Comments 21
И оно всё ещё хуже, чем paypal. Почему? Потому что ни одна транзакция в paypal не может произойти без моего согласия. Все подписки (периодические платежи) у меня в списке и я могу отменить любую из них в любой момент времени.

Ключевое: мерчант не может списать у меня денег без моего согласия (за вычетом арбитража). Просто не может.

Visa & Mastercard позволяют кому-то меня взять и чарджнуть. А пейпал не позволяет. И в этом и находится главный секрет неудобств обычных банковских карт. Почему? Потому что если я заказываю что-то за $100, то я могу не обратить внимания на мелкий шрифт о том, что там сверху VAT, потом ещё delivery fee и ещё через две недели прилетит штраф за сожраную (не мной) шоколадку из минибара.

А у paypal всё просто: на что согласился, столько и списали. Без всяких fallback'ов для amazon, который вообще просто по номеру карты чарджить умеет.
В целом с вами согласен.
Единственное — пейпал это ещё одно звено которое тоже нифига не простое.
Мой например начал без запроса одобрять покупки в стиме. Не знаю почему, ни разу не ставил нигде галочки.
Разбираться впрочем лень, в стиме 2FA неплохая =)
Steam-овская 2FA это очередное изобретение велосипеда. Вместо того чтобы просто взять проверенный OTP на базе HMAC-SHA256. В итоге мне приходится держать не одну аппликацию а-ля andOTP, а ставить ещё их бесполезную, просто чтобы не быть ограниченным в функционале.

Яндекс со своим Яндекс.Ключом туда же. Хотя бы U2F/FIDO2 добавьте, черти.
все таки МПСы покрывают гораздо больший спектр бизнеса чем палка, поэтому и условия и возможности проведения операции разные.
Например
  • аренда авто, где бизнес требует возможность списания штрафов после того как ты покатался,
  • или аренда гостиниц, где через пару дней после твоего отъезда может найтись сломанный пульт от телика,
  • тот же наземный транспорт, в который тебя пустят даже если нет денег, но попытаются получить свои деньги за оказанную услугу в будущем.


И в плане безопасности палка ни раз себя компрометировала, не стоит об этом забывать.
Именно это мне и не нравится в визе — возможность бизнесу что-то там безакцептно списать, а мне потом доказывать, что это был не я и т.д. Модель пейпала больше похожа на кеш — если даёшь, то даёшь, а силком никто взять не может, ибо УК.
тебе как клиенту — да, но торговые точки тоже «клиенты» и тоже хотят защиты, и платежные системы стараются соблюдать баланс между ними
Носить только неудобно, и принимается не везде (впрочем последнее относится и к картам)
Очень зависит от типа платежа. Да, отдавать €8000 50-евровыми бумажками довольно уныло. Однако, весьма надёжно. Никакого refused, no connection и других превратностей. А главное, потом в догонку никто ничего не чарджнет.
Refused — легко. Даже если принимают наличку, часто висят надписи «Не принимаем купюры в 500, 200, 100 евро». А могут просто не принимать наличку.
касательно кредиток это не так — очень удобно все таки пользоваться бесплатными заемными средствами (соблюдая грейс).
касательно интернет покупок (виртуальные товары) это не так — гораздо больше охват визы/мастера нежели палки.
касательно покупок в магазинах это не так — не надо ждать и мучаться со сдачей, париться что кеша с собой не хватит.
касательно аренды авто за границей — в большинстве мест уже даже тачку на прокат не дадут без кредитки.
Не согласен с вами — ведь всеми этими услугами можно пользоваться и не имея счёта в банке, расплачиваясь только наличкой.
Visa & Mastercard позволяют кому-то меня взять и чарджнуть.
Нет, это справедливо только для кредитных карт. У меня давным-давно была дебетовая VISA Electron, которая позволяла оплатить покупки в интернете только через 3D Secure. Если 3D Secure не поддерживался — гудбай.
ещё через две недели прилетит штраф за сожраную (не мной) шоколадку из минибара.
Счёт может прилететь и в бумажном виде. И какая тогда разница — отказаться оплачивать карточный счёт из банка или счёт из гостиницы?
А у paypal всё просто
Ага, особенно просто отключать сраную конверсию валют.
Счёт можно оспорить или даже проигнорировать. В этом её отличие от карты, где клиент должен доказывать, что он не осёл (а денежки его уже где-то там).

Visa electron работает на paypal'е? Чтобы сделать CNP, вовсе не надо интернета, у меня страховщик по телефону может номер карты принять для продления. И чарджнуть. И его интересует только номер и дата.
Счёт можно оспорить или даже проигнорировать. В этом её отличие от карты, где клиент должен доказывать, что он не осёл (а денежки его уже где-то там).
С кредиткой процедура, обычно, такая: за месяц по кредитной карточке накапливается баланс, который складывается из многих вещей, в том числе и из непонятных счетов. Банк просит вас оплатить или оспорить этот счёт. Деньги ещё никуда не ушли. Если вы считаете, что банк не может вас взять за гениталии (ну, к примеру, у вас нет других счетов в банке) — пожалуйста, игнорируйте. Но, с этой точки зрения, вам вообще всё равно, какой счет игнорировать: выставленный банком или выставленный отелем. Карточка — это просто буфер или посредник между вами и продавцами.

Насчёт вашего страховщика: я вам не верю. Т.е. я вам верю, если вы уточните, что речь идёт о страховщике из США, который по телефону может выставить счет имея только номер карточки, выданной банком в США. Но в этой стране финансовые институты в принципе застряли в прошлом веке. Я там один раз по чистой невнимательности оплатил покупку отозванной картой. Был и абуз со стороны продавцов, да. Но я оспаривал и деньги никуда не уходили. Более того, особо одиозные транзакции типа снятие наличных на заправке где-то в Оклахоме банк сам блокировал. Т.е. все инструменты есть, вопрос только в том, хочет ли их использовать банк.
Это какие-то странные счета, я про такое не слышал.

А насчёт страховщика зря не верите. Кипр, cosmos insurance (http://www.cosmosinsurance.com.cy/).

А что такого странного в оплате без карты? CNP и CNP. Страховщикам-то всё просто — оспорили операцию? Да не вопрос, вернули деньги, отменили страховку.
я могу не обратить внимания на мелкий шрифт о том, что там сверху VAT, потом ещё delivery fee и ещё через две недели прилетит штраф за сожраную (не мной) шоколадку из минибара

1) Вы когда код для подтверждения вводите, там написана сумма, которую этот код подтверждает. Случаи со статичными ключами мы вообще не рассматриваем, это обычный идиотизм банков, но даже так многие выводят всю сумму на странице, где мы вводим код.
2) А как и с кого отелю потом стрясти деньги за выпитый минибар, разбитую плазму и труп шлюхи в джакузи? Или в системах с ежемесячным продлением — каждый месяц мне весь десяток подписок вручную продлять? Или тот же штраф за превышение скорости например, на арендной машине?

И да, в целом система, которая не требует в обязательном порядке двухфакторной авторизации для управления моими деньгами — ущербна. Залез проверить, когда-то палку создавал и пару лет назад оплачивал что-то — там до сих пор валидная карта моя, а для проверки покупки — только пароль ввести и всё.
EMVCo недавно выпустила новую улучшенную версию протокола. EMV 3-D Secure (3D Secure 2 или 3DS2)

Недавно?! Вы серьезно? (2017)
Только почему 2.0? Если делать, то уже под 2.1.


Тех кто будет переходить с 2.0 на 2.1 ждет немало мелких пакостей от создателей спеки…
Вот чего им захотелось ключи c x509 на JWK… (ну работает не лезь!)
И было где то base64… зачем переводить на base64url!
И это не обоснованно ничем, кроме "мне так кажется будет лучше" какого то из авторов в EMVco.


И пусть количество неоднозначных моментов а то и явных ошибок в спеке уменьшилось, но они все равно остались.

Мне вот интересно… 3DS защищает в первую очередь магазины от возможного chargeback, а кто и когда будет защищать меня?
Если магазин не использует 3DS, а потом начнет списывать деньги (даже ошибочно), то я должен писать в Visa/банк/спортлото и требовать chargeback. Почему я на своей стороне не могу включить опцию «Подтверждать все операции смс паролем», ну или просто приходит смс «ххх запрашивает списание ууу руб. для подтверждения отправьте 1». И тогда даже если магазин не просит пароль, егов се равно запросят.Аесли он не просит и я не требую, то нет.

была в жизни ситуация, потерял карту, обнаружил через пару часов, когда пришла смс, что я обменял немного денег на евро. И должен бегать доказывать, что это не я.
Only those users with full accounts are able to leave comments. Log in, please.