Сабж. Кто-то в курсе, кто-то нет, но прочитать стоит.
https://www.opennet.ru/opennews/art.shtml?num=45325 (https://href.li/?https://www.opennet.ru/opennews/art.shtml?num=45325)

ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами (supee-6788), а вот про уязвимости этой недели в мадженто1 ни слова (supee-8788)...

Двухэтапная идентификация платежей рулит.

metsys написал(а):

ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами, а вот про уязвимости этой недели в мадженто1 ни слова...


Т.е. тот факт, что половина сайтов вообще никогда за время своего существования не обновляется, а уязвимости есть не только в движках магазинов, но и серверном ПО тебя не смущает?



domowoi написал(а):

Двухэтапная идентификация платежей рулит.


Как уже было сказано в комментах на опеннете - ничто не мешает взломавшему твой сайт, подменить форму оплаты на свою. И хоть ты 20-ти этапную идентификацию используй, она тебя не спасет.

У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.

domowoi написал(а):

У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.


Ну про осуществление перехвата смс наверное говорить бесполезно...На том же хабре статьи с примерами перехвата. Полагаться на подтверждение по смс будет только идиот

Пруф про перхват смс или не было.

domowoi написал(а):

Пруф про перхват смс или не было.


Ня
https://habrahabr.ru/company/pt/blog/283052/ (https://href.li/?https://habrahabr.ru/company/pt/blog/283052/)
https://habrahabr.ru/post/214829/ (https://href.li/?https://habrahabr.ru/post/214829/)
https://habrahabr.ru/company/pt/blog/307156/ (https://href.li/?https://habrahabr.ru/company/pt/blog/307156/)

В форме оформления заказа и номер телефона есть как правило... даже если нет, то добавить это поле - никто не заподозрит.
Как дальше жить...

Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.

Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения.

Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным...

Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже.

Альфа Банк, для примера отказался от смс уведомлений и использует USSD
Даже если изменилась сим-карта без смены номера требуется переподключение.

Как по мне, так от такой "безопасности" одни проблемы. Теперь каждый раз при замене симки самому себе доп. квест устраивать?

Хотел написать в качестве коммента все го одно слово на букву п***** но подумал модеры бы не одобрили
Вспомнил, что много лет назад видел у своего приятеля непонятный брелок, в котором каждые 30 сек. менялись циферки. И когда приятель хотел проверить почту через лотус-нотус, то для коннекта к серваку вводил эти циферки с брелка. Походу скоры мы все с такими брелками будем ходить.