読みたい本が増えてきた。とりあえずamazon.co.jpで2+1冊注文してみた。2+1と書いたのは、先に2冊注文したものと後の1冊をまとめて発送させたかったのだが、注文に時間差があって片方が「まもなく発送」ステートに移行してしまってダメだったからである。

で、今回、初めてカード決済にしてみた。クレジットカードのカラクリって今までどうにも納得できなかったのだが、おぼろながらわかってきたから使ってみた。

見た目の説明をすると、amazon.co.jpはユーザ登録してカード情報を入力すると、システム側がカードの情報を覚えてくれる。次からはamazon.co.jpの認証(メールアドレス+パスワード認証)を通ると、自動的にカード情報を引っぱってきて、使うカードを選択することができる。それはとても危険なことのようにも思える。そして、実は大して危険ではない。

もともとクレジットカードの認証というものは秘密情報を使わない。使う情報はカード番号と有効期限、名前だけであり、全てカードに刻印されている。このシステムにはセキュリティというものはほとんど存在しないように思える。本人性を確認するフェーズが皆無なのだ。このことはオンライン取引でも対面取引でも同じだ。というわけで無論、カードには本質的なリスクがあるのだが、そのリスクはカード会社(保険かな？)がどうにかしてくれる。契約書に書いてあるが、カードが「盗難」に遭い、我々に落度がない場合は全額払ってくれることになっている。カード会社も大変だなぁ。

では、amazon.co.jpに入力したデータが盗まれた場合(カード自体の盗難ではない)はどうなるのだろうか。その場合はなんとamazon.co.jpがアシを持つ(amazon.co.jp)ことを宣言している。よく、カード情報が盗み見られるとか、ショッピングサイトで盗まれるとかいうニュースがあるのだが、実際に我々が被害を被ることはなく、被害者はショッピングサイトだったりカード会社だったりする。彼らには落ち度のなさが要求される。

クレジットカードについてまとめると、利用者から見ると対面販売とネット販売でのセキュリティレベルの差は全くない。カード会社とショッピングサイトは我々に利便性を提供する。また、その利便性を不正に利用されてしまった場合は、落度のある者が負担する。そして…普通に買い物をする限り、我々に落度は生じない。危険なのは他人、自分は危なくない、というわけだ。あとは野となれ。

こんな理論で納得してる人が世界中にいるというのだから実に不思議だ。よくうまくいってると思う。何か秘密があるに違いない。これについては、また何かわかったら書くことにする。

amazon.co.jpのサイトについての話。発行されるcookieはドメインが「.amazon.co.jp」だしパスは「/」だしsecure属性もついてないというちょっとは配慮してよってなものだ。まあ、それを悪用されても彼らの問題なのだが…ちょっと心配になるよなぁ。

あと、なぜかamazon.co.jpはLinux上のgaleonからは使えない。カートに物を入れられないのだ。Mozilla FireBirdなら問題ないのだが…

(追記) 2003-08-15 07:37

そうだ、しかもamazon.co.jpはログアウトがないのでセッション情報はcookieの有効期限の、「現在のセッションの最後」つまりはブラウザを終了するまで、ということになる。うーん。とりあえずどんどんブラウザを終了させよと？