Не разумем баш нешто та онлајн плаћања код нас
Хтедох да наручим неке лоптице за стони тенис са сајта Интерспорта, сама онлајн продавница је ОК и ту све ради како треба, дођем до корака кад се одлучује између плаћања онлајн или плаћања поузећем. Е сад, ја да не би моја жена сазнала да сам пукао 10€ на лоптице за стони тенис кад нам буду испоручивали те тако прескочио сцену буђења са одрезаним ушима и раскаченим јајима, решим да платим онлајн путем картица па да ми испоруче фрај….и ту дође моја параноја до изражаја – на страници на коју сам одведен за плаћање, а која је екстерна, сваком не-гику – сасвим нормалној.
Да не буде забуне, овде причам о мојим сумњама, сајт је готово сам сигуран апсолутно чист и безбедан, но требају ипак по мени урадити још пар корака како би разбили сваку сумњу а ово су сумње мене као купца, на прву лопту, без икакве хајтек анализе и лудила.
Прво што ми је упало у око – јесте сасвим мени помало чудњикав TLD за ову намену .biz. Отворим нови таб и одем на form.wspay.biz – пукне ми грешку да страница не постоји. Па ОК, није то сигурносни него кориснички пропуст, али могли су ту да ставе неки статички садржај, бар да ми штребери знамо о чему се ради без да се збуњујемо.
…одем на wspay.biz – отвори ми се нормално урађен сајт, све лепо објашњено. Дакле дођох до информације из треће.
Ништа, вратим се назад на ону форму за онлајн плаћања и друга ствар ми упадне у око – па није ЕV SSL, него неки најобичнији DV (Domain Validated) SSL, којем је за валидацују довољно доказати да то јесте ваш домен додавањем намеског текст фајла и то је то. Тако да фактички, сајт може да направи и Вулин и да све буде иза https-a, са бравом и улива поверење.
SSL/TLS конекција обезбеђује да комуникацију између вашег браузера и самог веб сервера не може нико постављен између да шпијунира (снифује) те сви сајтови на којима се уносе осетљиве информације – као што су подаци о платним картицама МОРАЈУ да буду иза правилно конфигурисане SSL/TLS конекције. Ако наручујете нешто са сајта на којем нема катанчић или ако не видите https у адресној линији интернет прегледача – баталите причу, то је нешто неозбиљно, правио Радојица из Баћевца.
Сајт на којем сте сад – Компјутераш, има SSL сертификат, бесплатни LetsEncrypt који је исто DV, и ја сам морао само да накачим неки наменски текстуални фајл да бих доказао да сајт заиста јесте мој. Е сад, да ли сам ја Дарко Дражовић или неки терориста и тако неки Рамуш Харадинај – ви то не знате, знате само да је комуникација вас и веб сервера где овај сајт јесте – безбедна, а како ћу „ја“ ма ко „ја“ био да употребим те податке – ко зна.
Гринбар – тако познатији од раније у народу а иначе EV SSL сертификат а ово ЕV je скраћено од ‘extended validation‘ илити по нашки проширена валидација…да би се он добио мора да се прођу строги и стандардизовани кораци аутентификације саме организације/фирме која стоји иза сајта, дакле није довољно само то да докажем да ја (ко год ја био) јесам власник сајта…него да већ поседујем и регистровану фирму која стоји иза тог сајта а нека ауторизациона тела чак раде и цикличну безбедоносну проверу самог сајта.
Овај тип сертификата имају сви озбиљни сајтови који се баве плаћањима преко интернета, јесу мало скупљи али зато уливају купцима и додатно поверење, бар нама пицајзлама који гледамо сваку ситницу. Пример рецимо, једна од наших банака, бивша Теленор банка и Пејпал, видите лепо фирме које су аутентификоване као власници сајта.
На Гугл Хрому је то још „хјуман-френдлије“ за детектовати јер се такав тип сертификата види без додатног клика – видите да се назив аутентификоване фирме налази у самој адресној линији тамо где је катанац.
Ништа, на крају забаталим, чудњикави TDL, нису, контам, хтели да искеширају за SSL са ваљаним проверама да нормална фирма стоји иза сајта и одлучим се за тактички мудар потез што се мирног брачног живота тиче и финансијских недоумица – наручим лоптице на адресу фирме и манем себе додатног мозгања да ли је ОК да овде оставим податке о платној картици.
Да не буде забуне, највероватније јесте све ОК и са овим сајтом и са самим онлајн плаћањем, неко би их до сад већ забравио да није, али мени као тешком штреберу и психо-параноји ови делови са типом SSL сертификата, .biz доменом за плаћања, мени лично непознатим сервисом за плаћања, па чак и самој локацији сервера на којем се налази овај сајт (Хрватска – што ће рећи недомаћи датацентар за домаћа плаћања) нешто баш не улива толико поверења да могу оставити податке о својој платној картици том сајту иако је највероватније све чисто као суза – чак поверих и на SSLtest-у, имају оцену A, дакле – све регуларе…па мајкуму, турите макар тај wspay.rs који већ поседујете а и ЕV SSL, нека буде све профи, шта сте се стисли, да знадем да је заиста нека регистрована фирма иза свега.
…и да, генерално та онлајн плаћања код нас, још увек је то код нас младо и недолупано, мора још да се поради на томе. Колико знам – тј како ми рекоше људи који су се бактали са тиме, банке нуде могућност постављања плаћања преко њих по сајтовима, али то нешто папрено наплаћају и по трансакцији и по фиксним трошковима и по имплементацији, па већина не-великих фирми то батаљује.
Такође, милион пута сам чуо да је неко заиста платио нешто онлајн на лицу места по разноразним извиканим и познатим радњама (продају се бела техника и лаптопови у њима) – па да се на крају испоставило да то што имају на сајту – немају на стању, па се онда дешавале разноразне перипетије док нису добили то што су купили преко нета и платили. Дакле, још мало ово треба код нас да поћути и сазри.
…а ове моје лоптице за стони тенис, стигле регуларно пар дана после наручивања, прво стигао мејл са кодом за праћење пошиљке и тако то, све чисто и брзо, платио куриру и прича завршена.
Сретно детињство
05/11/2019 @ 10:36
Шта имаш против Радојице из Баћевца. Човек лепо продаје мед и вунене џемпере. Нема пара за ССЛ. Поготово не сада када су му одузели купус.
Компјутераш блог
05/11/2019 @ 20:54
Кад је члан међународне купус мафије, ко му крив.
Zoran
05/11/2019 @ 15:14
Kad sam video naslov mislio sam da se radi o tome da plaćanja vikendom moraju da čekaju ponedeljak, ali ipak ne..
Svakako dobar tekst!
Srdjan
05/11/2019 @ 20:49
Hahahaha, isto, a i znam koliko je pizdeo zbog toga na Facebooku, ne znam kako je izdržao da ne opljune po tome.
Компјутераш блог
05/11/2019 @ 20:51
Како „како“ бре?
…па три сам бруха добио суздржавајући се, али контам, довољно сам гушио о томе на Фејзбугу ?
Bivši kolega
05/11/2019 @ 23:53
Ćelava spodobo
Relja
08/11/2019 @ 06:00
Pohvale za sajt – pratim godinama. 🙂
Elem, moje (naglas) razmišljanje na temu (ne tvrdim da je „de fakto tako“):
Amazon nema EV.
Ako si nepoznat, onda EV pomaže da posetioci imaju više poverenja da si taj koji tvrdiš da jesi.
I košta stotine dolara godišnje – uz posebno plaćanje za svaki domen i poddomen (tj. posebno shop.example.com, http://www.example.com, blog.example.com). Naravno – može se uzeti samo za radnju, ili (pod)domene koji uzimaju neke osetljive podatke od posetilaca. OK, verovatno to nije ništa strašno za kompanije koje prave novac od toga, ne kažem…
Ako si dovoljno poznat, onda je to manje bitno.
Tako da u praksi ispadne kao neka vrsta šišanja sirotinje. 🙂
Da li je barem kompanija koja očigledno prodaje usluge online plaćanja drugima (na čiji domen je autor bio redirigovan pri pokušaju plaćanja) mogla da se „otvori“ za EV, barem za poddomen na kojem se vrše plaćanja? Verovatno bi to bilo pametno – zbog onog 1% ljudi koji to proveravaju.
Da li je intersport mogao napraviti da plaćanje ostane na njihovom domenu, makar i sa Let’s Encrypt sertifikatom – tako budeći manje sumnje? Mislim da bi to bilo bolje.
Душан
17/12/2019 @ 21:37
Не бих рекао да је баш занемарљив EV сертификат, па чак и за велике играче, јер се они најчешће и користе за phishing. Чак и за мање фирме, сума од цирка $100/годишње и није нешто. Код нас је више онај наш домаћи, неедуковани, комунистички, директорски менталитет. А опет је ту и пуко незнање наводних ИТ-јеваца по тим фирмама.
Tr1xy
16/06/2020 @ 12:29
Intersport je pod stalnim udarom hakera (krađa kartica), izvor:
https://mobile.twitter.com/ESETresearch/status/1272408821072384000