Робокасса выбрала своим девизом «Без перерыва и прочих неожиданностей», неожиданности иногда всё таки случаются, но это проблемы пользователей…
На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.
Процесс оплаты для пользователя состоит из двух основных этапов: выбор способа платежа (нас интересует «Оплата со счета в платежной системе ROBOX (по банковской карте)»), где есть галочка «запоминать введённую информацию», но которая почему-то не выполняет свои функции:
На втором этапе предлагается ввести реквизиты банковской карты. В случае первого платежа эти поля пусты, но вот в случае повторного платежа данные легко получить из результатов прошлого заполнения просто щёлкнув по пустому полю:
Реквизитами банковской карты можно легко воспользоваться имея доступ к компьютеру или их может утащить программа-вирус. Не хватает только одного параметра: срока действия карты, но т.к. карты обычно выпускают сроком на пару лет, то думаю перебрать пару десятков вариантов не представляется особой проблемой.
Служба поддержки Робокассы была уведомлена о проблеме, но считает что это проблема клиента. Вот их лаконичный ответ:
«Поменяйте уровень безопасности в вашем браузере.»
А решается то проблема очень просто: autocomplete=«off» в html-коде для полей с реквизитами банковской карты.
Жаль, что каждый из сотен тысяч пользователей должен менять настройки безопасности своего браузера, а не программист платёжной системы один раз ради безопасности всех.
На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.
Процесс оплаты для пользователя состоит из двух основных этапов: выбор способа платежа (нас интересует «Оплата со счета в платежной системе ROBOX (по банковской карте)»), где есть галочка «запоминать введённую информацию», но которая почему-то не выполняет свои функции:
На втором этапе предлагается ввести реквизиты банковской карты. В случае первого платежа эти поля пусты, но вот в случае повторного платежа данные легко получить из результатов прошлого заполнения просто щёлкнув по пустому полю:
Реквизитами банковской карты можно легко воспользоваться имея доступ к компьютеру или их может утащить программа-вирус. Не хватает только одного параметра: срока действия карты, но т.к. карты обычно выпускают сроком на пару лет, то думаю перебрать пару десятков вариантов не представляется особой проблемой.
Служба поддержки Робокассы была уведомлена о проблеме, но считает что это проблема клиента. Вот их лаконичный ответ:
«Поменяйте уровень безопасности в вашем браузере.»
А решается то проблема очень просто: autocomplete=«off» в html-коде для полей с реквизитами банковской карты.
Жаль, что каждый из сотен тысяч пользователей должен менять настройки безопасности своего браузера, а не программист платёжной системы один раз ради безопасности всех.
