Отсутствие безопасности при оплате банковскими картами.

[Aonell]

Цитата:

Сообщение от SHTORM1388

Непонятно другое: почему такая вроде бы как бы, солидная контора, такая как мыло сотрудничает со всякими "помойными" банками? Раньше при донате в лотре тоже приходила смс для подтверждения, не думаю, что стоит пренебрегать безопастностью пользователей, это до первого инциндента

Думаю, вы упрощаете и от "помойных" банков тут ничего не зависит.
Впрочем нужен специалист по эквайрингу.

[Maximi4_28]

а еще у вас нет защищенного шифрованного соединения по протоколу https - а значит при желании можно запросто получить при оплате все данные по банковским картам, коими вполне можно воспользоваться, например CVC код чужой карты и номер самой карты

[Uray4eg]

Цитата:

Сообщение от SHTORM1388

Непонятно другое: почему такая вроде бы как бы, солидная контора, такая как мыло сотрудничает со всякими "помойными" банками? Раньше при донате в лотре тоже приходила смс для подтверждения, не думаю, что стоит пренебрегать безопастностью пользователей, это до первого инциндента

Я там выше вам привел примеры "помойных" контор вроде Стима и ПлейМаркета.
Популярно объясню. Банки отказываются от дополнительных защит для того, чтобы большее количество желающих могло совершить платежи, не делая дополнительных телодвижений в виде запроса своего банка о разрешении подобных платежей.

И для справки, введенный вами CVV2/CVC2 код нигде не хранится. Более того, некоторые системы и с такой защитой не работают, а сразу списывают деньги, если речь идет об автоплатежах, потому что CVV2/CVC2 код пользователь должен вводить сам, подтверждая тем самым, что карта у него на руках.

Цитата:

Сообщение от Maximi4_28

а еще у вас нет защищенного шифрованного соединения по протоколу https - а значит при желании можно запросто получить при оплате все данные по банковским картам, коими вполне можно воспользоваться, например CVC код чужой карты и номер самой карты

Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.

[SHTORM1388]

Цитата:

Сообщение от Uray4eg

Я там выше вам привел примеры "помойных" контор вроде Стима и ПлейМаркета.
Популярно объясню. Банки отказываются от дополнительных защит для того, чтобы большее количество желающих могло совершить платежи, не делая дополнительных телодвижений в виде запроса своего банка о разрешении подобных платежей.

И для справки, введенный вами CVV2/CVC2 код нигде не хранится. Более того, некоторые системы и с такой защитой не работают, а сразу списывают деньги, если речь идет об автоплатежах, потому что CVV2/CVC2 код пользователь должен вводить сам, подтверждая тем самым, что карта у него на руках.

Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.

В том то вся и пичалька, что хоть CVV2/CVC2 и не сохраняется, он постоянный, в отличии от смс-кода, который всегда генерируется новый.
А увести этот код, там где даже нет зашифрованного канала, и школоло сможет при большом желании.

Интересно конечно было бы услышать ответ мыловских специалистов

[Uray4eg]

Цитата:

Сообщение от SHTORM1388

В том то вся и пичалька, что хоть CVV2/CVC2 и не сохраняется, он постоянный, в отличии от смс-кода, который всегда генерируется новый.
А увести этот код, там где даже нет зашифрованного канала, и школоло сможет при большом желании.

Интересно конечно было бы услышать ответ мыловских специалистов

1 - вам жить не страшно?
2 - где нет зашифрованного канала?
3 - вообще говоря - это вопрос к специалистам Террабанка имхо.

Впрочем, у нас разговор слепого с глухим. Я там ваше личные рекомендации по интернет-платежам написал - этого более чем достаточно.

[Maximi4_28]

Цитата:

Сообщение от Uray4eg

Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.

нету, при выборе оплаты картой - я уже должен оказаться на шифрованном соединении, потому что ввожу свои данные карты

[Uray4eg]

Цитата:

Сообщение от Maximi4_28

нету, при выборе оплаты картой - я уже должен оказаться на шифрованном соединении, потому что ввожу свои данные карты

Почти цитирую:
При выборе оплаты картой вы вводите данные через модуль, предоставленный Террабанком, соединение там идет по https.

Впрочем, я совершено согласен, что это не явный факт и вы можете сделать туже самую операцию непосредственно через сайт Террабанка
[Ссылки могут видеть только зарегистрированные пользователи. ]
вот туда "выкидывает" при оплате по карте.

[Maximi4_28]

Цитата:

Сообщение от Uray4eg

Почти цитирую:
При выборе оплаты картой вы вводите данные через модуль, предоставленный Террабанком, соединение там идет по https.

Впрочем, я совершено согласен, что это не явный факт и вы можете сделать туже самую операцию непосредственно через сайт Террабанка
[Ссылки могут видеть только зарегистрированные пользователи. ]
вот туда "выкидывает" при оплате по карте.

скриншот ввода данных карты, все данные соединения показаны слева в окошке

[Uray4eg]

Цитата:

Сообщение от Maximi4_28

скриншот ввода данных карты, все данные соединения показаны слева в окошке

Ну вот этот вопрос и надо задавать руководителю проекта, а не ерунду про отсутствие запроса CVC2 кода.
Ок, обращу внимание.

[Maximi4_28]

Цитата:

Сообщение от Uray4eg

Ну вот этот вопрос и надо задавать руководителю проекта, а не ерунду про отсутствие запроса CVC2 кода.
Ок, обращу внимание.

вообще отмена системы подтверждения оплаты по SMS - это как минимум рискованно, по сути: я ввожу данные своей карты, после код CVC, мне должно придти подтверждение по SMS (да или нет), если этот шаг упущен, для мошенников достаточно информации я думаю, ситуацию не нагнетаю, но известны случаи когда при известности лишь только CVC кода карты совершались незаконные списания средств, многое зависит еще и от самой карты несомненно