モグステーションにおけるクレジットカードの認証について

現在のモグステーションでは、クレジットカード支払時、iframeでの外部サイト表示でクレジット認証を行っています。
これでは、iframeで表示されているサイトが本当に信用に足るものかどうかの判断がユーザー側で不可能となります。
またiframeが書き換えられたとしても、ユーザー側で気がつくことは出来ません。

クレジットカード支払時の認証は、ちゃんとポップアップなり新規Windowなりでアドレスを隠すこと無く、表示するべきでは無いかと思います。
昨今のブラウザ（IE、Chrome、FireFoxなど）では、https時はアドレスその他の場所に信頼済みであるかどうかのチェックが出来るようになっています。
例：IE、FireFoxではブラウザのURL欄左にSSL認証時の証明であるグリーンの表示と証明書の会社名が表示されます。
※証明書の期限切れの場合は赤で表示。

仕様変更をお願いしたいです。

Quote:

---

Originally Posted by Minna

現在のモグステーションでは、クレジットカード支払時、iframeでの外部サイト表示でクレジット認証を行っています。
これでは、iframeで表示されているサイトが本当に信用に足るものかどうかの判断がユーザー側で不可能となります。
またiframeが書き換えられたとしても、ユーザー側で気がつくことは出来ません。

---

モグステーション自体がhttpsなのですから、そこまで疑わなくても良いのでは？
モグステーション自体が改ざんされたとしたら、httpsそのものが信用できなくなりますよ。

Quote:

---

Originally Posted by Matthaus

モグステーション自体がhttpsなのですから、そこまで疑わなくても良いのでは？
モグステーション自体が改ざんされたとしたら、httpsそのものが信用できなくなりますよ。

---

現にクレジット情報入力フォームはSQUARE-ENIXでは無い（econ、証明書を見る限りはSECOMのサイト？しかし運営者情報が無い）、別のサイトであるのにあたかもSQUARE-ENIXサイトで完結していると思い込ませるのはいかがなものかと思いますが。
人間、誰しもが善人ではないんですよ？
もし私がWebページ製作依頼者であれば有無を言わせずRejectする仕様です。
http://img2.finalfantasyxiv.com/acci...618126bdaa.png

いやだから、モグステーションのページ自体が不正に改ざんされない限り、
不正な外部サイトには飛ばされないでしょう？と言う事なのですが...

Quote:

---

Originally Posted by Matthaus

いやだから、モグステーションのページ自体が不正に改ざんされない限り、
不正な外部サイトには飛ばされないでしょう？と言う事なのですが...

---

申し訳ないですが話がかみ合っておりません。
前投稿にも書いたとおり、全ての人間が善人ではありません。またクレジットというお金が絡む情報の入力をiframeであたかも上位サイトの一部であるかのように表示するのは
常識的に考えておかしいのです。


同様の構成のサイトがあるとして（上位はhttps、iframeにて入力フォームが存在）、そのiframe内のページがSSL通信していると信じれますか？更に言えばiframe内のサイトの証明書はきちんとした機関が発行したモノかどうか、パっと見でわかりますか？もしオレオレ証明書が使われていたら？
私なら信じられません。iframe内がhttpであったならばどうします？そこに個人に関する情報の入力を行うなど、怖すぎますね。

Quote:

---

Originally Posted by Minna

私なら信じられません。iframe内がhttpであったならばどうします？そこに個人に関する情報の入力を行うなど、怖すぎますね。

---

何故信じられないのですか？

iframeの記述を行っているのは、SSL認証されたhttpsのモグステーション側のページ内ですよ？
そこから呼び出しているページなのですから、確かな場所だと思うのですが？

モグステーション側のページが改ざんされて、不正なページに飛ばされるというのなら問題ですが、
そうなったとしたら、https自体が信用できないことになりますよ？

ロードストーンも、httpsのログイン画面後httpのページに遷移しますが、
それも信用できないというのですか？

「iframeの中に何を表示するか」はモグステのhtmlに書いてあるとおりなのですが、
「実際に何が表示されるか」はその先のURLの中身に全て依存するんです
この場合決済用のページのiframeの中身はスクエニのページじゃない(?)のでiframeじゃなくて別のページを開くようにするべきですね
改竄されたら～は、モグステではなくiframeの中に表示される別のページの事なのです
iframeを使ったクロスサイトスクリプティングが何年か前に流行って
iframeの中に別のドメインのページを表示しようとしても表示出来なくしてしまった事があった気がします

Quote:

---

Originally Posted by Matthaus

何故信じられないのですか？

iframeの記述を行っているのは、SSL認証されたhttpsのモグステーション側のページ内ですよ？
そこから呼び出しているページなのですから、確かな場所だと思うのですが？

モグステーション側のページが改ざんされて、不正なページに飛ばされるというのなら問題ですが、
そうなったとしたら、https自体が信用できないことになりますよ？

ロードストーンも、httpsのログイン画面後httpのページに遷移しますが、
それも信用できないというのですか？

---

んー、浅いかな・・・

iframe内のページを改竄する方法は、何もhtmlを書き換えるだけでは無いって事です。他にも方法はたくさんあります。
今のままでは、それにユーザーは気がつくことは出来ないでしょう。
それに現状でもiframe内のページはsquare-enix.comではない、別ドメインです。スクエニ管轄では無い別サーバーです。

Quote:

---

Originally Posted by Minna

現在のモグステーションでは、クレジットカード支払時、iframeでの外部サイト表示でクレジット認証を行っています。
これでは、iframeで表示されているサイトが本当に信用に足るものかどうかの判断がユーザー側で不可能となります。
またiframeが書き換えられたとしても、ユーザー側で気がつくことは出来ません。

クレジットカード支払時の認証は、ちゃんとポップアップなり新規Windowなりでアドレスを隠すこと無く、表示するべきでは無いかと思います。
昨今のブラウザ（IE、Chrome、FireFoxなど）では、https時はアドレスその他の場所に信頼済みであるかどうかのチェックが出来るようになっています。
例：IE、FireFoxではブラウザのURL欄左にSSL認証時の証明であるグリーンの表示と証明書の会社名が表示されます。
※証明書の期限切れの場合は赤で表示。

仕様変更をお願いしたいです。

---

私も色々な意味でカード決済はしていません。ネットがどこまで信用できるか？にも依るのでしょうけど。
モグステに関してはスレ主の意見が尤もだと思いますので、間違ってはいないと思います。

その避けたいポイントを「信じろ」の言葉で片付ける様なミスリードに近い勧誘行為はいけないと思いますよマテウスさん。

Quote:

---

Originally Posted by Minna

もし私がWebページ製作依頼者であれば有無を言わせずRejectする仕様です

---

と書かれているのでウェブの決済系にはそれなりに知識があると思うんですけど、ここで使われている3Dセキュアはiframeを使う仕様なので、3Dセキュアを使っている限りはスクエニ側では対応しようがないと思います。

3Dセキュア(wikipedia)

最初の頃の3Dセキュアはおっしゃるようなポップアップウィンドウを使っていました。ところがそのためにポップアップウィンドウを間違って閉じてしまったり、そもそも開かせない設定にブラウザーがなっていたりなどでトラブルが絶えず、今のようなiframeを使う仕様に変わりました。

3Dセキュアを使わずにショップ側で全て済ますようにすることも可能ですけど、その場合クレジットカード会社によっては意図しないカードの不正利用があった場合に補てんを拒否される場合もあります。日本のカード会社は実際の物品が伴わない商品の決済についてはかなりうるさいので。

クレジットカード会社による安全性確認を諦めてもいいならiframeを使わない方法にできるでしょうけど、私としては困るので現行の状態で特に問題ありません。

あとiframe自体は現状例えばYouTubeの埋め込みなど多くのサイトで多用されていますから、ことさらそこだけ問題にして「iframeは安全性が低い」と言わなくてもという気もしますけど。