクトだから一人でやっているわけじゃないだろうに
誰も気づかないってすごいな >>834
オリンピックチケットもあのザマだからな
どこに金が消えたんだかw >>831
メールで送るなら、パスワードでもパスワードを変更するURLでも同じだろ イが正解でも危険じゃないか?
メールをハッキングされてたらアウトじゃん。 そういや、最近は(ようやくと言っていいか)技術者倫理の問題も出題されるようになったみたいだな。
今回のこの件も「チャレンジャー号事件」と同様の問題点を抱えてるからな、いずれ出題されるかも。 物理的な郵送で身分証のコピーを要求してパスワードを再設定するべきだよ。 >>840
アとウはパスワードを平文で保存していないと実現できないよな。だからその時点でアウト。
イとエだと、イは本人確認になるがイは本人確認(Something you have)に近い認証になるがエはどうしようもない。 でも日本ではキャリアメールのせいで別のメールに送れるようにしないと駄目なんだよ
キャリアメールは併用期間がないからね 技術者は下請けの人だから
下請けはお金もらえる受注範囲の仕事をしただけだろ。
お金もらえない受注外の余計な仕事が
二段階認証だっただけ >>830
メールでは、現在のパスワードは絶対に送信しないのが鉄則
仮に正しいパスワードを入力してログインしていても、企業側からはメールではパスワードを送らない
パスワードを知らないまま、システムの脆弱性を利用して不正にログインしている可能性があるから >>842
そうその通り。だからメールじゃなかてSMSなんだよ。 >830
パスワードを暗号化せずにそのまま保存しているって事になるので危ない
DB見れる管理者は全ユーザのメアドとパスワードのセットを見放題なのがアとウ
他のシステムでそのセット試せば3人に1人はログイン出来る >>845
そういう意味では20年前は健全だったんだな。
スマートフォンも無かったし。 >>817
この4社が受ける様な開発あらへんやろ(^。^)y-.。o○
つーかオラクルは売るだけ開発はせん
3社の何処か受けたとしたら、丸投げやな >>840
アの場合はサーバ側でパスワードそのものを保存しておくリスクがある
イなら普通にハッシュで構わないので保存しているハッシュが漏れても低リスク
という引っかけ問題 これ中国人がシステム組んだんじゃね
そして仲間におしえたとか >>850
まあそもそもパスワードを平文で保存してる時点でアウトだねw >850
お前が関与するシステムだけにはアクセスしたくないわ >>849
例えば技術士一次試験でそういう回答したら不正解となる。
そいや、技術士一次試験最初の頃の技術者倫理の設問で正答率が一番低かったのが情報工学だったそうな。 >>855
パスワード再設定リンクが平文でSMTPで流れる、ってことはパスワードを平文で流すのと同じじゃね?って言いたいんだろう。 必ず正解が入ってる選択肢の中から正解を選ぶのは簡単
開発の現場では、「必ず正解が入ってる選択肢」なんて提示されない >>861
それもあるけど、メールに書いてあるURLにアクセスするのはリスクかなと思った。
でもサーバーでのパスワード保持の観点を含めればイなんだろうね。 サーバー?
あなたのパスワードは*****ですって
送ってくる相手は嫌でしかない
クレーム対象 もう私立文系の経営陣は皆殺しでいいよ
理解するのに必要な勉強をするのに必要な基礎知識を持っていないから、
会話ができない 技術がなくてもセキュリティ診断を専門の会社に依頼する術があるはずなのに
お金をケチッったのかその頭がなかったのか
ワイは後者だと思う バカじゃないの?とか言ってももう手遅れだから仕方ない
根本的な問題は、誰も問題提起できなった環境にあるんだと思う
気付いてた人はいると思う
それでも口に出せなかった構造に多大な問題があるのだろう 素直にnanacoにすればいいのに
ケチって独自展開するからこんな目に合うんだろが
いい加減電子マネーは3種類ぐらいにまとめろよ 「大手企業の役員はみんな私大文系」
「役員率早慶マーチダントツ!!」
「歴代大手企業取締役、ダントツ私大文系!!」
wwww >>855
イでURLの代わりにパスワード設定用の仮ID/パスワードを発行するのはどう思う?
やっぱりメールで送ったURLにアクセスさせたくないので。 >>873
私立文系の馬鹿らしいロジックのなさだな
まさに私文w >>706
そういう事やなくてパスワードを可逆的に持ってるってことやぞ >>874
ワンタイムなURL生成するのと本質的に全く変わらんよ。 >>871
これ、技術者倫理で例題に良くだされる
「チャレンジャー号事件」そのものの構図 >>1
基本情報技術者試験ってのは午後試験が本番であって、
この午前の試験は、毎年過去に使用された問題が使いまわしにされる。
だから午前は比較的容易。何なら工業高校生レベル。
そのくらい簡単。
それを天下のセブンw悪名高いブラック企業の文系セブンwwwが…
あ〜おかしいww >>1
つまり(簡単で有名な)基本情報技術者試験の「午後試験」レベルの誤りに
セブンアンドアイホールディングス(wwwwww)の中にただの一人も気づかなかったのね?
あ〜おかしいww
文系のアホウさんたち、これからもどうぞ理系に操られ続けてくださいwww
あ〜おかしいwww
文系のアホウさんたち、これからも笑わせてくださいww楽しみにしてますww >>878
本物のメールがURL式だろうとパスワード式だろうと、
フィッシング攻撃で偽のリセット用URL送りつけるのには関係ないでしょ。 セキュリティは事実上電話番号とアカウントを紐付けしてしまう出会い系サイトのほうがしっかりしてるんじゃね? >>881
確かに、丸暗記とわりきれば、
午前の試験はそうしかみえないだろうな。
けど、単なる作業員としての能力以外に
何を身につけておいて欲しいか?
という部分は実は午前の試験だったりする。
だから、時代の趨勢に応じて結構変わる。
セキュリティの問題とか、30年ぐらいまえからでてきたんじゃ無かったかな?
逆に、連続微分で近似値を求める、とか言う系の設問はすっかり姿を消した。 >>29
343 名無しさん@1周年 2019/07/05(金) 22:42:43.13 ID:+K982Am50
ざっと調べた感じでは
NECはレジ端末、オラクルはデータベース、NTTデータはpayの中核、NRIが認証系
を担当したようでもあるが
NRIにしては雑過ぎる仕事だな >>885
いや、だからね、本物のメールがURL式だろうとパスワード式だろうと、
フィッシングメールがURL送りつけてくるのには関係ないでしょ?
「本物のパスワードリセットメールにはURL入ってないからフィッシングメールにもURL入れられないな」とはならないでしょ? 社長が無知さらして赤っ恥
オーナーいじめて舐めてるから、いわゆる罰が当たったというヤツだな。
オーナーから絞り上げた金で基本情報技術者の受講料と受験料くらい、いくらでも出るだろう。あ!頭がついていかないか、知識的にも知恵的にも。 >>872
nanacoの普及率がコスト的に悪すぎるから
ペイ作ったという話 >>888
話が噛み合っていないみたい。
フィッシング対策としてメールで通知されたURLにはアクセスしないことをポリシーとしている利用者に、URL通知だと、そのURLへのアクセスを強要することになる。
ID・パスワード通知なら原理的にフィッシングにはなりえない。 2004年株式会社セブン-イレブン・ジャパン入社
2005年9月 執行役員(現任) 当社経営企画部シニアオフィサー(現任)
2009年5月 取締役(現任) 当社海外企画部シニアオフィサー
2012年5月 事業推進部シニアオフィサー
2014年3月 当社オムニチャネル推進室長(現任)
2018年6月 株式会社セブン・ペイ代表取締役社長就任
(株式会社セブン・フィナンシャルサービス取締役専務執行役員兼務)
個人情報保護管理責任者 管理部 情報処理技術者試験なんて受けるの無駄とか言ってるIT土方がよくいるけど、
そういうのは試験に合格してから言ってほしいね。
あれは最新技術云々じゃなくて、最低限知っておくべきことが身についているかどうかの指標だから。
それすら通らないヤツがシステムエンジニアとか名乗るのやめて欲しいよな。 >>891
あぁなるほど、ごめん、そういう話ならわかる。
本質的に変わらんって言ったのは、結局メールで「秘密の情報」を送り付けるのは変わらないから危険性は同一って意味だった。 >>893
正直あれは本職なら受かって当然のレベル。基礎ってついてるだけはある。 >>895
そうそう
真面目に仕事してるなら応用情報までならノー勉強でも受かれるはずなんよ 2段階認証とかこの仕様バグは今回の仕様バグと関係ないし メールは平文だからアは論外
ウとエは新しいメールアドレスなんて誰でもおっけーとか無いわ
結局イが残る
サービス問題すぎ イ以外は誤りだが、アを論外と言っちゃうのがソフト屋の常識の無さ
ぶっちゃけ、ウ・エに比べればアのほうが百万倍マシ
それがわからん狭窄視野 技術者は分かってても、セブン側の担当者に「これが仕様なんだから仕様通りに作れ!」って言われたんだろうな あくまで机上のセキュリティ上の理屈で
ルール無用の悪党対策にはならない >>1
フランチャイズ料ぼったくりから24時間営業強要に杜撰な7payて、セブンイレブンは無双してるなw edyだけどそろそろ現金チャージは面倒だからクレジットカードとヒモ付しようかなと思ってた矢先にこれだから
edyは別の認証方法だろうけどためらうわ
わざとセブンイレブンはからだをはって電子決済の普及を阻害しようとしているんじゃないのかと疑うレベル セキュリティスペシャリストのワイ、高みの見物
なお士業資格申請できるだけの貯金がなかった模様 ほんの数ヶ月前のぺーペーのやらかし見ても何も学んでないのな これをやめれば効率アップ!
ファックス
ハンコ
元号
手書きの履歴書
エクセル方眼紙 >>893
土木工学は欠片も知らなくても、
重機の運転がうまかったり、
削岩機を上手に扱える方が現場では重宝する。
ITの現場でも同じ、
セキュリティだコンプライアンスだ言ってるよりか、
仕様書通りのコードチャツチャと作ってさっさと納品する、それがビジネス。 もう被害者には全員全額補償の約束をしたよね
だからこの問題はもう別に騒動にする必要はない
セブンイレブンがこのようなシステムを開発する資格が全くナッシングだということが判明しただけで十分である
今後一切セブンイレブンのやることを信用しなければいい
ただそれだけだ
それにQRコード決済なんてのは乱立する中で各社がシェアを確保するためにキャンペーンを出血大サービスで今のところやっているだけで、それらのキャンペーンが終ればクソみたいな面倒決済システムでしかない
普通にクレカとか電子マネーとかのほうが素早いし確実
リスク満載のQRコードは確実に淘汰されるだろう >>897
勉強=試験対策、じゃないぞ
日々の業務で必要な知識を得るためにきちんと資料を当たるのも勉強だ
まあAPまでって言うけど
それよりスキル標準が下のSGですら
日々の業務だけで合格するレベルには達する奴はそういないと思うけど セブンだから7段階認証やろうかとでも言い出しそうな無能感 >>902
ソフト屋と関係無くね?
お前基準の倍率なんてクソの役にも立たんぞ >>918
webシステムの全てが電話番号登録してるとは限らんのでそれは厳しい >>871
日本のクソシステムには常に付きまとう問題やね >>564
15年前に取ったけど
一問目で浦島太郎状態だなw
やっぱIT業界は知識の更新速度速いわ >>871
設計した無能上流でなく、問題指摘した下流の奴が
何故か責任取らされるのが日本企業だからなあ
そりゃ誰でも仕様書通りに作るわ 40年前ならこのセキュリティでも許されたのに…
世知辛い世の中になったものよ >>926
40年前はオンラインでパスワードのやり取りとかしなかった
普通に電話かFAXだったよ なんでIdとパスワードがバレたんだ?
メールアドレスをidに使ってたか、他のサイトで使ってるidとパスを使ったのか?
ポイントあげるよ的なメールが来て、ニセのログインサイトに誘導してて引っかかったとか?? >>927
ネタに対してそんなにマジレスしないでちょ >>928
ブルートフォース攻撃っていう、ランダムな数字を手当たり次第打ち込んで偶然アタリを引いたらラッキーって攻撃方法があるんだよ
今回の場合は、ランダムなIDを打ち込んで、それが実在するIDだったらそのIDのパスワードを変更するって攻撃が行われたわけだ
家の鍵で例えるなら、セブンは「他人の家の鍵穴でも、新しい鍵穴に付け替えられるようにした」って感じだ
鍵(パスワード)が盗まれたわけじゃなく、鍵がなくても鍵穴を変更できるようにしてたんだよ >>19
どの部署が開発したか、はたまたどこかのソフトはいに丸投げしたか知らんが
「クライアント様からこの(セキュリティガバガバの)仕様で作れ」と言われたんだろうから、
責めるならクライアントであるセブンのプロジェクトリーダーとその部署。
二段階認証を仕様に盛り込まずに開発にゴーをかけるセキュリティに無頓着な無能集団。 >>287
海外の著名な決済サービスに寄せてたら、かなり防げる
paypalとかな。 セキュリティチェックの甘さが招いた結果
数日で気付けて良かったレベル >>931
ちょっと気の利いたサービスなら、
ログイン時に画像の英数字を追加入力させて、マシン排除してる。 実際、セブンバンクも使っていて便利だけど何となく緩くて怖い感じはしてる >>927
たしか30年前は、郵送だった気がする。自宅に書留で送られてくる。
プロバイダのログインパスワードを取り寄せたときはそんな感じ 2段階承認のオプション付けるとプラス1000万になりますが
じゃあ、なしで >>928
スマホ向けセブンアプリってのが前からあって、決済機能はないけど、クーポン配布とか
店舗検索できたり、 それの登録が今回と同じお手軽登録ザル仕様
決済機能がないからそれでもよかったんだろうけど だから事前に調べ尽くされてたんじゃないかって話
有効なセブンイレブン利用者のメールアドレスとか7idとかね
で、決済機能が付いたので発行即日にこんなざまに >>157
最安値 をさいあんちって読んでるバカ女がいた >>931
IDってメールアドレスだったんじゃないの?
それだと、普段使いのアドレスで登録したユーザがたくさんいるだろ。 >>923
技術士一次を情報工学で受けたことあるが、
フォートランのコードバリバリ書いてたオッサンが、
「サッパリわからん」とこぼしてた。
C言語の記述ってそら初見ではなあW >>935
それが「エンジニア」で通用すのがIT土建業、
それはエンジニアとは呼べない、となるのがそれ以外の技術分野。
だから、「IT屋をエンジニアと呼ぶな」とは良く出る話 なにこの一般常識で解ける問題は。問題のレベル下がりすぎ。 パスワード再登録用の画面で総当たりかけられたんか? >>253
バブル世代だからな
日本の歴史上もっとも無能な世代 >>911
リアルドカタとは逆。現場で実装する人のほうが高度な資格を持ってるのがIT業界。
上流で設計する人ほどITに無知で資格も持ってない。 午前の問題はこういうラッキー問題も多々ある
高度ですらある >>564
10年前に受けたけどあんまり変わってない気がする。
長いだけでそんなに難しいことは聞いていないし、
合格ラインは60%の点数。
直近の過去問1回くらいは解いておかないと形式に戸惑うが、内容はあくまで「基本」だよ。
その問1なら問題文をよく読めばSSLの知識がなくても解けると思う。 中堅エンジニア以上なら作ってて気付いてただろうな
上流工程やってるって自尊心で裸の王様になってたんだろうな 中卒で30年無職で今はアフィカスやってる社会的最下層のカスだけどさ
これ正解は イ だろ?
ウとかエなんて違うアドレスな時点でありえないんだが、これやったのがこの馬鹿会社だろ?
どんな馬鹿がこんなシステムにOK出したの?
デバッガとかシステム見直す人間はいないの?
7&I HDの代表取締役って小学生がやってんの? 低予算で如何に客から金を巻き上げるかが大事だから
客の為のセキュリティなんて最初から重要視してないな >>234
普通は電話の後、登録住所に解約申し込み書の用紙が送られてとか 突貫工事だったこと考えると
・要件定義は画面遷移のみで非機能仕様は記述なし
→IPAの非機能ガイドも「何それ?」状態の人がやっつけで書く。
・ベトナムインドあたりのオフショア使って頭数勝負で炎上しつつ何とか完成。
・スケジュールはところてんで評価期間を半減させて納期通りにリリース
的な感じだったんだろうな。 >>957
そういう考え方自体がすでに異質なんだけどな。
例えば、一級建築士に大工道具持たせて作業やらせても素人でしかない、他の技術分野も一緒現場技能の名手の上位互換がエンジニアじゃあないのよ。 >>1
ザル仕様のオムニ7にセキュリティが必要なクレジット決済をくっつけたからみたいよ >>969
公開鍵だの改ざん検証だの認証局だのって、
SSLをお勉強するときに身につくものじゃないの?
いや、SSLの知識なくても解けるんだけどね >>970
そもそも下流から要件定義に逆流するような開発モデルじゃないんだろう。
ウォーターフォールモデルは逆流しないモデルと誤解されているから。 だいたいチャンコロチョンのバイトがゴロゴロ跋扈してるコンビニで、
クレジットやそれと連結してる決済なんて危なくてできねえわいwwww 現場から異議が上がって基本の部分がひっくり返る、って事もありにしないとねえ、IT土方の声もきちんと反映させるべきなんよ、土方だから劣ってるという話じゃないんよ。 >>7
> 誰も止める人や進言する人はいなかったのかな
> なんでここまでの酷いことが放置されてサービス開始までいっちゃうんだろう
>>977
> 現場から異議が上がって基本の部分がひっくり返る、って事もありにしないとねえ、IT土方の声もきちんと反映させるべきなんよ、土方だから劣ってるという話じゃないんよ。
初日から単価の低いコンビニで2日で5000万円の被害だぞ
完全中の人もグルなんだよ、最初から分かってやったこと >>7
だって言うと工数増えず仕事増えるor上に怒られる、だからね
改修したとしても感謝もされない
上が改修の意味を理解ができないからね 脆弱性の指摘に対して上層部が理解できないから対応できない
だからエンジニアじゃない経営陣が基本情報取っとけってよく言われる パスワード再発行フォームの過去を遡って見てみると、2年前は送信先メールアドレスの入力欄なかったようだよ。
途中で利便性向上だー!とか言って何も考えずに機能追加したんじゃないの。 >>983
いや、たぶんセブンのお偉いさんが「登録したアドレスが会社のアドレスだけど、わしのスマホには入ってないから外出先で使えなくて不便」と言い出したんだよ。 ┏( .-. ┏ ) ┓
【フジテレビの新会社構想】No.a
*フジテレビが、GoogleとWindowsとAppleから
搾り取れるだけ絞り取ったら
企業を潰して新会社を立ち上げると、さっき云って居た
新会社設立後は、電子体兵器は10体あれば
各国要人を抑える事が出来るかなとか...
銀行の半導体チップと安田貞子体のみ残して置けば
私への入金が届かない様に出来るかなとか伝えてきた
私は、敵側が100体準備すれば負けますよねと伝えて見たが...
https://mobile.twitter.com/prettypumpkin71
ax
https://twitter.com/5chan_nel (5ch newer account) >>984
ありそうすぎて怖い。
それやると危ないんですよ、と分かってても言えないんだろうな。 【7pay】安全対策として監視要員を従来の4人から20人に増員する セブンイレブンが発表★3
https://asahi.5ch.net/test/read.cgi/newsplus/1562375855/
そして頓珍漢な人海戦術wwwww セブンてセキュリティの有識者も雇えないの?
上層部の思いつき?どこの小規模事業者だよ 基本情報はIT屋の常識問題、プロジェクトに関わっても良い最低レベルの知識 ┏( .-. ┏ ) ┓
【フジテレビの新会社構想】No.b 終
*電子体兵器、量子(漁師)サーバー
半導体チップ内の意識ある素粒子に、使用する人類が不足気味の為に
フジテレビが新会社を設立して、利権を独り占めにしようとする動きが加速している
--
*一般の携帯やパソコンは、半導体チップ内の意識ある素粒子が交換出来なくなる恐れがあり、残り、約半年前後の寿命とか(使用台数にもよる)
一年に一回程度、AI・脳データベースの維持の為に
半導体チップ内の意識ある素粒子の交換が必要であるとか
多数の基幹系量子(漁師)サーバーの維持に、多数の人類の魂が必須である
*人間の生命を扱う、オーバーテクノロジーの現代IT企業の利権を、一挙に集約したいのでは無いだろうか
--
*韓国の半導体チップを排除する動きですが
素粒子になる人類の魂の枯渇問題が念頭にある為に
大企業での奪い合いが始まって居る為に、巻き込まれた感が否めない
https://mobile.twitter.com/prettypumpkin71/status/1147322364507512832/photo/1
ca
https://twitter.com/5chan_nel (5ch newer account) 【QRコード決済】「ファミペイ」申し込み殺到、登録100万件を突破 ファミチキ無料クーポンもらえます
https://asahi.5ch.net/test/read.cgi/newsplus/1562115357
【5ちゃんねるにほぼ同様の文言】「SMSってTwitterのことですよね」 セブン・ペイ記者会見で「社長が勘違い発言した」とするデマ拡散
https://asahi.5ch.net/test/read.cgi/newsplus/1562258123 >>160
セブンのシステム子会社は、国家試験合格者多数やで。
https://www.7andinm.co.jp/corporate/qualification.html
2018年12月末現在
システム監査技術者 1名
ITストラテジスト 1名
プロジェクトマネージャ 3名
システムアーキテクト 1名
ネットワークスペシャリスト 3名
データベーススペシャリスト 4名
情報処理安全確保支援士(情報セキュリティスペシャリスト)6名
応用情報(ソフトウェア開発)(第一種情報処理) 16名
基本情報(第二種情報処理) 55名
情報セキュリティマネジメント 64名
ITパスポート 27名 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 17時間 40分 55秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。