autoua
×
Autoua.netФорумВирішення побутових проблем

Портмоне срочно ищет лохов. (3/3)

member ****
Киев
Сообщения: 110
С нами с 12.12.2007

Re: Теперь более-менее понятно... и удивительно (+) [Re: Sanya]
      17 декабря 2007 в 21:34 Гілками

В ответ на:

Кстати, позволю себе предложить элементарный (и поэтому гениальный ) вариант, при котором и верификации карт существующих клиентов не требуется, и украденной картой воспользоваться не удастся. Для этого достаточно лишь запретить анонимно расчитываться картой, которая уже добавлена в аккаунт существующего клиента: расчет такой картой позволить только после логина. Все удобно, все довольны.

Можно, конечно же, оставить вариант первичной верификации вновь заведенной карты (а не раз в квартал), чтобы исключить вариант "украл - завел новый аккаунт - добавил карту, потому что предыдущий владелец карты не был клиентом Портмоне" с последующим переходом на вышеупомянутый вариант без повторной верификации... это еще было бы терпимо.




К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов. Дело в том, что ФИО при регистрации никуда не передается и банками не проверяется. ФИО необходимо лишь для того, что бы поддержка знака как к Вам обратится. Но если в системе клиент зарегистрировался как Петренко, а это на самом деле Виктор Ющенко , то это его личное право.

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Теперь более-менее понятно... и удивительно (+) [Re: Змей.]
      18 декабря 2007 в 10:17 Гілками

В ответ на:

К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов.



Это не так. Регистрация - это в первую очередь логин и пароль. Если мошенники украли у меня карту, то они при этом не получают моего логина и пароля, а значит - не могут воспользоваться моей картой через Портмоне. Разве это не очевидно?

В ответ на:

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....



Ну с таким параноидальным подходом расчеты картой через интернет нужно вообще запрещать. Потому что фишеры точно так же могут получить и сумму авторизации, с которой пройдут верификацию

В итоге я так и не понял логики: зачем проходить верификацию раз в квартал? Почему тот же ПейПал считает достаточным проходить верификацию однократно? И, кстати, замечу, что ПейПал считает достаточным пройти верификацию только по одной карте: все остальные карты добавляются в аккаунт уже без верификации. Наверное, они наивно полагают, что смогут в случае необходимости достать до верифицированного пользователя через банк-эмитент


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
member ****
Киев
Сообщения: 110
С нами с 12.12.2007

Re: Теперь более-менее понятно... и удивительно (+) [Re: Sanya]
      18 декабря 2007 в 22:46 Гілками

В ответ на:

В ответ на:

К сожалению этот метод никак не защищает. Наличие регистрации ничего не означает. Это всего лиш удобный способ получения электронных счетов.



Это не так. Регистрация - это в первую очередь логин и пароль. Если мошенники украли у меня карту, то они при этом не получают моего логина и пароля, а значит - не могут воспользоваться моей картой через Портмоне. Разве это не очевидно?




Очевидно что мы друг друга не понимаем . Еще раз - наличие логина никак не защищает. Это раз. (Прямо как по Фандорину )Потенциально ворованной картой может быть любая - и в существующих логинах и в новых. Это два. Кроме того, оплата зачастую производится вообще без логина - посмотрите на сайты мобильных операторов. На их сайты встроен сервис платежей Портмоне без всякой регистрации.

В ответ на:


В ответ на:

Кроме того, фишеры по телефону у клиента получают все - ФИО, дату рождения, реквизиты карты, ....



Ну с таким параноидальным подходом расчеты картой через интернет нужно вообще запрещать. Потому что фишеры точно так же могут получить и сумму авторизации, с которой пройдут верификацию




Сумму автоизации получить при наличии этих данных не так просто. Дело в том, что для получения суммы фишеру необходим пароль/девичья фамилия матери. Психологически выудить эту информацию с атакованного клиента тяжело. Он начинает подозревать и такую инфу по телефону не выдают.
Кстати Вы обратили что сейчас суммы авторизации две? И ввести а качестве подтверждения необходимо меньшую? Значете почему? Потому что уже на следущий день эту проверку обошли по Приватовским картам. У Привата есть возможность позвонив на телефон поддержки ввести номер карты и дату рождения (эту информацию жертва выдает не моргнув) получить остаток на карте. Догадываетесь алгоритм? Они сначала засекаль остаток на карте до верификации а потом после. ВОт и сумма!
Теперь транзации две и получить сумму не так тривиально.

В ответ на:


В итоге я так и не понял логики: зачем проходить верификацию раз в квартал? Почему тот же ПейПал считает достаточным проходить верификацию однократно? И, кстати, замечу, что ПейПал считает достаточным пройти верификацию только по одной карте: все остальные карты добавляются в аккаунт уже без верификации. Наверное, они наивно полагают, что смогут в случае необходимости достать до верифицированного пользователя через банк-эмитент



Мы повторяемся - возможна атака на существующих клиентов - логин/пароль снимается трояном и добавляются левые карты.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (27 лет за рулем), Мюнхен
Сообщения: 18435
С нами с 23.08.2001

Re: Теперь более-менее понятно... и удивительно (+) [Re: Змей.]
      19 декабря 2007 в 12:03 Гілками

В ответ на:

Очевидно что мы друг друга не понимаем . Еще раз - наличие логина никак не защищает. Это раз. (Прямо как по Фандорину )Потенциально ворованной картой может быть любая - и в существующих логинах и в новых. Это два. Кроме того, оплата зачастую производится вообще без логина - посмотрите на сайты мобильных операторов. На их сайты встроен сервис платежей Портмоне без всякой регистрации.



Да, действительно Вы меня, похоже, не слушаете Потому что я ранее предлложил отказывать в авторизации карт без регистрации, если данная карта уже зарегистрирована в каком-то аккаунте. Также я ранее согласился с возможностью первичной (однократной) верификации тех карт, которые еще не были заведены в Портмоне ни на одном аккаунте (а если заведены - в повторной регистрации на другой аккаунт, а также авторизации анонимном или от имени другого аккаунта - отказать).

Это означает, что если моя карта зарегистрирована на моем аккаунте, и у меня ее выкрали, то воспользоваться ей никто без моего ведома не сможет (как минимум - через Портмоне).

В ответ на:

Сумму автоизации получить при наличии этих данных не так просто. Дело в том, что для получения суммы фишеру необходим пароль/девичья фамилия матери.



Если мы говорим о фишинге, то ему нужно всего лишь прислать фишинг-запрос "от имени портмоне", в котором будет предложено сообщить эту сумму. И наш наивный фишинг-герой, который уже таким же образом раздал коды своей карты, точно так же раздаст и сумму авторизации. Ведь Вы ведете речь не о звонке в банк, а о фишинге!

В ответ на:

Мы повторяемся - возможна атака на существующих клиентов - логин/пароль снимается трояном и добавляются левые карты.



Ох, как все запущено... Если Ваше предложение зайти к Вам в офис и подписать отказ от антифишинг-защиты моих карт остается в силе, то подскажите, пожалуйста, кого спросить, и в какое время приехать.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
member ****
Киев
Сообщения: 110
С нами с 12.12.2007

Re: Теперь более-менее понятно... и удивительно (+) [Re: Sanya]
      20 декабря 2007 в 10:35 Гілками

В ответ на:

Ох, как все запущено... Если Ваше предложение зайти к Вам в офис и подписать отказ от антифишинг-защиты моих карт остается в силе, то подскажите, пожалуйста, кого спросить, и в какое время приехать.




В любое. Спросить Игорь Горина. Там же и продолжим дискусиию
Единственная просьба - перезвонить заранее, хотябы за несколько часов, что бы я не ушел куда-то на встречу. Телефон на http://www.portmone.com.ua/v2/ru/contacts/


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Autoua.netФорумВирішення побутових проблем
Додаткова інформація
3 користувачів і 25 що побажали залишитися невідомими читають цей форум.

Модератор:  AlMat, doctor_b, moderator, Outdriver 

Роздрукувати всю тему

Права
      Ви не можете створювати нові теми
      Ви не можете відповідати на повідомлення
      HTML дозволений
      UBBCode дозволений

Рейтинг:
Переглядів теми: 5799

Оціните цю тему

Перейти в

Правила конференції | Календар | FAQ | Карта розділу | Мобільна версія