Htedoh da naručim neke loptice za stoni tenis sa sajta Intersporta, sama onlajn prodavnica je OK i tu sve radi kako treba, dođem do koraka kad se odlučuje između plaćanja onlajn ili plaćanja pouzećem. E sad, ja da ne bi moja žena saznala da sam pukao 10€ na loptice za stoni tenis kad nam budu isporučivali te tako preskočio scenu buđenja sa odrezanim ušima i raskačenim jajima, rešim da platim onlajn putem kartica pa da mi isporuče fraj….i tu dođe moja paranoja do izražaja – na stranici na koju sam odveden za plaćanje, a koja je eksterna, svakom ne-giku – sasvim normalnoj.

Da ne bude zabune, ovde pričam o mojim sumnjama, sajt je gotovo sam siguran apsolutno čist i bezbedan, no trebaju ipak po meni uraditi još par koraka kako bi razbili svaku sumnju a ovo su sumnje mene kao kupca, na prvu loptu, bez ikakve hajtek analize i ludila.

Prvo što mi je upalo u oko – jeste sasvim meni pomalo čudnjikav TLD za ovu namenu .biz. Otvorim novi tab i odem na form.wspay.biz – pukne mi grešku da stranica ne postoji. Pa OK, nije to sigurnosni nego korisnički propust, ali mogli su tu da stave neki statički sadržaj, bar da mi štreberi znamo o čemu se radi bez da se zbunjujemo.

…odem na wspay.biz – otvori mi se normalno urađen sajt, sve lepo objašnjeno. Dakle dođoh do informacije iz treće.

Ništa, vratim se nazad na onu formu za onlajn plaćanja i druga stvar mi upadne u oko – pa nije EV SSL, nego neki najobičniji DV (Domain Validated) SSL, kojem je za validacuju dovoljno dokazati da to jeste vaš domen dodavanjem nameskog tekst fajla i to je to. Tako da faktički, sajt može da napravi i Vulin i da sve bude iza https-a, sa bravom i uliva poverenje.

SSL/TLS konekcija obezbeđuje da komunikaciju između vašeg brauzera i samog veb servera ne može niko postavljen između da špijunira (snifuje) te svi sajtovi na kojima se unose osetljive informacije – kao što su podaci o platnim karticama MORAJU da budu iza pravilno konfigurisane SSL/TLS konekcije. Ako naručujete nešto sa sajta na kojem nema katančić ili ako ne vidite https u adresnoj liniji internet pregledača – batalite priču, to je nešto neozbiljno, pravio Radojica iz Baćevca.

Sajt na kojem ste sad – Kompjuteraš, ima SSL sertifikat, besplatni LetsEncrypt koji je isto DV, i ja sam morao samo da nakačim neki namenski tekstualni fajl da bih dokazao da sajt zaista jeste moj. E sad, da li sam ja Darko Dražović ili neki terorista i tako neki Ramuš Haradinaj – vi to ne znate, znate samo da je komunikacija vas i veb servera gde ovaj sajt jeste – bezbedna, a kako ću „ja“ ma ko „ja“ bio da upotrebim te podatke – ko zna.

Grinbar – tako poznatiji od ranije u narodu a inače EV SSL sertifikat a ovo EV je skraćeno od ‘extended validation‘ iliti po naški proširena validacija…da bi se on dobio mora da se prođu strogi i standardizovani koraci autentifikacije same organizacije/firme koja stoji iza sajta, dakle nije dovoljno samo to da dokažem da ja (ko god ja bio) jesam vlasnik sajta…nego da već posedujem i registrovanu firmu koja stoji iza tog sajta a neka autorizaciona tela čak rade i cikličnu bezbedonosnu proveru samog sajta.

Ovaj tip sertifikata imaju svi ozbiljni sajtovi koji se bave plaćanjima preko interneta, jesu malo skuplji ali zato ulivaju kupcima i dodatno poverenje, bar nama picajzlama koji gledamo svaku sitnicu. Primer recimo, jedna od naših banaka, bivša Telenor banka i Pejpal, vidite lepo firme koje su autentifikovane kao vlasnici sajta.

Na Gugl Hromu je to još „hjuman-frendlije“ za detektovati jer se takav tip sertifikata vidi bez dodatnog klika – vidite da se naziv autentifikovane firme nalazi u samoj adresnoj liniji tamo gde je katanac.

Ništa, na kraju zabatalim, čudnjikavi TDL, nisu, kontam, hteli da iskeširaju za SSL sa valjanim proverama da normalna firma stoji iza sajta i odlučim se za taktički mudar potez što se mirnog bračnog života tiče i finansijskih nedoumica – naručim loptice na adresu firme i manem sebe dodatnog mozganja da li je OK da ovde ostavim podatke o platnoj kartici.

Da ne bude zabune, najverovatnije jeste sve OK i sa ovim sajtom i sa samim onlajn plaćanjem, neko bi ih do sad već zabravio da nije, ali meni kao teškom štreberu i psiho-paranoji ovi delovi sa tipom SSL sertifikata, .biz domenom za plaćanja, meni lično nepoznatim servisom za plaćanja, pa čak i samoj lokaciji servera na kojem se nalazi ovaj sajt (Hrvatska – što će reći nedomaći datacentar za domaća plaćanja) nešto baš ne uliva toliko poverenja da mogu ostaviti podatke o svojoj platnoj kartici tom sajtu iako je najverovatnije sve čisto kao suza – čak poverih i na SSLtest-u, imaju ocenu A, dakle – sve regulare…pa majkumu, turite makar taj wspay.rs koji već posedujete a i EV SSL, neka bude sve profi, šta ste se stisli, da znadem da je zaista neka registrovana firma iza svega.

…i da, generalno ta onlajn plaćanja kod nas, još uvek je to kod nas mlado i nedolupano, mora još da se poradi na tome. Koliko znam – tj kako mi rekoše ljudi koji su se baktali sa time, banke nude mogućnost postavljanja plaćanja preko njih po sajtovima, ali to nešto papreno naplaćaju i po transakciji i po fiksnim troškovima i po implementaciji, pa većina ne-velikih firmi to bataljuje.

Takođe, milion puta sam čuo da je neko zaista platio nešto onlajn na licu mesta po raznoraznim izvikanim i poznatim radnjama (prodaju se bela tehnika i laptopovi u njima) – pa da se na kraju ispostavilo da to što imaju na sajtu – nemaju na stanju, pa se onda dešavale raznorazne peripetije dok nisu dobili to što su kupili preko neta i platili. Dakle, još malo ovo treba kod nas da poćuti i sazri.

…a ove moje loptice za stoni tenis, stigle regularno par dana posle naručivanja, prvo stigao mejl sa kodom za praćenje pošiljke i tako to, sve čisto i brzo, platio kuriru i priča završena.