1nadan - varnost plačevanja s kreditno

S

sad

Guru

24. avg 2007

21.192

9.829

113

• 6. nov 2013

• #1

Hočem kupit en kupon, izberem kreditna kartica, me vrže na naslednjo stran, kjer bi moral vpisati noter komplet podatke kreditne kartice. Pri plačevanju s kreditno vedno preverim, da je šifrirana povezava, blabla. Pogledam v vrstico zgoraj in namesto https je zgolj http. Potem seveda nisem šel v nakup.
A so normalni ali namensko hočejo, da pride do zlorab kartic?

 

P

philips

Guru

Osebje foruma

Administrator

17. avg 2007

9.878

698

113

• 6. nov 2013

• #2

Probaj za foro vpisati neke neveljavne podatke in submitati formo. Lahko da te bo vrglo na kakšen zunanji card processor (recimo Paymill), kjer pa povezava je šifrirana. Če ja, potem to več ni varnostno sporno. Če pa ne, pa rajši plačaj preko položnice/monete

 

S

sad

Guru

24. avg 2007

21.192

9.829

113

• 6. nov 2013

• #3

Mnjah, samo ti vse podatke vpišeš (št. kartice, CVV koda, veljavnost) že v to nešifrirano formo, tako da dejstvo, da je zadeva potem naprej šifrirana ne spremeni ravno dosti.

 

P

philips

Guru

Osebje foruma

Administrator

17. avg 2007

9.878

698

113

• 6. nov 2013

• #4

Citat:
Uporabnik sad pravi:
Mnjah, samo ti vse podatke vpišeš (št. kartice, CVV koda, veljavnost) že v to nešifrirano formo, tako da dejstvo, da je zadeva potem naprej šifrirana ne spremeni ravno dosti.

Klikni za razširitev

To sploh nima nobene veze. Dokler forme ne submitaš, se podatki ne pošljejo nikamor. In če se forma submita na HTTPS stran, potem je varno.
Je pa res, da zgleda sumljivo in da se je mogoče boljše tega izogniti

 

S

SouthPark

Jas da nea vem?! Ka te je...

5. sep 2007

24.570

5

38

Klobukarjev dol

• 6. nov 2013

• #5

Mene pri NKBM vrže naprej na njihovo stran in moram tudi z Digipassom potrdit PIN.

 

Roberto

Majstr

19. jul 2007

12.057

154

63

Doma

• 6. nov 2013

• #6

Meni isto na karticah ki so NLBjeve.

 

D

doto

Fizikalc

25. jul 2007

3.175

0

36

• 6. nov 2013

• #7

Citat:
Uporabnik philips pravi:
In če se forma submita na HTTPS stran, potem je varno.

Klikni za razširitev

Nope, sumita se na http:

 

Priponke

• 
  1888339-Screenshot_110613_101847_AM.jpg

  56,7 KB · Ogledi: 161

S

sad

Guru

24. avg 2007

21.192

9.829

113

• 6. nov 2013

• #8

Džizs, človek misli, da je že vse doživel in potem od neke ''resne'' strani doživi tole. Dobro, da vsakič preverim zadeve pred plačilom, kljub temu, da imam za take zadeve predplačniško kreditno.

 

1

1nadanIT

Zelenc'

6. nov 2013

2

0

1

• 6. nov 2013

• #9

Pozdrav vsem,
vidim, da je nastala zmeda zaradi napačnega mišljenja, da povezava ni varna (SSL). Povezava je de facto varna, zavarovana z SSL in prav noben podatek, ki ga vpišete ne potuje po spletu nezaščiten. Zmeda je nastala le zaradi tega, ker smo varno stran preoblekli v svojo podobo. Gre tehnično za stran v strani - angleško IFRAME. Tisti bolj tehnični boste vedeli za kaj gre. Poskušal bom pojasniti. Vse kar vpisujete v formo sploh ne gre na 1nadan strežnik, ampak gre naravnost na strežnik našega kartičnega vmesnika EON Megapos. Da je to res tako, lahko preverite sami. Odprite izvorno kodo strani in poglejte, kam se pošiljajo vaši vpisani podatki. Našli boste takšno povezavo na strežnik enega največjih ponudnikov spletnega plačevanje v Sloveniji EON Megaposa: https://www.megapos.si/sessionInitializer/medialab/e7f537ea-e2b5-4fe6-af3e-a90166b8sa68, ki je kot vidite zavarovana s certifikatom (SSL). Podatki o vaši kartici v nobenem trenutku niti ne pridejo v stik z 1nadan strežnikom, ampak se preko EON Megaposa-a posredujejo bančnemu servisu. Njihova stran pa je izključno zaradi "praznega" izgleda vmesnika oblečena v našo stran. V treh letih delovanja 1nadan in po več kot milijon transakcijah lahko mirno zatrdimo, da je plačevanje na naši strani varno.

Andrej,
1nadan.si

 

Nazadnje urejeno: 6. nov 2013

S

sad

Guru

24. avg 2007

21.192

9.829

113

• 6. nov 2013

• #10

Zakaj pa ne preoblečete v https stran? Namreč običajen neIT uporabnik tega nikakor ne more vedet in je za njega potem to znak za alarm oz. za popolnoma neskrbno poslovanje z vaše strani.
Sicer pa pohvale za odziv.

 

D

darjan

Vulkanizer

13. sep 2007

53.252

7.048

113

• 6. nov 2013

• #11

Običajen neIT uporabnik tudi ne loči med HTTP in HTTPS povezavo, tako da se s tem sploh ne obremenjuje. Tudi ne ve, kaj je SSL povezava in kako preveriti, če je zadeva zaščitena ali ne. Zato pa prihaja do toliko zlorab.

Dvomim, da bi resna firma, kot je 1nadan.si imela dolgo nezaščiteno povezavo pri procesiranju plačil, če ne drugo, je to v nasprotju s zakoni, tako da je tvoj skrb odveč

Za tiste najbolj paranoične, pa vedno obstajajo virtualne kartice, katerih številka in "PIN" se generirata naključno in za vsako plačilo sta drugačne, ko pa se plačilo izvede, pa ta številka ni več veljavna, tako da straha za zlorabo ni. Pa še znesek, kateri je na voljo za plačilo, se lahko vnaprej določi

 

P

philips

Guru

Osebje foruma

Administrator

17. avg 2007

9.878

698

113

• 6. nov 2013

• #12

Citat:
Uporabnik sad pravi:
Zakaj pa ne preoblečete v https stran? Namreč običajen neIT uporabnik tega nikakor ne more vedet in je za njega potem to znak za alarm oz. za popolnoma neskrbno poslovanje z vaše strani.
Sicer pa pohvale za odziv.

Klikni za razširitev

Ker so to dodatni in nepotrebni stroški, sploh za tako stran.
Pač plačilo gre preko nekega drugega card processorja preko varne povezave in je problem rešen.

 

tdi

Fizikalc

7. dec 2011

1.693

11

38

• 6. nov 2013

• #13

Kar dosti koristim 1nadan, pa še nisem imel problemov, res pa je, da se nisem preveč obremenjeval z HTTPS. Mogoče bom bolj pozoren pri drugih ponudnikih?

 

Nazadnje urejeno: 6. nov 2013

1

1nadanIT

Zelenc'

6. nov 2013

2

0

1

• 6. nov 2013

• #14

@sad, večina ljudi je, kot je povedal Darijan, premalo tehničnih, da bi jih zanimali tovrstni detajli in jim je bolj važna podoba strani in pa vsebina ponudbe, ki jo za kupon dobijo. Če pa koga zanima, lahko vedno poškili v izvorno kodo strani in se prepriča, da se vsi podatki pošljejo preko zaščitene povezave. Je pa takih, ki so na to pozorni premalo in se mi zdi samo pozitivno, da ste nekateri dovolj pazljivi, da se tem stvarem posvetite in vsaj vprašate.

Andrej,
1nadan.si

 

Nazadnje urejeno: 6. nov 2013

S

SJTV1

eV12

18. jul 2007

19.378

1.241

113

www.adriamedia.si

• 7. nov 2013

• #15

Citat:
Uporabnik 1nadanIT pravi:
@sad, večina ljudi je, kot je povedal Darijan, premalo tehničnih, da bi jih zanimali tovrstni detajli in jim je bolj važna podoba strani in pa vsebina ponudbe, ki jo za kupon dobijo. Če pa koga zanima, lahko vedno poškili v izvorno kodo strani in se prepriča, da se vsi podatki pošljejo preko zaščitene povezave. Je pa takih, ki so na to pozorni premalo in se mi zdi samo pozitivno, da ste nekateri dovolj pazljivi, da se tem stvarem posvetite in vsaj vprašate.

Andrej,
1nadan.si

Klikni za razširitev

Tule se motite. Ena od redkih stvari, ki jih ljudje, ki so se navadili s karticami plačevat na spletu vedno bolj vedo, je da da mora biti povezava varna (SSL). Večina jih sicer gleda razne ključavnice ipd, ampak pri vas se pač nikjer ne vidi, da gre za varno povezavo in za večino IT neizobraženih, a varnostno ozaveščenih uporabnikov je to game over. In prav je tako.

 

erikson

Guru

25. avg 2007

22.695

6.467

113

• 7. nov 2013

• #16

Citat:
Uporabnik 1nadanIT pravi:
@sad, večina ljudi je, kot je povedal Darijan, premalo tehničnih, da bi jih zanimali tovrstni detajli in jim je bolj važna podoba strani in pa vsebina ponudbe, ki jo za kupon dobijo. Če pa koga zanima, lahko vedno poškili v izvorno kodo strani in se prepriča, da se vsi podatki pošljejo preko zaščitene povezave. Je pa takih, ki so na to pozorni premalo in se mi zdi samo pozitivno, da ste nekateri dovolj pazljivi, da se tem stvarem posvetite in vsaj vprašate.

Klikni za razširitev

Uporabniki naj škilijo v izvorno kodo?

Če v naslovni vrstici ni https, se podatkov o kreditnih karticah ne vpisuje. Pika.

IFRAME gor ali dol - poskrbite, da bo tudi IFRAME na https naslovu.

 

P

philips

Guru

Osebje foruma

Administrator

17. avg 2007

9.878

698

113

• 7. nov 2013

• #17

Citat:
Uporabnik erikson pravi:
IFRAME gor ali dol - poskrbite, da bo tudi IFRAME na https naslovu.

Klikni za razširitev

Najbolj ne poznaš tematike? Fora je ravno v tem, da stran ni HTTPS, medtem ko iframe je. In vsi podatki se vnašajo v iframe. Torej je varno, ampak tega direktno ne vidiš. Je pa to slaba praksa.

 

S

SJTV1

eV12

18. jul 2007

19.378

1.241

113

www.adriamedia.si

• 8. nov 2013

• #18

Saj to, da je to slaba praksa in da si tega resna spletna stran (že zaradi sebe) tega ne bi smel privoščit, tudi trdimo (no ja, večina).

 

S

sad

Guru

24. avg 2007

21.192

9.829

113

• 9. nov 2013

• #19

Se strinjam. Sam osebno sicer uporabljam večinoma Paypal (tudi nekatere kupon slo strani ga že sprejemajo in je to zame vsekakor prednost). Za nakupe na ostalih straneh (zelo redko) imam predplačniško kreditno, ki pa je vsekakor ne bom vnašal na http naslov. Pa čeprav sedaj vem, da je 100% varen.
Predlog:
- uštimajte https
- uvedite Paypal (sam bi preferiral to)

Seveda je pa na vas, da preračunate ali se vložek v to povrne s pridobljenimi/neizgubljenimi strankami.

 

erikson

Guru

25. avg 2007

22.695

6.467

113

• 9. nov 2013

• #20

Strežnik podpira https in certifikat imajo, tako da je vložek samo v malo programiranja / spreminjanja naslovov.

Common name: *.1nadan.si
SANs: *.1nadan.si, 1nadan.si
Valid from October 27, 2013 to October 28, 2014
Serial Number: f316f29c3f7779cfe0dfa3c297b643bb
Signature Algorithm: sha1WithRSAEncryption
Issuer: EssentialSSL CA