|
ru.internet.business
- RU.INTERNET.BUSINESS ---------------------------------------------------------
From : Dmitry V. Liseev 2:5020/400 30 Aug 2000 16:06:19
To : All
Subject : Re: В пpодолжении вопpоса о меpчантах: как yбеpечься от каpжбека?
--------------------------------------------------------------------------------
"Alexey Vladimirov" <Alexey.Vladimirov@f99.n5100.z2.fidonet.org> wrote in
message news:967157359@f99.n5100.z2.fidonet.ftn...
Hi!
> DVL> Hа самом деле имеет смысл смотаться в этот магазин лично,
> DVL> потребовать у них лицензию, и убедившись, что все в порядке, взять
> DVL> компакт-диск с ключами. Если я захожу на сайт, который я впервые
> DVL> вижу, о какой проверке сертификата идет речь?
>
> О той, что этот магазин также был засертифицирован соответствующей
> структурой и
> имеет все необходимые атрибуты.
Точнее говоря, при TCP соединении с неким хостом по протоколу
HTTP я получил верный сертификат. И не более того.
> DVL> Вчера этого магазина здесь небыло, и завтра, возможно уже не будет.
> DVL> Я хочу пощупать кирпичи, из которых построен этот магазин.
>
> ;-) Имеешь право. Для этого обычно существует телефон/факс/email. Можешь
> позвонить, кинуть факс, написать email.
И многие это делают? Прямо скажем, не все будут звонить в Америку,
Германию, Японию и т.д. и на свободном английском, немецком,
японском и т.д. говорить с оператором.
> Почитай отзывы других покупателей,
;)))
> поинтересуйся, давно ли этот магазин здесь стоит. Можешь также проверить
> информацию о домене, сделать traceroute и так далее. В зависимости от
А смысл делать traceroute? Это поможет обычной домохозяйке?
Можно, конечно, принять кучу мер предосторожности, но в любом
случае основные из них - никогда не ходить через прокси, заводить
отдельную карточку для оплаты по Интернет и держать на
ней ровно столько денег, сколько необходимо. Это скорее ответ
на вопрос о безопасности покупателя, но не на вопрос сабж.
> DVL> А вот те компании, которые предлагают действительно реальные и
> DVL> надежные решения, регулярно разоряются, т.к. эти реальные решения
> DVL> заставляют пользователя нажать на пару кнопок больше и приобрести
> DVL> специальный софт и оборудование для чтения смарт-карт. А это не
> DVL> выгодно именно магазинам, т.к. резко снижает число потенциальных
> DVL> клиентов.
>
> Однозначно. DIGIPASS'ам и подобным системам в отношениях
> покупатель-магазин не
> место. Разве что в системах клиент-банк...
Я бы не был столь категоричен. Лично я в цифровой наличности
вижу больше перспектив, чем в кредитных картах.
> DVL> Куда проще повесить рекламный плакат: "У нас все надежно, как в
> DVL> танке, нажмите enter, и все произойдет само",
>
> ;-) В идеале именно так и должно быть.
В идеале я могу положить в карман 1000 баксов и спокойно
гулять по городу, т.к. наркоманов и прочей шпаны не должно
быть. В идеале я могу в ресторане отдать свою кредитку
официанту, т.к. он не должен списывать ее данные и продавать
кому-то. Hо я живу в реальном мире, в ресторанах плачу
наличкой, в подворотнях баксами не сверкаю.
> >> А вот цифровую подпись подделать не получится.
>
> DVL> Ее не нужно подделывать. Ее можно заменить, выдав одного клиента за
> DVL> другого
>
> Сложно это. Ведь подписывается каждый заказ, в который входит довольно
> много
> параметров, в том числе и время в момент оформления заказа. Как-то не
> очень
> представляю себе ситуацию подмены клиента. Может, пояснишь подробнее, что
> ты
> имеешь в виду под подменой клиента ?
Оплату товара по чужой кредитке. Информацию о номере кредитки
и всех данных клиента можно получить ломанув магазин.
> DVL> и один магазин за другой. Организовать липовый магазин ничего не
> DVL> стоит.
>
> С этим можно поспорить. Организовать-то несложно (и то - что будешь делать
> с
> телефонами, факсами и т.д.?), а вот попытаться использовать - вообще мало
> вероятно. Слишком мало времени потребуется истинным хозяевам, чтобы
> понять, что
Hикаких телефонов и факсов. Маленькая программка - троянский конь.
Основная задача - подмена некоторых IP-пакетов и ведение логов.
Hужна только возможность правильно генерировать сертификаты,
чтобы браузер клиента не пищал. Для этого и регистрируется магазин.
> что-то не так и принять меры. По моим прикидкам - максимум сутки.
Да не заметят они ничего.
> Так что подход примерно такой: для мелких магазинов и лавочек спокойно
> можно
> использовать принцип неуловимого Джо, а крупные магазины обычно защищены
> достаточно хорошо.
>
> Приведи контрпример, что ли...
Контрпример чего? Как порнушные сайты регулярно потрошат
на предмет номеров карточек? Иногда и более серьезные
организации "теряют базу клиентов".
Вопрос состоит из двух частей:
1) как защитить клиента от недобросовестного магазина
или хакера; 2) как защитить магазин от недобросовестного
клиента или хакера. Клиент должен быть уверен, что с его счета
не снимут деньги без его _непосредственного_ распоряжения.
То есть я вставляю карточку в специальный считыватель типа
"верифона" ввожу с клавиатуры этого считывателя что-то вроде
ПИH-кода. Мой банк (не магазин) аутентифицирует эту карточку
в реал-тайме. Снимает деньги со счета и переводит на счет
магазина. Магазин должен быть уверен, что если деньги за
товар заплачены, то они не могут потом иначе, как через суд,
вернуться обратно. Все вопросы я решаю со своим банком,
который выдавал мне карточку. Если транзакция успешна,
и введен правильный ПИH-код, претензии не принимаются.
И магазин не знает ни фамилии, ни отчества, ни номера
счета. Ему это не нужно. Ему нужны только деньги
и безразлично, чьи они.
____________________________
С уважением, Лисеев Дмитрий.
http://private.peterlink.ru/dimik/
PGP key fingerprint: 09 28 74 28 6C 39 62 29 2E CB 95 03 4F 04 33 73
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
