Не разумем баш нешто та онлајн плаћања код нас

Хтедох да наручим неке лоптице за стони тенис са сајта Интерспорта, сама онлајн продавница је ОК и ту све ради како треба, дођем до корака кад се одлучује између плаћања онлајн или плаћања поузећем. Е сад, ја да не би моја жена сазнала да сам пукао 10€ на лоптице за стони тенис кад нам буду испоручивали те тако прескочио сцену буђења са одрезаним ушима и раскаченим јајима, решим да платим онлајн путем картица па да ми испоруче фрај….и ту дође моја параноја до изражаја – на страници на коју сам одведен за плаћање, а која је екстерна, сваком не-гику – сасвим нормалној.

Да не буде забуне, овде причам о мојим сумњама, сајт је готово сам сигуран апсолутно чист и безбедан, но требају ипак по мени урадити још пар корака како би разбили сваку сумњу а ово су сумње мене као купца, на прву лопту, без икакве хајтек анализе и лудила.

Прво што ми је упало у око – јесте сасвим мени помало чудњикав TLD за ову намену .biz. Отворим нови таб и одем на form.wspay.biz – пукне ми грешку да страница не постоји. Па ОК, није то сигурносни него кориснички пропуст, али могли су ту да ставе неки статички садржај, бар да ми штребери знамо о чему се ради без да се збуњујемо.

…одем на wspay.biz – отвори ми се нормално урађен сајт, све лепо објашњено. Дакле дођох до информације из треће.

Ништа, вратим се назад на ону форму за онлајн плаћања и друга ствар ми упадне у око – па није ЕV SSL, него неки најобичнији DV (Domain Validated) SSL, којем је за валидацују довољно доказати да то јесте ваш домен додавањем намеског текст фајла и то је то. Тако да фактички, сајт може да направи и Вулин и да све буде иза https-a, са бравом и улива поверење.

SSL/TLS конекција обезбеђује да комуникацију између вашег браузера и самог веб сервера не може нико постављен између да шпијунира (снифује) те сви сајтови на којима се уносе осетљиве информације – као што су подаци о платним картицама МОРАЈУ да буду иза правилно конфигурисане SSL/TLS конекције. Ако наручујете нешто са сајта на којем нема катанчић или ако не видите https у адресној линији интернет прегледача – баталите причу, то је нешто неозбиљно, правио Радојица из Баћевца.

Сајт на којем сте сад – Компјутераш, има SSL сертификат, бесплатни LetsEncrypt који је исто DV, и ја сам морао само да накачим неки наменски текстуални фајл да бих доказао да сајт заиста јесте мој. Е сад, да ли сам ја Дарко Дражовић или неки терориста и тако неки Рамуш Харадинај – ви то не знате, знате само да је комуникација вас и веб сервера где овај сајт јесте – безбедна, а како ћу „ја“ ма ко „ја“ био да употребим те податке – ко зна.

Гринбар – тако познатији од раније у народу а иначе EV SSL сертификат а ово ЕV je скраћено од ‘extended validation‘ илити по нашки проширена валидација…да би се он добио мора да се прођу строги и стандардизовани кораци аутентификације саме организације/фирме која стоји иза сајта, дакле није довољно само то да докажем да ја (ко год ја био) јесам власник сајта…него да већ поседујем и регистровану фирму која стоји иза тог сајта а нека ауторизациона тела чак раде и цикличну безбедоносну проверу самог сајта.

Овај тип сертификата имају сви озбиљни сајтови који се баве плаћањима преко интернета, јесу мало скупљи али зато уливају купцима и додатно поверење, бар нама пицајзлама који гледамо сваку ситницу. Пример рецимо, једна од наших банака, бивша Теленор банка и Пејпал, видите лепо фирме које су аутентификоване као власници сајта.

На Гугл Хрому је то још „хјуман-френдлије“ за детектовати јер се такав тип сертификата види без додатног клика – видите да се назив аутентификоване фирме налази у самој адресној линији тамо где је катанац.

Ништа, на крају забаталим, чудњикави TDL, нису, контам, хтели да искеширају за SSL са ваљаним проверама да нормална фирма стоји иза сајта и одлучим се за тактички мудар потез што се мирног брачног живота тиче и финансијских недоумица – наручим лоптице на адресу фирме и манем себе додатног мозгања да ли је ОК да овде оставим податке о платној картици.

Да не буде забуне, највероватније јесте све ОК и са овим сајтом и са самим онлајн плаћањем, неко би их до сад већ забравио да није, али мени као тешком штреберу и психо-параноји ови делови са типом SSL сертификата, .biz доменом за плаћања, мени лично непознатим сервисом за плаћања, па чак и самој локацији сервера на којем се налази овај сајт (Хрватска – што ће рећи недомаћи датацентар за домаћа плаћања) нешто баш не улива толико поверења да могу оставити податке о својој платној картици том сајту иако је највероватније све чисто као суза – чак поверих и на SSLtest-у, имају оцену A, дакле – све регуларе…па мајкуму, турите макар тај wspay.rs који већ поседујете а и ЕV SSL, нека буде све профи, шта сте се стисли, да знадем да је заиста нека регистрована фирма иза свега.

…и да, генерално та онлајн плаћања код нас, још увек је то код нас младо и недолупано, мора још да се поради на томе. Колико знам – тј како ми рекоше људи који су се бактали са тиме, банке нуде могућност постављања плаћања преко њих по сајтовима, али то нешто папрено наплаћају и по трансакцији и по фиксним трошковима и по имплементацији, па већина не-великих фирми то батаљује.

Такође, милион пута сам чуо да је неко заиста платио нешто онлајн на лицу места по разноразним извиканим и познатим радњама (продају се бела техника и лаптопови у њима) – па да се на крају испоставило да то што имају на сајту – немају на стању, па се онда дешавале разноразне перипетије док нису добили то што су купили преко нета и платили. Дакле, још мало ово треба код нас да поћути и сазри.

…а ове моје лоптице за стони тенис, стигле регуларно пар дана после наручивања, прво стигао мејл са кодом за праћење пошиљке и тако то, све чисто и брзо, платио куриру и прича завршена.