Q&A
「クレジットカード番号が間違っていた」というのは、どういう状況でしょう?
必要な情報を得たあと、クレジットカード会社に情報を問い合わせ結果を元に動作することになると思うのですが。
クレジットカード登録に失敗した際のエラーメッセージの表示内容についてですが、仮にクレジットカード番号が間違っていた場合、「指定されたカード番号が正しくありません」と表示させることはセキュリティ上問題ないでしょうか。
「入力内容が間違っています」などと表示させることも考えましたが、有効期限やセキュリティコード、名前の他項目も確認する手間が増える為、直接表示させた方が良いと思いました。
ご助言頂けましたら幸いです。
[追記]
クレジットカード登録は以下のAPIを使用を考えていました。
https://docs.fincode.jp/develop_support/error
追記しました。クレジットカード登録は、fincode APIを使用する想定です!
> 有効期限やセキュリティコード、名前の他項目も確認する手間が増える為、直接表示させた方が良いと思いました。
数項目なら多すぎるとは思いませんが。
手間が増えるというか、どこに問題があるかが分からないのではないかと思いました。というのも実装していた際、バリデーションが通過しているため、使用できないクレジットカード番号であることが分かるまでにバックエンド側(fincode側)から返されているエラーメッセージを確認するまで使用できない理由がはっきりしなかったといった経緯がありました。
通常の入力ミスだけでなく、不正なカード番号をわかってて使用する人のケースでも考えましょう。
詳しく表示するってことは、悪意ある相手に情報を与えることになります。
> 手間が増えるというか、どこに問題があるかが分からないのではないかと思いました。
自分のカード情報を入力するのに入力ミスに気付かないことがあるのでしょうか?大事な情報なのですから登録者自身に確認させるべきではないでしょうか?対面で身分確認できているなら詳しく教えてあげても良いかもしれませんが。
回答2件
0
仮にクレジットカード番号が間違っていた場合、「指定されたカード番号が正しくありません」と表示させることはセキュリティ上問題ないでしょうか。
クレジットカード番号や有効期限、セキュリティーコード等の値の**書式(フォーマット)**に関するエラー内容に限って返すべきであると考えます。
「値の書式に関するエラー」とは、以下のようなものです。
・桁数が不足・超過している。
・使用できない文字(例:全角数字や記号等)が入力されている。
なぜなら、これらはクレジットカードに関する公知のフォーマットに関するチェックであり、これらのエラーに関する情報を入力者に与えても特段セキュリティに影響を与えないからです。
(実際、クレジットカードのチェックディジットすら、ネットで調べれば簡単に計算式を知ることができます)
逆に上記以外の情報、たとえばカード番号は正しいが有効期限が切れているとか、有効期限内であるがセキュリティコードが間違っているとか言った情報は、ユーザに個別具体的に知らせず、まとめて「入力されたカード情報は無効です」などのメッセ―ジにした方がいいです。
なぜなら、これらを具体的に知らせると、ブルートフォース攻撃に対する耐性を相対的に低下させてしまうことになるためです。
仮に、3回以上正しくないデータの登録が試行されたら24時間同一アカウントや同一IPからの入力を一切受け付けない等の対策がなされていれば、個別具体的なエラーを知らせてもブルートフォース攻撃は現実的な時間では成立しにくいから大丈夫という考え方はあるかもしれません。
しかしながら個別具体的なエラーメッセージを与えることはその分セキュリティを犠牲にすることになるため、やはり避けた方が良いでしょう。
なお上記は完全に理想論です。一般的な実装例についてもある程度は把握していますが、ここでは言及しません。(なぜなら質問者さんは「~セキュリティ上問題ないでしょうか」と質問しているからです)。実装例については、別質問を立てるか、質問者さんの方で調べた上で判断してください。
投稿2025/01/05 06:30
編集2025/01/05 06:50
総合スコア874
ご回答ありがとうございます。
やはり、入力内容が誤りがあるとの旨を表示させるのが無難なようですね。
どこかのサービスかは覚えていないのですが、具体的にどこに間違いがあるかが表示された気がしていて、具体的な内容を表示させても良いのではないかと考えていました。
あなたの回答
tips
プレビュー
