А магазинчики-то дырявые...

ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами (supee-6788), а вот про уязвимости этой недели в мадженто1 ни слова (supee-8788)...
 
Последнее редактирование:
Двухэтапная идентификация платежей рулит.
 
ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами, а вот про уязвимости этой недели в мадженто1 ни слова...
Т.е. тот факт, что половина сайтов вообще никогда за время своего существования не обновляется, а уязвимости есть не только в движках магазинов, но и серверном ПО тебя не смущает? :conf:

Двухэтапная идентификация платежей рулит.
Как уже было сказано в комментах на опеннете - ничто не мешает взломавшему твой сайт, подменить форму оплаты на свою. И хоть ты 20-ти этапную идентификацию используй, она тебя не спасет. :oops:
 
Последнее редактирование модератором:
У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
 
У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
Ну про осуществление перехвата смс наверное говорить бесполезно...На том же хабре статьи с примерами перехвата. Полагаться на подтверждение по смс будет только идиот :dead::facepalm:
 
Пруф про перхват смс или не было.
 
:eek: В форме оформления заказа и номер телефона есть как правило... даже если нет, то добавить это поле - никто не заподозрит. :ass:
Как дальше жить...:facepalm:
 
Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.

Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения.

Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным...

Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже.
 
Назад
Сверху