回答編集履歴
2
誤記修正
answer
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
> サーバ側 : お店からのQR使用通知を受信 → ユーザAPPに通知
|
|
11
11
|
> ユーザAPP側: サーバからのQR使用通知を受け取る → 画面遷移
|
|
12
12
|
|
|
13
|
-
しかしながらセキュリティの観点から、ユーザーのスマホからQRコードを提示する際、ただ提示しているとも思えません。QRコードがいつも同じであれば、そのQRコードを第三者が盗んでしまえば成りすましのチャンスを与えてしまうこともあるでしょうし、悪意ある店舗がそのQRコードを再使用することによって後先考えずに再課金することも考えられるでしょう。そのようなことに備え、店舗でQRコードを示した際になんらかのワンタイ
|
|
13
|
+
しかしながらセキュリティの観点から、ユーザーのスマホからQRコードを提示する際、ただ提示しているとも思えません。QRコードがいつも同じであれば、そのQRコードを第三者が盗んでしまえば成りすましのチャンスを与えてしまうこともあるでしょうし、悪意ある店舗がそのQRコードを再使用することによって後先考えずに再課金することも考えられるでしょう。そのようなことに備え、店舗でQRコードを示した際になんらかのワンタイムパスワードのようなものを絡め、いわゆる「セッション」のような、その時の売買行為にだけ有効なコンテキストを生成しているだろう、と言うことも充分考えられます。そうでないと途中でユーザー側、店舗側の理由で通信が切断してしまったような場合、どちらかに不利益が生じることも考えられます。その抜け道を知った者が悪用することも考えられるでしょう。要は、今現在世に出ているそれらは、QRコードを店舗側が読み取り、正当なユーザーが正当な行為で購買活動を行った、と言う保証を充分にできるインターフェース仕様が入念に詰められているであろう、と言うことです。
|
|
14
14
|
|
|
15
15
|
ユーザーの利便性を考え、上記のようなインターフェースの通信は恐らくほぼ一瞬に終わるでしょうが、その中で行われている処理は、お金のやり取りを伴わないインターフェースとは比べ物にならない綿密さで行われているだろう、と言う推測が成り立ちます。
|
|
16
16
|
|
1
文を修正
answer
CHANGED
|
@@ -14,4 +14,4 @@
|
|
|
14
14
|
|
|
15
15
|
ユーザーの利便性を考え、上記のようなインターフェースの通信は恐らくほぼ一瞬に終わるでしょうが、その中で行われている処理は、お金のやり取りを伴わないインターフェースとは比べ物にならない綿密さで行われているだろう、と言う推測が成り立ちます。
|
|
16
16
|
|
|
17
|
-
もし私がサービスの
|
|
17
|
+
もし私がサービスの実装者であったら、自前で造るにはしっかりとした開発保守体制の用意とそれなりの覚悟が必要になりそうですね。
|