А магазинчики-то дырявые...

Тема в разделе "Мировые IT новости", создана пользователем Sorcus, 16 окт 2016.

Опции темы
Страница 1 из 2
  1. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    320
    Симпатии:
    629
    Sorcus, 16 окт 2016
    #1 Вверх
    metsys и tm.weBreath нравится это.
  2. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    464
    Симпатии:
    445
    ам/кг
    статья высосана из.... пальца!
    речь идет про старые уязвимости, давно закрытые патчами (supee-6788), а вот про уязвимости этой недели в мадженто1 ни слова (supee-8788)...
     
    Последнее редактирование: 16 окт 2016
    metsys, 16 окт 2016
    #2 Вверх
  3. domowoi

    domowoi Постоялец

    Регистр.:
    9 фев 2010
    Сообщения:
    61
    Симпатии:
    43
    Двухэтапная идентификация платежей рулит.
     
    domowoi, 16 окт 2016
    #3 Вверх
  4. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    320
    Симпатии:
    629
    Т.е. тот факт, что половина сайтов вообще никогда за время своего существования не обновляется, а уязвимости есть не только в движках магазинов, но и серверном ПО тебя не смущает? :conf:

    Как уже было сказано в комментах на опеннете - ничто не мешает взломавшему твой сайт, подменить форму оплаты на свою. И хоть ты 20-ти этапную идентификацию используй, она тебя не спасет. :oops:
     
    Последнее редактирование модератором: 16 окт 2016
    Sorcus, 16 окт 2016
    #4 Вверх
    latteo нравится это.
  5. domowoi

    domowoi Постоялец

    Регистр.:
    9 фев 2010
    Сообщения:
    61
    Симпатии:
    43
    У меня пароль подтверждения платежа в смс приходит, ему придется симку мою ещё перехватывать. Я не хочу сказать что это невозможно, это несколько затруднено делать в массовом порядке, как с данными карты.
     
    domowoi, 16 окт 2016
    #5 Вверх
  6. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    320
    Симпатии:
    629
    Ну про осуществление перехвата смс наверное говорить бесполезно...На том же хабре статьи с примерами перехвата. Полагаться на подтверждение по смс будет только идиот :dead::facepalm:
     
    Sorcus, 16 окт 2016
    #6 Вверх
  7. domowoi

    domowoi Постоялец

    Регистр.:
    9 фев 2010
    Сообщения:
    61
    Симпатии:
    43
    Пруф про перхват смс или не было.
     
    domowoi, 16 окт 2016
    #7 Вверх
  8. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    320
    Симпатии:
    629
    Sorcus, 16 окт 2016
    #8 Вверх
    metsys и hort нравится это.
  9. domowoi

    domowoi Постоялец

    Регистр.:
    9 фев 2010
    Сообщения:
    61
    Симпатии:
    43
    :eek: В форме оформления заказа и номер телефона есть как правило... даже если нет, то добавить это поле - никто не заподозрит. :ass:
    Как дальше жить...:facepalm:
     
    domowoi, 16 окт 2016
    #9 Вверх
  10. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.535
    Симпатии:
    1.403
    Так же иногда возможно сделать аккуратную переадресацию на свой магазин/заказ - придёт смс на ту же сумму, но оплата уйдёт совсем не тому магазину, на котором вбивали данные.

    Дальше больше, на хабре пишут что смс с кодом подтверждения не всегда обязателен, даже если 3DS включен. Т.е. угона данных карты достаточно для её опустошения.

    Еще круче со смартфонами - посмотрите сколько приложений требует доступ к смс, даже если они им нафиг не нужны. И написав такое приложение или получив доступ к админке, можно сопоставить с базой пластика, которые без смс ну никак. И это только кажется технически сложным...

    Как вывод: дополнительная смс валидация это хорошо и лучше чем без неё, но надежность процентов 90 или ниже.
     
    latteo, 17 окт 2016
    #10 Вверх
    Sorcus нравится это.
Страница 1 из 2