Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от SHTORM1388
Непонятно другое: почему такая вроде бы как бы, солидная контора, такая как мыло сотрудничает со всякими "помойными" банками? Раньше при донате в лотре тоже приходила смс для подтверждения, не думаю, что стоит пренебрегать безопастностью пользователей, это до первого инциндента
Думаю, вы упрощаете и от "помойных" банков тут ничего не зависит.
Впрочем нужен специалист по эквайрингу.
__________________ Хоть нет у нас той силы, что играла
В былые дни и небом и землею,
Собой остались мы...
Отсутствие безопасности при оплате банковскими картами.
а еще у вас нет защищенного шифрованного соединения по протоколу https - а значит при желании можно запросто получить при оплате все данные по банковским картам, коими вполне можно воспользоваться, например CVC код чужой карты и номер самой карты
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от SHTORM1388
Непонятно другое: почему такая вроде бы как бы, солидная контора, такая как мыло сотрудничает со всякими "помойными" банками? Раньше при донате в лотре тоже приходила смс для подтверждения, не думаю, что стоит пренебрегать безопастностью пользователей, это до первого инциндента
Я там выше вам привел примеры "помойных" контор вроде Стима и ПлейМаркета.
Популярно объясню. Банки отказываются от дополнительных защит для того, чтобы большее количество желающих могло совершить платежи, не делая дополнительных телодвижений в виде запроса своего банка о разрешении подобных платежей.
И для справки, введенный вами CVV2/CVC2 код нигде не хранится. Более того, некоторые системы и с такой защитой не работают, а сразу списывают деньги, если речь идет об автоплатежах, потому что CVV2/CVC2 код пользователь должен вводить сам, подтверждая тем самым, что карта у него на руках.
Цитата:
Сообщение от Maximi4_28
а еще у вас нет защищенного шифрованного соединения по протоколу https - а значит при желании можно запросто получить при оплате все данные по банковским картам, коими вполне можно воспользоваться, например CVC код чужой карты и номер самой карты
Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.
Адрес: Вездесущий, в курсе всех грязных делишек на районе
Сообщений: 2,920
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от Uray4eg
Я там выше вам привел примеры "помойных" контор вроде Стима и ПлейМаркета.
Популярно объясню. Банки отказываются от дополнительных защит для того, чтобы большее количество желающих могло совершить платежи, не делая дополнительных телодвижений в виде запроса своего банка о разрешении подобных платежей.
И для справки, введенный вами CVV2/CVC2 код нигде не хранится. Более того, некоторые системы и с такой защитой не работают, а сразу списывают деньги, если речь идет об автоплатежах, потому что CVV2/CVC2 код пользователь должен вводить сам, подтверждая тем самым, что карта у него на руках.
Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.
В том то вся и пичалька, что хоть CVV2/CVC2 и не сохраняется, он постоянный, в отличии от смс-кода, который всегда генерируется новый.
А увести этот код, там где даже нет зашифрованного канала, и школоло сможет при большом желании.
Интересно конечно было бы услышать ответ мыловских специалистов
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от SHTORM1388
В том то вся и пичалька, что хоть CVV2/CVC2 и не сохраняется, он постоянный, в отличии от смс-кода, который всегда генерируется новый.
А увести этот код, там где даже нет зашифрованного канала, и школоло сможет при большом желании.
Интересно конечно было бы услышать ответ мыловских специалистов
1 - вам жить не страшно?
2 - где нет зашифрованного канала?
3 - вообще говоря - это вопрос к специалистам Террабанка имхо.
Впрочем, у нас разговор слепого с глухим. Я там ваше личные рекомендации по интернет-платежам написал - этого более чем достаточно.
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от Uray4eg
Есть, как оказалось, есть. Этот вопрос задавался уже года полтора назад, когда форма оплаты появилась на сайте ЛОТРО и там все данные по https передавались. Впрочем, вам никто не запрещает провести оплату непосредственно с сайта Террабанка.
нету, при выборе оплаты картой - я уже должен оказаться на шифрованном соединении, потому что ввожу свои данные карты
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от Maximi4_28
нету, при выборе оплаты картой - я уже должен оказаться на шифрованном соединении, потому что ввожу свои данные карты
Почти цитирую:
При выборе оплаты картой вы вводите данные через модуль, предоставленный Террабанком, соединение там идет по https.
Впрочем, я совершено согласен, что это не явный факт и вы можете сделать туже самую операцию непосредственно через сайт Террабанка [Ссылки могут видеть только зарегистрированные пользователи. ]
вот туда "выкидывает" при оплате по карте.
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от Uray4eg
Почти цитирую:
При выборе оплаты картой вы вводите данные через модуль, предоставленный Террабанком, соединение там идет по https.
Впрочем, я совершено согласен, что это не явный факт и вы можете сделать туже самую операцию непосредственно через сайт Террабанка [Ссылки могут видеть только зарегистрированные пользователи. ]
вот туда "выкидывает" при оплате по карте.
скриншот ввода данных карты, все данные соединения показаны слева в окошке
Отсутствие безопасности при оплате банковскими картами.
Цитата:
Сообщение от Uray4eg
Ну вот этот вопрос и надо задавать руководителю проекта, а не ерунду про отсутствие запроса CVC2 кода.
Ок, обращу внимание.
вообще отмена системы подтверждения оплаты по SMS - это как минимум рискованно, по сути: я ввожу данные своей карты, после код CVC, мне должно придти подтверждение по SMS (да или нет), если этот шаг упущен, для мошенников достаточно информации я думаю, ситуацию не нагнетаю, но известны случаи когда при известности лишь только CVC кода карты совершались незаконные списания средств, многое зависит еще и от самой карты несомненно