任意の口座への振り込みはできなかったけど、別途申請書で申請した振込先へは振り込みできてた。その後ワンタイムパスワードが渡されてオンラインで振込先の登録や任意の口座への振り込みができるようになった。
posted at 15:30:05
ツイートの記録を停止しています
このアカウントはTwitter APIの仕様変更の影響でツイートの記録を停止しています。
記録を再開するには、Twilogにログインしてください。
Stats | Twitter歴 6,144日(2007/06/04より) |
ツイート数 19,610(3.1件/日) |
表示するツイート :
任意の口座への振り込みはできなかったけど、別途申請書で申請した振込先へは振り込みできてた。その後ワンタイムパスワードが渡されてオンラインで振込先の登録や任意の口座への振り込みができるようになった。
posted at 15:30:05
健保の初期アカウント登録の件でふと思い出したけど、以前シティバンク銀行のオンラインバンクは口座作ると勝手に口座番号でアカウント作られて、初期パスワードが生年月日だったような。オンラインバンクから住所変更もできてたなぁ。
posted at 15:28:15
その辺のこと考えて作ってたら防げた気がする。データに誰がアクセスできて、そのデータ(What)を誰(Who)がどういう状態(When)のときどうするのか(how)という機能仕様とデータのアクセス権を突き合わせて矛盾が起きれば機能仕様を変更するということを行えば楽に出来るような?
posted at 09:58:06
暗号化では復号できるので、システム管理者やアプリ管理者は見ようと思えばデータを見ようと思えば見れる。パスワードはシステム管理者やアプリ管理者であっても書き換えは可能にすることはあっても、見えてはいけない。なので、平文で保存するなんてもってのほかだし、復号できる暗号で保存もダメ
posted at 09:52:00
日産レンタカーのパスワードリセットの問題って「誰」がデータを参照できるかというのをきっちり定義してたら防げた気がしてきた。「誰」にはアプリを使う人だけじゃなく、システム管理者やアプリの管理者も含めて考えておく必要があるけど
posted at 09:49:52