Comments 13
Возможно, что я вас неправильно понял, но если бы мне на стороннем от сайта банка или paypal сайте открылось окошко для подтверждения оплаты, то я б сразу убежал. Причиной стала бы паранойя фишинга. Если фрейм выглядит, как на картинке, то без открытия панели разработчика я не знал бы, на каком сайте находжсь во фрейме. Мне кажется, что стоит хотя бы писать, что произойдет не редирект, а открытие отдельного фрейма.
А если исключить параноиков идея и внешний вид классные.
А если исключить параноиков идея и внешний вид классные.
Я бы никогда не стал использовать такой метод оплаты. А банкам бы посоветовал запретить 3-D secure в iframe
А кто мне может объяснить как пользователю возможные схемы фишинга? Банк отправил мне сообщение с суммой, контрагентом и паролем. Я точно знаю, что это банк, я эту смс ждал. Пароль в смс одноразовый, он от операции, которую я инициировал. Как подобным образом меня могут обмануть? Какая мне разница во фрейме или на отдельной странице открылась форма 3-DS? Если я уже ввел на сайте данные своей карты, то может быть я уже доверился сервису и он не кажется мне подозрительным? Почему бы мне им тогда уже и какой-то жалкий одноразовый пароль не сдать?
Это вы исходите из того, что пароль одноразовый, а это далеко не всегда так.
В 3-D Secure пароль далеко не всегда одноразовый? Что, правда? Зачем тогда мне его присылают каждый раз?
Это зависит от конкретного банка. У ВТБ24 пароль для 3D Secure и аналога от мастеркарда постоянный.
А у меня вот у настоящего MasterCard от ВТБ24 по умолчанию вообще нет никакого 3-D Secure. И лимит на каждую операцию по этой причине до 15 тысяч рублей. И я не верю, что если я подключу 3-D Secure, то мне в офисе банка скажут: «Спасибо, Леонид, вот ваш перманентный секретный пароль, платите через интернет на всю глубину вашего депозита». У них до сих пор логин в интернет-банк по одноразовым паролям со скретч-карты.
«И я не верю, что если я подключу 3-D Secure, то мне в офисе банка скажут: «Спасибо, Леонид, вот ваш перманентный секретный пароль, платите через интернет на всю глубину вашего депозита»»
Не хотите — не верьте. А для меня это суровая реальность по уже четвертой по счету карте ВТБ24.
" У них до сих пор логин в интернет-банк по одноразовым паролям со скретч-карты."
Что, правда? То-то я логинюсь в интернет-банк по кодам из смс.
www.telebank.ru/content/telebank-client/ru/help/security/topic63.html
Не хотите — не верьте. А для меня это суровая реальность по уже четвертой по счету карте ВТБ24.
" У них до сих пор логин в интернет-банк по одноразовым паролям со скретч-карты."
Что, правда? То-то я логинюсь в интернет-банк по кодам из смс.
www.telebank.ru/content/telebank-client/ru/help/security/topic63.html
Да, пожалуй, вы правы насчет перманентного пароля — www.vtb24.ru/personal/cards/3dsecure/Pages/default.aspx
Но это значит лишь то, что банк ВТБ24 как банк — полное говно.
А насчет скретч-карт… У меня этих кодов еще 150, года на 3 хватит, я думаю. Поэтому я никуда с паспортом, мобильным телефоном и заявлением ехать не собираюсь. Чтобы подключить вход по смс в никудышный интернет-банк с номером, на который и так уже приходят уведомления от банка.
Но это значит лишь то, что банк ВТБ24 как банк — полное говно.
А насчет скретч-карт… У меня этих кодов еще 150, года на 3 хватит, я думаю. Поэтому я никуда с паспортом, мобильным телефоном и заявлением ехать не собираюсь. Чтобы подключить вход по смс в никудышный интернет-банк с номером, на который и так уже приходят уведомления от банка.
Вот что Visa пишет по этому поводу в своем implementation guide
usa.visa.com/download/merchants/verified-by-visa-acquirer-merchant-implementation-guide.pdf
Раздел 7.4 на странице 47
usa.visa.com/download/merchants/verified-by-visa-acquirer-merchant-implementation-guide.pdf
Раздел 7.4 на странице 47
Sign up to leave a comment.
Биллинг в SaaS-приложениях на Ruby on Rails. Продолжение про 3-D Secure