[shade]

Ну и напишите им об этом.

PS Первый раз встречаю карту, в которой разрешили ставить спец-символ

[Rash]

Цитата: (shade @ 9.9.2010, 20:06) Ну и напишите им об этом. PS Первый раз встречаю карту, в которой разрешили ставить спец-символ

Им тоже написал.

Что значит разрешили? Не я же выбираю, что именно написать на карте :) На двух картах Visa имя написано нормально (Ilya), а на последней с апострофом посередине. Нормальные скрипты пишутся не с расчетом на то, как должно быть, а на то, чтобы злоумышленник не мог помешать его нормальной работе. Более того, вручную формировать SQL-запрос, вставляя туда значение полученных переменных (к тому же без обработки) - это полная профнепригодность.

[shade]

Цитата: (Rash @ 9.9.2010, 20:24) Им тоже написал. Что значит разрешили? Не я же выбираю, что именно написать на карте :)

Вот как раз Вы и выбираете. При подаче заявления на изготовление пластика - ВЫ сами указываете Имя Фамилию на английском языке.

[Rash]

Цитата: (shade @ 9.9.2010, 21:09) Вот как раз Вы и выбираете. При подаче заявления на изготовление пластика - ВЫ сами указываете Имя Фамилию на английском языке.

Значит сотрудник банка выбрал за меня. Делал в ВТБ24. Никаких данных у меня не брали, потому что уже тогда был их клиентом.

[Arepo]

Цитата: (shade @ 9.9.2010, 21:09) Вот как раз Вы и выбираете. При подаче заявления на изготовление пластика - ВЫ сами указываете Имя Фамилию на английском языке.

Ну сейчас речь про мастербанк, а тут они лоханулись по-крупному. Я, честно говоря, вообще в шоке, как можно было допустить такое.

[shade]

В понедельник как раз получил ВТБшную. Все заполнял сам.

[dAlexis]

Цитата: (Rash @ 9.9.2010, 19:44) Сегодня пытался оплатить интернет с помощью карты Visa и ужаснулся (перешел по ссылке из личного кабинета beirel на сайт masterbank'a). Введя все данные (номер карты, CCV, имя) и нажав "оплатить", я увидел следующее: Код Could not insert: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ya Ivanov', '', '0', '','127.0.0.1', 'https://web3ds.masterbank.ru:3443/cgi-bi' at line 1 Желание воспользоваться услугой masterbank'а отпало напрочь. О какой безопасности моих данных может идти речь, если эти люди не умеют экранировать SQL-запросы (все дело в том, что имя "Илья" на карте написано как "Il'ya")? При том они даже не отключили вывод внутренних ошибок! Хочешь получить содержимое таблиц с историей платежей? Пожалуйста! Ребята, это ведь не домашняя страница. Этот сайт запрашивает данные моей карты, включая CCV2. P. S. Не стал экспериментировать с запросами, потому что это все-таки банк.

Да-да, "знающие" ребята на хабре соображают очень много :) Я бы им написал, но не зареглен там.
Гейт там от openway, я его "немножко" знаю (уж больше 10 лет с картами работаю) и могу сказать, что карты там хранятся отнюдь не в MySQL Там до БД хитрый туннель, который sql-инъекциям не поддается. Запросы бы много не дали...
Даже догадываюсь, почему mySQL там появился. Дело в том, что у VISA с MasterCard есть дурацкая особенность - ни в авторизации ни в клиринге имя держателя карты не используется (штатных полей для этого в протоколах просто нет), НО! при оспаривании операций введенное имя держателя вынь да полошь. В процессинговой БД его нет, по raw-логам лазить муторно. Вот и доделали сохранение имен, как все, но, видимо, кривовато. Сдается мне, почитают и исправят.
А про VerifiedByVisa - хоть бы Wiki почитали, что это такое, перед тем как писать, и не позорились.

[Rash]

Цитата: (dAlexis @ 10.9.2010, 10:52) Да-да, "знающие" ребята на хабре соображают очень много :) Я бы им написал, но не зареглен там. Гейт там от openway, я его "немножко" знаю (уж больше 10 лет с картами работаю) и могу сказать, что карты там хранятся отнюдь не в MySQL Там до БД хитрый туннель, который sql-инъекциям не поддается. Запросы бы много не дали... Даже догадываюсь, почему mySQL там появился. Дело в том, что у VISA с MasterCard есть дурацкая особенность - ни в авторизации ни в клиринге имя держателя карты не используется (штатных полей для этого в протоколах просто нет), НО! при оспаривании операций введенное имя держателя вынь да полошь. В процессинговой БД его нет, по raw-логам лазить муторно. Вот и доделали сохранение имен, как все, но, видимо, кривовато. Сдается мне, почитают и исправят. А про VerifiedByVisa - хоть бы Wiki почитали, что это такое, перед тем как писать, и не позорились.

Я где-то писал, что с помощью этой ошибки можно получить конфиденциальные данные? Почти уверен, что нельзя. Дело не в этой конкретной ошибке, а в доверии к системе. Если разработчик допустил в этом месте такую детскую ошибку, то он наверняка сделал еще десяток подобных (или сделает). И не факт, что с помощью очередной дыры злоумышленник не сможет получить доступ к моим реквизитам (речь не о CVV, который банк не имеет права где-либо хранить). Пользоваться сервисом, реализованным этим разработчиков, у меня, как у клиента, нет никакого желания.
Еще один пример надежности мастер-банка (криворукости его разработчиков):
http://habrahabr.ru/sandbox/18209/


Я прекрасно понимаю, что такое Verified by Visa (читайте внимательнее). И прекрасно понимаю, как эта фраза переводится с английского. Речь о том, что для технологии выбрано неудачное название, сбивающее людей с толку. Или вы считаете, что каждый, кто является владельцем карты, должен разбираться в тонкостях систем безопасности? Я прекрасно понимаю, что такое SSL, которым мне тычут в лицо (которому на странице посвящен целый ненужный абзац), как и логотипом "Verified by Visa". Речь о том, что половина страницы, отведенная под текст с картинками, который должен меня успокоить, яйца выеденного не стоит при таком подходе к разработке.

Сообщение отредактировал Rash - 10.9.2010, 13:05

[dAlexis]

Цитата: (Rash @ 10.9.2010, 14:03) Я где-то писал, что с помощью этой ошибки можно получить конфиденциальные данные? Почти уверен, что нельзя. Дело не в этой конкретной ошибке, а в доверии к системе. Если разработчик допустил в этом месте такую детскую ошибку, то он наверняка сделал еще десяток подобных (или сделает). И не факт, что с помощью очередной дыры злоумышленник не сможет получить доступ к моим реквизитам (речь не о CVV, который банк не имеет права где-либо хранить). Пользоваться сервисом, реализованным этим разработчиков, у меня, как у клиента, нет никакого желания. Еще один пример надежности мастер-банка (криворукости его разработчиков): http://habrahabr.ru/sandbox/18209/ Я прекрасно понимаю, что такое Verified by Visa (читайте внимательнее). И прекрасно понимаю, как эта фраза переводится с английского. Речь о том, что для технологии выбрано неудачное название, сбивающее людей с толку. Или вы считаете, что каждый, кто является владельцем карты, должен разбираться в тонкостях систем безопасности? Я прекрасно понимаю, что такое SSL, которым мне тычут в лицо (которому на странице посвящен целый ненужный абзац), как и логотипом "Verified by Visa". Речь о том, что половина страницы, отведенная под текст с картинками, который должен меня успокоить, яйца выеденного не стоит при таком подходе к разработке.

По поводу второго линка на хабре - как Вы думаете, а зачем vkontakte регистрирует карты (получаемые из банка хэши номеров, как мне сказали знакомые оттуда) и пользователей по случайной сумме??? Автор просто-напросто провел кулхацкерскую атаку своей же собственной зарегленной там картой и сим гордится. Вот попробовал бы он другую карту - было бы интересно. А так - вспоминаем поговорку про ворочанье мешков. То-то саппорт vkontakte так спокойненько к этому отнесся...

А о доверии к сервису - от косяков, тем более детских, не застрахован никто. Мне сотрудники Визы рассказывали в 2005-ом (без наименования имени банка, как я не просил), что какие-то крендели вообще карты под тестовыми криптографическими ключами выпустили (перевыпускать несколько десятков тысяч карт пришлось). Дыру, я думаю, уже наверняка заделали, хотя согласен что доверия это не добавляет. Я-то на 100% знаю, что это не сам гейт, а довесок для мониторинга/удобства, но для такого знания нужно детальное знакомство с предметом, которое мало у кого имеется.

Логотип, блин, сама Виза придумала и требует его цеплять везде, где есть упоминание об оплате картой. Если сам банк на собственной странице его не поцепит - может на деньги попасть, однако. Я сам логотип считаю не сильно ясным, но чтобы Виза сказала, что маркетологи накосячили... Impossible...

Вообще, что-то последнее время на Мастер ополчились все - поди, дорогу кому перешел?

Сообщение отредактировал dAlexis - 10.9.2010, 15:03

[Prod]

Не планирует ли наша компания приблизится к розничным ценам оптового продавца ?

Компания Неторн с 9 мая 2011 года меняет тарифную линейку для физических лиц.

Безлимитный N1 - 420 руб. - 13 824 Кбит/c
Безлимитный N2 - 550 руб. - 30 720 Кбит/c
Безлимитный N3 - 700 руб. - 46 080 Кбит/c
Безлимитный N4 - 840 руб. - 67 584 Кбит/c
Безлимитный N5 - 1120 руб. - без ограничения