脳log[20131001]

2013年10月01日 (火) NETCASHって OpenIDより緩い仕組みで成り立ってるんだろうか。システムの穴は信用で埋めますか？購入者は信頼することを強制されますか？ NTTカードソリューションが全額補償するならなんでもいいけど。■最低限利用履歴の監視ができないといけないだろうと思って検索したら NET CASH ウォレットという仕組みがあった。何度か支払いに使用したプリペイド番号を入力したけど履歴はひとつもなかった。ウォレットを通した支払いしか履歴が見られないのだろうか(だったら役に立たない)。履歴が見えすぎると Tカードみたいなことになると考えるかも知れない。でも履歴を見るために必要なプリペイド番号ってのはお金そのものなのでレシートに書かれてる番号よりは大事にされるだろう。落っことしたときのリスクは増すかもだけど特定の誰かと結びついていなければ意味を持たないし、裏面に履歴が書き込まれるタイプのプリペイドカードとも変わらない。使える対象が広いからフランス書院のサイトで電子書籍を買ったみたいなこと(※例に挙げたけど NETCASHは使えないみたい)が知れるおそれはある。■ここからサイトの愚痴。■アカウント作成を申し込む(1)にもアカウント情報を登録する(2)にもログインする(3)にもキャプチャ(画像認証)をクリアする必要がある。ちなみにキャプチャ画像の最後の文字は半分に切れてることがあるが補完・推測して正解しないと拒否される。(1)は無関係の他人のアドレスへのメール攻撃に利用されないために必要だろう。(2)はどうか。(1)によってメールで送られてきた専用 URLにアクセスすることでアカウント情報の登録を行っているのだ。機械的にウォレットのアカウントを(大量に)作成・登録することへ何か動機が存在するというのだろうか。(3)について。普通のログインやスクリプトによるスクレイピングを拒否することでユーザーの利便性を落とす以外の意味があるだろうか。■フォームのメールアドレス再入力欄。同じ入力ミスを２回は繰り返さないだろうってことだろうけど、コピペするだけだっての。ブラウザによる自動入力や他所からのコピペの方がよっぽど確実。■スクリプトが有効でないと最後まで読めない規約。divタグとスクリプトで限られた機能しか持たないスクロールバーを再発明する意味がどこにあった？ 今までさんざん書いたけど(20130115)、スクリプトは装飾であって付加物であってクオリティを高める仕上げであって、基礎ではない。お前はゲームを作ってるんじゃないだろう。ウォレットは金を出す利用者にとって不可欠のサービスだろう(預金通帳みたいなもんだ。先に書いたようにその点でウォレットは役立たずだが)。だったら無駄にハードルを上げるな。■アカウント情報のひとつに秘密の質問と答えがある。質問を限られた選択肢から選ばせるから答えの推測はパスワードを破るより容易だ。でもそれがパスワードのリセット(そう書かれてたと思う)に使われるのであればセキュリティに問題はないのかも。アカウントに登録されたメールアドレスにパスワードをリセットするための URLを送信するだけなら。ところで、この入力必須項目の質問と答えの入力欄が３つも並んでるのは一体……。３つの回答すべてが控えてある答えとの memcmpで 0を返さないとリセットはできないのだろうか、それとも３つもあればひとつくらい正解するだろう(=サポートに手を煩わされずに済む)という算段なのだろうか。だったら、というかそもそも、パスワードをリセットするためのトリガーを引くだけならアカウント作成の時と同じようにメールアドレスとキャプチャの答えを送信させるだけでいいだろう。「このアドレスで作成されているアカウントのパスワードをリセットする権利をこのアドレス宛のメールを受信できる人間に与えてください。」それからまた、３つも選ばせる質問の選択肢が「好きな色は」「好きな動物は」「好きなマンガは」みたいな、微笑ましいというかなんというか。NETCASHの主な利用者層がオンラインゲームをクレジットカード以外で遊ぶ子供なのかなと思わせる、ここまでで見てきたいくつかはそれに対応して進化・生存してきたデザインなのかなとも思わせるが、おっさんは付き合いきれません。■■■@2013-10-09 メールアドレスだけを頼りに金銭にまつわる権利を預けることはできないというのだろうか。でもなあ、パスワードを忘れてメールアドレスも失効させてるやつに正当性が存在するだろうか。提示されたクレジット情報をアカウントから切り離すぐらいはできてもいいかしらんが。