モグステーションにおけるクレジットカードの認証について

[AerialLuster]

私もマテウスさんと同じく、
https通信である限り表示されている内容は信頼できるべきであるという立場なのですが、
https通信は通信経路の秘匿化・改竄防止および、表示されるサイトの正当性を保証するものです。

一部省略。

これでは、iframeで表示されているサイトが本当に信用に足るものかどうかの判断がユーザー側で不可能となります。
またiframeが書き換えられたとしても、ユーザー側で気がつくことは出来ません。

クレジットカード支払時の認証は、ちゃんとポップアップなり新規Windowなりでアドレスを隠すこと無く、表示するべきでは無いかと思います。

確かに機微な情報を入力する前にアドレスなどを確認することは重要ですが、
EV-SSLで所在が明示されたhttps通信で表示されるサイトの内容が信頼できない時点で、
そこから表示される別のWindowで表示されるサイトが信用できるというのは何か違う気がします。。。


iframeで表示されるサイトについては気にかけているようですが、
本来気にかけるべきはそのサイト内のページで使用されるjavascriptなど、
さらに外部から参照されるモジュールなどでは？

ですが、それらhtmlの内容をすべて確認するようなことは現実的ではありませんし、
それらの安全性を含めて信頼の上に成り立っているのがSSL通信です
※さらに正確には、単なるSSL通信ではなく証明書情報に企業の所在証明が含まれるEV-SSL証明書を使ったSSL通信は、付帯サービスとしてサイトの安全性評価があり、表示される内容が安全であることのチェックが定期的に行われています

[aqua_steve]

スクエニのページは信用できてもなんちゃらフレーム内の別のページは信用できるかわからんから
確認できるようにしてほしいって事でしょ
要望として特に問題ないと思うんですがねー
モグステとクレカ決済の他社のサイトで二重にユーザーが確認できたほうが素人ながら安心やと思いますしおすし

[Anemone-aura]

スクエニのページは信用できてもなんちゃらフレーム内の別のページは信用できるかわからんから
確認できるようにしてほしいって事でしょ
要望として特に問題ないと思うんですがねー
モグステとクレカ決済の他社のサイトで二重にユーザーが確認できたほうが素人ながら安心やと思いますしおすし

先に書いた通り、3Dセキュアがiframeを使っている限りスクエニ側だけでは対応できないんです。
3Dセキュアは例えば世界最大のゲームプラットフォームであるSteamも使っているぐらい、現状もっとも安全性が高い仕組みなので、そこは信頼するしかありません。

素人に分かりやすくて安全そうに見える仕組みというのは、そのままではあまり安全でない場合が多いんです。
安全性を高く保つためには、たとえば3Dセキュアの仕組みを理解していない人には不安に思えることであってもやらざるを得ません。

そういったことを何も知らずに安全・安心に使えるほど、インターネットは平和ではないというのが現実ですね。

[cocoro]

クリスタで支払いすれば良いのでは？

[AerialLuster]

省略

同様の構成のサイトがあるとして（上位はhttps、iframeにて入力フォームが存在）、そのiframe内のページがSSL通信していると信じれますか？更に言えばiframe内のサイトの証明書はきちんとした機関が発行したモノかどうか、パっと見でわかりますか？もしオレオレ証明書が使われていたら？
私なら信じられません。iframe内がhttpであったならばどうします？そこに個人に関する情報の入力を行うなど、怖すぎますね。

そもそも、httpsとhttpの同一サイト内の混在は現在の主要な最新ブラウザであれば、
ユーザーが故意に設定を変更していない限り、デフォルトで警告が表示されます。

また、自己署名証明書が使われていた場合は、iframe内のページであってもアドレスバーの表示が信頼されていない証明書として表示されるので、
アドレスバーを確認するユーザーであれば気づかないということはありません。

省略

そういったことを何も知らずに安全・安心に使えるほど、インターネットは平和ではないというのが現実ですね。

SSLだから安全だと妄信することも危険ですが、アドレスが見えているから安全だと思い込むのもまた危険だと思います。
結局のところ、ユーザーが判断して利用するしかないわけで、まさにこのとおりだと思います。

クリスタで支払いすれば良いのでは？

アドレスが見えないことが不安だというのであれば支払い方法はいくつかあるわけで、
クリスタなりゲームカードなりで支払えばよいのでは？

[Minna]

すみません。略させていただきます。

モグステーションで使用されているセコムのクレジット情報入力フォームはiframeを使う仕様なのでしょうが、3Dセキュア画面はその仕様ではありません。
現に、他のサイト（例：DLsite.comなど）では、各フォームにそのまま推移していきます。（無論、3Dセキュアのフォームにも推移していきます）
その際、アドレスにてSSL証明の是非が一見して見えることになり、ユーザー視点で見た場合比較的安心できる内容となります。

また、SSL証明に関してもいくつかレスがありましたが、証明可能範囲は証明書に記載したドメインのみ（ワイルドカード指定があればサブドメイン含む）です。
現モグステーションのような、外側：secure.square-enix.com　/　iframe内：www5.econ.com　であれば、外側のsecure.square-enix.comは証明できますが、www5.econ.comの方は範疇外となります。
www5.econ.comの方は、そちらもSSL証明書が存在し、それで証明可能ですがiframeの場合一見してそれを把握することが出来ません。（尚、ecom側はEV SSLではないため組織名は出ませんが）
#ユーザーの検証可能性を下げている。

PCに詳しくない方であればより顕著になることでしょう。
そんな人々にも、証明書による確認が取れていることを見せて決済させるのが、使う側への安心感を生むと考えます。

尚、OWASP（Open Web Application Security Project）が発行するセキュリティ要件定義書にも、iframeは望ましくないとされています。
https://github.com/ueno1000/secreq/b...rements2.0.pdf

更にいえば、このようなお金が絡むものと、Youtubeのiframe表示を同列に考えてはいけません。

[RARUA]

難しいことはよく分からんけど、とりあえず一言
「そんなに疑うならゲームそのものをやめれば良いじゃん」

[AerialLuster]

省略

尚、OWASP（Open Web Application Security Project）が発行するセキュリティ要件定義書にも、iframeは望ましくないとされています。

使用してはならないであったり、使用すべきではないという文言ならまだしも、
ソフト開発で望ましくないという弱い表現だと、使用することを容認しているようなものかと。。。

望ましくないということは、よほど特殊な環境でなければ脆弱性は発現しないと言っているのと同じです


仮にある機能を実現する場合に、とり得る手段がいくつかあるような場合を考えて、
QCD（品質、コスト、納期）を勘案して、推奨されない手法で実装をするほうが大きく有利であった場合には、
使用すべきでない要件であれば別な手段を模索しますが、
望ましくない程度の要件であればよほどのことが無い限り
そのまま実装してしまうことのほうが多いのでは？
（仕様書に注意事項として記載するだけで終わることが多い


例で挙げられているモグステーションの入力フォームをiframeで実装する方法と、
DLsite.comで使用されている入力フォームを比較した場合に、
まずフォームをホストしている組織のサーバー・ネットワーク機器などの管理体制や、
コスト、実装を比較したときに、DLsite.comで使用されている入力フォームが極めて優れているというような状況でもない限り、
iframeでの実装が選択肢に入ってくるのは別におかしなことではないのではないかと思います



また、Minnaさんはアドレスが見えたほうが安心するのかもしれませんが、
不必要なサイトの遷移が発生しない構成であったほうが、
どこか怪しいところに飛ばされているのではないか？と不安に思う人にとっては望ましい構成であり、
一概にどちらのほうがいいとはいえないと思いますよ？
（そもそも、PCに詳しくない人がSSLの情報とかアドレスとか見て本当に安心できるの？っていう話も。。。

[Minna]

略させていただきます。

それでは合わせてこちらもお読み下さい。
－安全なWebアプリ開発の鉄則2006
https://www.nic.ad.jp/ja/materials/i...edings/T21.pdf
#39頁から。

－フィッシング対策ガイドライン　2015年度版
http://www.antiphishing.jp/report/pd...hing_guide.pdf
#10頁後半から。

通常のページならまだしも、ユーザーの金銭に関わるページであれば、セキュリティは強固にすべきです。それに対してコストがかかるとしても。
「コストがかかるから」「利便性が悪いから」などで、簡単な方へとシフトすると、それは脆弱性またはそれに類するものの種を残したままとなり、非常に危険です。
どこまでも強固にしていて、時が経つにつれそれも破ってしまう手法が見つかるかもしれません。なのでこのようなセキュリティ事項には日々アンテナを伸ばし、時代に合った強固な策に更新していかなくてはなりません。これは金銭等をやり取りする上での企業責任です。

また、Minnaさんはアドレスが見えたほうが安心するのかもしれませんが、
不必要なサイトの遷移が発生しない構成であったほうが、
どこか怪しいところに飛ばされているのではないか？と不安に思う人にとっては望ましい構成であり、
一概にどちらのほうがいいとはいえないと思いますよ？
（そもそも、PCに詳しくない人がSSLの情報とかアドレスとか見て本当に安心できるの？っていう話も。。。

先にも書きましたが重要なのは『ユーザーの検証可能性』です。iframeを使うことはこれを著しく下げます。
このスレッドではスクエニ側のモグステーションでの議論にしていますが、可能ならば3Dセキュアフォームを設けているセコム側にも言いたいですねぇ。
ちゃんとEV-SSLを取得しろ、と。

[AerialLuster]

今回は超大作になってしまった。。。

それでは合わせてこちらもお読み下さい。

省略

提示されている資料は読んだことありますが。。。。
ちゃんと内容を理解されていますか？

1）アドレスバーを隠してはいけないのは、昔あった単独のウィンドウでアドレスバーを隠す設計の場合
2）サブフレームがhttpsで外枠がhttpというのは、モグステがhttpでiframeがhttpsという設計の場合で、
この場合はサブフレームの情報が属性を正しく設定されていないクッキーなどを介して
入力情報やセッション情報を窃取される可能性があることと、
外枠がhttpであるため、モグステの偽サイトへの誘導やモグステ自体が改竄される恐れがあるため
3）サブフレームのドメインが外枠と異なるというのは、httpの場合で、上記の偽サイトや改竄の恐れと同様
4）サブフレームに偽サイトが表示されるというのは、サイト自体が改竄された場合

1は問題外にしても、
2はそもそもモグステはhttpsであり、アドレスバーにはスクエニのサイトであることが一目でわかるようになっています
また、SSLである限り経路上の改竄は極めて低く、サイト自体の改竄やモグステで入力された内容が窃取される可能性は、
a）スクエニに悪意や瑕疵がある
b）決済システム提供会社に悪意や瑕疵がある
c）スクエニまたは決済システム提供会社のサーバーに不正アクセスがあった
d）ユーザーのPCに不正プログラムが組み込まれていた
等が考えられますが、aやbだと考えるなら機微な情報の入力はされないことをお勧めしますが、
cやdであるならiframeなどとはそもそも一切関係ありませんよね？
同様に、3と4も2と同じことが言えます

モグステがSSLでサイトの正当性を保証しており、決済システムもSSLで保護されている以上、
これらの内容にはそもそも当てはまっていないと思いますが・・・？