 |
|
16.10.2016, 09:46
|
|
Постоянный
Регистрация: 10.07.2011
Сообщений: 512
С нами:
7810876
Репутация:
0
|
|
|
|
|
16.10.2016, 12:18
|
|
Постоянный
Регистрация: 27.04.2014
Сообщений: 588
С нами:
6338687
Репутация:
0
|
|
ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами (supee-6788), а вот про уязвимости этой недели в мадженто1 ни слова (supee-8788)...
|
|
|
|
16.10.2016, 12:24
|
|
Познающий
Регистрация: 09.02.2010
Сообщений: 59
С нами:
8553466
Репутация:
0
|
|
Двухэтапная идентификация платежей рулит.
|
|
|
|
16.10.2016, 12:24
|
|
Постоянный
Регистрация: 10.07.2011
Сообщений: 512
С нами:
7810876
Репутация:
0
|
|
metsys написал(а):
ам/кг
статья высосана из.... пальца!
речь идет про старые уязвимости, давно закрытые патчами, а вот про уязвимости этой недели в мадженто1 ни слова...
Т.е. тот факт, что половина сайтов вообще никогда за время своего существования не обновляется, а уязвимости есть не только в движках магазинов, но и серверном ПО тебя не смущает?
domowoi написал(а):
Двухэтапная идентификация платежей рулит.
Как уже было сказано в комментах на опеннете - ничто не мешает взломавшему твой сайт, подменить форму оплаты на свою. И хоть ты 20-ти этапную идентификацию используй, она тебя не спасет.
|
|
|
|
16.10.2016, 12:57
|
|
Познающий
Регистрация: 09.02.2010
Сообщений: 59
С нами:
8553466
Репутация:
0
|
|
У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
|
|
|
|
16.10.2016, 13:03
|
|
Постоянный
Регистрация: 10.07.2011
Сообщений: 512
С нами:
7810876
Репутация:
0
|
|
domowoi написал(а):
У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
Ну про осуществление перехвата смс наверное говорить бесполезно...На том же хабре статьи с примерами перехвата. Полагаться на подтверждение по смс будет только идиот
|
|
|
|
16.10.2016, 13:08
|
|
Познающий
Регистрация: 09.02.2010
Сообщений: 59
С нами:
8553466
Репутация:
0
|
|
Пруф про перхват смс или не было.
|
|
|
|
16.10.2016, 13:23
|
|
Постоянный
Регистрация: 10.07.2011
Сообщений: 512
С нами:
7810876
Репутация:
0
|
|
|
|
|
|
16.10.2016, 13:52
|
|
Познающий
Регистрация: 09.02.2010
Сообщений: 59
С нами:
8553466
Репутация:
0
|
|
В форме оформления заказа и номер телефона есть как правило... даже если нет, то добавить это поле - никто не заподозрит.
Как дальше жить...
|
|
|
|
17.10.2016, 17:49
|
|
Новичок
Регистрация: 28.02.2008
Сообщений: 0
С нами:
9579890
Репутация:
0
|
|
Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.
Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения.
Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным...
Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже.
|
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
