Danas sam pokušala kupiti putem web shopa Tehnoplanet, www.tehnoplanet.hr autoradio amex karticom i naišla na nešto nevjerojatno. Tražili su me broj kartice i ostale podatke bez ikakvog SSL certifikata ili druge sigurnosne zaštite podataka. Često kupujem na internetu kod nas i vani ali ovakav shop još nisam vidjela. Podnijeti ću prijavu državnom inspektoratu jer se vjerojatno radi prikupljanju brojeva kartica. :mad:

Provjerite sami, dala sam link

Pa očito se radi o prikupljanju brojeva kartica, svaki dućan (konzum, kerum, vemil), restoran i sl. prikupljaju brojeve kartica.

U ovom slučaju se radi jedino o tome da ga prikupljaju bez SSL zaštite, što znači da bi neki vješti hacker mogao doći do tih podataka. On i uz SSL može doći do tih podataka, samo malo teže jer se na manje mjesta na netu ostavlja trag.

Dakle SSL nije najbitnija stvar nego radi li se o dućanu kojem možeš vjerovat - osobno je takvih 4-5 na cijelom netu (ni jedan domaći), a gdje god možeš koristi paypal za plačanje - oni ti puno lakše vrate lovu ako šta pođe krivo.
Naravno, uz to ako nema SSL-a nećeš ni razmišljati o kupovini.


I evo ti Šljakeru (to ti je forumaš koji radi u firmi koja je radila onu stranicu) još jedna reklama - kako lijepo postavite webshop koji nema SSL na stranici koja prima kreditne kartice :vatr:

Ibiza mislim da nisi potpuno u pravu.
Konzum, Kerum itd. ne prikupljaju brojeve kartica- (POS). Plaćanje slipovima daleka je povijest.

Radim u banci, dijelom na kartičnom poslovanju. Osnova plaćanja karticama na internetu je tzv. sveto trojstvo: Shop - provider (za obradu transakcija) - kartična kuća.
Najbitnije je da svaki u tom procesu zna samo ono što treba znati, a shop je taj koji NIKAKO ne smije znati broj kartice što u ovom slućaju nije tako. To je isto kao da nekom nepoznatom na telefon izdiktiraš broj kartice i secure koda. I onda se samo možeš moliti dragom Bogu.

Najžalosnije je što ljudi kada izgube novac krive banke, kartične kuće i nesigurnost na internetu, a ovo je eklatantan primjer kako riskirati broj kartice na internetu.

sorry, ali slipovi su još uvjek u upotrebi kao i diktiranje kartice preko telefona, kao i davanje kartice konobaru koji je nosi van tvog videokruga. Svemu tome sam svjedočio. Ne vjerujem da se šta naglo prmjenilio u zadnje vrijeme kod nas kad i vani ima toga.

U hrvatskoj ne postoji provider koji bi pružio online uslugu procesiranja katica (ne računam one retaje sa provizijama gorim od zelenaša gdje spada i t-com shop)


Ali istina da bi trebalo biti tako kako kažeš - jednom sam se zajebo i dao karticu na regica.net , preko SSL-a i očekivao trenutno naplatu, kad ono treba čekati par dana dok njihovo osoblje provjeri karticu - mogu mislit kakva im je skripta, biće je došlo mailom pa đabe ssl ili u direktno bazu šta opet nije velika razlika...
Količina neznanja ili nesposobnosti u Hrvatskoj je velika, a svi se tuču u prsa kao da su neke velike firme...

Ibiza ima pravo u svojoj tvrdnji da SSL *NIJE* garancija ničega drugoga doli toga da će podaci na zaštićen način stići od preglednika do aplikacije na poslužitelju na koji se obrazac podnosi, tj. do servera koji obrađuje HTTP POST zahtjev koji je upućen od preglednika i u svome tijelu sadrži povjerljive informacije. Termin "sveto trojstvo" podsjeća na buzzword, a iskustvo (barem moje) upućuje da se buzzwordova treba plašiti jer pružaju lažan osjećaj predvidljivosti.

Tako da pažljivi kupac neće pogriješiti ako uzima da je sudbina tih podataka od trenutka kada stignu do poslužitelja pa nadalje u potpunosti stvar kupčeve vjere u kompetentnost ljudi koji su izvodili tu konkretnu implementaciju sustava plaćanja.

Čak štoviše, strogo razmatrajući, i sama sigurnost podataka koji putuju kroz SSL vezu se temelji na surferovom povjerenju u kuću koja izdaje certifikat (npr. VeriSign), a koja je često praktično van zakonskog dosega istog tog surfera.

Konačno, u praksi se za mnoge korisnike sigurnost samog transporta podataka kroz SSL temelji i na povjerenju koje i bez svoga znanja daju svim poduzećima koja su sudjelovala u stvaranju instalacije njihovog web-preglednika i njegovoj distribuciji do računala - to je zato tako što web-preglednici dolaze s ogromnim broj predinstaliranih root certifikata autoriteta za koje nismo nikada niti čuli

Primjerice FF dolazi s certifikatima nekih firmi poput ABA.ECOM Inc., NetLock Halozatbiztonsagi Kft., Staat der Nederlanden, Unizeto Sp. z.o.o. - običan korisnik, efektivno, vjeruje da su autentifikacijski poslužitelji svih tih institucija pouzdani od krađa, pronevjera, falsificiranja, te da web-stranice s kojih su skinuli instalaciju FireFoxa nisu bile hackirane, te da instalacijski paket nije do njihovoh računala prošao kroz neki čvor u mreži u kojem je bio on-the-fly modificiran od nekog uljeza.

To je toliko komplicirano na koncu, da je čovjeku najbolje vjerovati u ono pravo Sveto Trojstvo, a u trgovini se pouzdati u svoju procjenu kredibilnosti trgovca i ugovor koji ima s kartičnom kućom.

VAŽNO: naravno da u praksi SSL *značajno* povećava sigurnost podataka *u transportu*; toliko značajno da ako trgovac nema SSL, onda se sigurno radi o nekome tko krši ugovor koji ima sa svojim payement gatewayem (ili naivno koristi posrednika sa sumnjivim namjerama). No, postojanje SSL-a NE znači suprotno!

I konačno, kako je netko na ovom forumu spomenuo, razlog zašto kartične kuće nemaju sustav plaćanja sličan PayPalu koji bio u potpunosti izveden na njihovim serverima bez "providera" i shopova jest u diverzifikaciji rizika od provale. Meni se čini da, ako potreba za time postoji, to "sveto trojstvo" nije 100.01 % sveto.

Da, na kraju svatko je odgovoran za svoju zaštitu.

Isto tako građanima treba pružiti maksimalnu moguću zaštitu. Vjeruj mi, ono objavljeno u medijima samo je vrh ledene sante u kartičnim prijevarama i treba se držati osnovnih pravila tipa: Ne ispuštati karticu iz vida prilikom plaćanja, pažnja na bankomatima itd.. itd..

Odgovornost je i na drugoj strani, u ovom slučaju trgovcu koji ne pruža elementarnu zaštitu i na to sam htjela upozoriti.

Odgovornost je i na drugoj strani, u ovom slučaju trgovcu koji ne pruža elementarnu zaštitu i na to sam htjela upozoriti.
P.S. Da li došla do kraja kupovine? Tj. da li se i obrazac u kojem podnosiš podatke o kreditnoj kartici prenosi van SSL-a?

Znači: *sigurno* je situacija takva da stranica u kojoj se nalazi obrazac u kojem se upisuju podaci o kreditnoj kartici u svom "action" atributu također ima http: protokol, umjesto https: protokola?

[QUOTE=tsereg]P.S. Da li došla do kraja kupovine? Tj. da li se i obrazac u kojem podnosiš podatke o kreditnoj kartici prenosi van SSL-a?

Da, došla sam do kraja kupovine.
Običan formular na stranici http://

Uostalom probaj: www.tehnoplanet.hr

Da, došla sam do kraja kupovine.
Običan formular na stranici http://

Uostalom probaj: www.tehnoplanet.hrHeh, ne želim probavati, jer se ne želim registrirati, ali niti davati lažne podatke.

Uoči da to što se formular nalazi na http:// stranici ne znači ništa. Već bi trebala otvoriti izvorni kod te stranice sa naredbom View->Source i pronaći tekst sličan ovome:<FORM action="https://...."> (...) Ako je vrijednost action atributa URL s "https" protokolom, onda će podaci upisani u taj formular BITI isporučeni kroz SSL. Ako se nalazi URL s protokolom "http", onda neće.

Ovo bi jednostavno značilo da SSL koriste samo za set podataka koji se nužno treba transportirati sigurno.

----

No, čak i da to jest točno, time što i sama stranica u kojoj je formular nije isporučena kroz SSL je loša praksa iz više razloga. I sigurnosnog, ali i sa stajališta informiranosti kupca. Da je sve iza SSL-a kupac bi znao da će i podnašanje obrasca biti sigurno ili bi dobio upozorenje ako neće.

Ma, Ibiza, dosta tvojih socijalističkih fora i trpanja imena firme u glupe kontekste. Da nisi proziran, još bih se i naljutio... :)

U svakom slučaju, istina je malko prozaičnija (provjerio sam kod naših):
Klijent je kupio od jednog našeg partnera naš shop (a ne izradu stranica ili design) i custom podršku za Pay Way. A na Pay Way se kao čeka cca 30 dana, dok kao PBZ napravi nekakve provjere. Pa je u tom vremenu dok čeka počeo prodavati na sve moguće načine, što naravno nema veze s nama.

Dakle, stvar je u trgovcu..

Osim toga, to se zove "offline plaćanje karticom" i potpuno je regularno i prilično prošireno. Na taj način djeluje puno turističkih agencija ili rent a carova, npr. Mnogi traže da im se faksira kopija kartice, čak i u USA (puno brokerskih kuća)...

E, sad, zašto nema SSL-a (a trebao bi biti), to treba pitati trgovca. Naime, obzirom da se svi kritični podaci hashiraju u bazu, ali samo ako je uključen SSL, onda ne vidim ni načina kako da trgovac pročita te podatke.