Hlavní navigace

Vlákno názorů k článku Payment Request API: informace o platební kartě bezpečně v prohlížeči od mog - Kde se to dá vypnout? Vážně nechci nikde...

Článek je starý, nové názory již nelze přidávat.

  • 12. 10. 2017 13:46

    mog (neregistrovaný) ---.tmcz.cz

    Kde se to dá vypnout?
    Vážně nechci nikde ukládat data o mé platební kartě!

  • 12. 10. 2017 15:28

    Filip Jirsák

    Když nechcete v konfiguraci prohlížeče ukládat údaje o své platební kartě, tak je tam jednoduše nezadávejte. Netuším, co byste na tom chtěl vypínat – když tam ty údaje nezadáte, prohlížeč vám opravdu nebude procházet peněženku a hledat v ní kartu, aby ty údaje zjistil.

  • 12. 10. 2017 18:02

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Jasne jrsak, na usera vyskoci okynko, chce jednou nakoupit, zada cislo karty ... mno a priste, priste to uz rovnou za nej a bez nej bude posilat browser ... ale to nic, lecit se to neda.

  • 13. 10. 2017 9:21

    Nick Sekáč Magor

    "Otázkou je, jaké možné problémy se mohou objevovat tam, kde dojde k útoku na konkrétní počítač nebo jeho krádeži, což ale není o tolik větší riziko než odcizení běžné fyzické karty"

    Jenoduché. Až někdo čmajzne údaje a zaplatí s nimi skrz browser, třeba protože MS, tak ti banka řekne, že je to tvůj problém ... @Filip Jirsák doporučí, že přece přes net samozřejmě nakupovat nemusíš když se ti to nelíbí, banky si promnou ruce, Google, Amazon ... si přijdou na své. Pak odstraní hotovost, vrazí platby do androidu!!! a to teprve přestane být sranda ...

  • 14. 10. 2017 13:28

    Míra (neregistrovaný) ---.eurotel.cz

    Tady je jeden velmi podstatný rozdíl. Údaje o platební kartě budou uloženy v prohlížeči a pravděpodobně i odesílaná v rámci tzv. sychronizace kamsi do tramtárie. Stačí jedna bezpečnostní chyba a průser je hotový.
    Případů úniku údajů o platebních kartách ze systému obchodníků bylo spoustu a stále se objevují další.
    Tady se k systému obchodníka přidává navíc ještě možnost útoku na úložiště samotného prohlížeče.

    U fyzické karty hrozí max. ztráta ve výši stokorun nebo nízkých jednotek tisíců. Bezkontaktní platby bez požadavku na pin jsou u většiny bank omezené a platby přes internet je možné povolit pouze pro konkrétní platbu. Navíc u dvou faktorové autorizace např. přes 3D secure je opět riziko zneužití karty velmi výrazně nižší.

    Platba tzv. "automaticky na jeden klik" je opravdu hodně blbý nápad.Vzhledem k absenci jakékoliv autorizace platby je tady velký potenciál zneužití případné bezpečnostní chyby nebo nevhodného chování uživatele.

  • 14. 10. 2017 13:47

    Filip Jirsák

    Např. Google Chrome (a předpokládám, že i ostatní prohlížeče) umožňuje synchronizovaná data šifrovat. Takže i kdyby unikla data ze synchronizačních serverů Google (což považuju asi tak za milionkrát méně pravděpodobné, než že to unikne z nějaké databáze e-shopu nebo platební brány, které to ukládají pro větší pohodlí uživatelů nebo omylem), pokud ty synchronizované údaje máte šifrované, nic se nestane.

  • 14. 10. 2017 17:57

    Filip Jirsák

    To je konstatování faktu. Pokud někdo chce, zadá si ty údaje do prohlížeče už dnes, pokud nechce, nezadává si je tam. To API na tom nic nezmění.

  • 14. 10. 2017 18:24

    Nick Sekáč Magor

    Smysl toho konstatování byl v tom, že na dnešním stavu nezáleží. Nebo je snad budoucí API podmíněna tou starou?
    Každopádně si myslím, že by bylo ideální z processu plateb samozřejmě co nejvíc vyřadit random obchody a co nejméně zapojit klientské a přenést na API bank, protože tam se dá vůbec bavit o nějakých standardech. Přenos na klientskou stanici je podle mě dost velké riziko, protože klientské stanice jsou zde ty snadněji napadnutelné stroje kde se ani zdaleka nedá počítat s profesionální údržbou, chováním a zabezpečením ... A to, že je to tak z části dneska, mě zajímá asi stejně jako např. že bych si zítra neměl brát bundu, protože před 30 dny stačila košile ...

  • 14. 10. 2017 18:38

    Filip Jirsák

    Smysl toho konstatování byl v tom, že na dnešním stavu nezáleží.
    Pokud se někdo tváří, že budoucí API zhorší situaci (což je výchozí bod celé této diskuse), záleží na současné situaci, protože s ní to budoucí API srovnáváte. A pak je potřeba uvést fakt, že to budoucí API situaci nezhorší, protože kdo chce, má údaje o platební kartě uložené v prohlížeči už dnes, a to API na tom vůbec nic nezmění.

    by bylo ideální z processu plateb samozřejmě co nejvíc vyřadit random obchody
    Což je přesně to, co tohle API umožňuje.

    co nejméně zapojit klientské a přenést na API bank
    API je hezká věc, ale někde musíte sebrat ty údaje, na jejichž základě se platba provede. Respektive ne někde, ale od uživatele, protože ten musí tu platbu autorizovat. A uživatel sedí u svého počítače, kde má spuštěný prohlížeč – takže ty údaje od klienta musejí přijít přes ten prohlížeč. Zabezpečit se to dá dalším kanálem, třeba ověřovacím kódem, který uživatel opíše z mobilu.

    Přenos na klientskou stanici je podle mě dost velké riziko
    K žádnému přenosu na klientskou stanici nedochází. Na klientských stanicích už to je od začátku, a pokud chcete platby zadávat ze svého počítače a ne s nimi běhat do banky, na klientských stanicích to i zůstane.

  • 14. 10. 2017 18:48

    Nick Sekáč Magor

    Srovnání se současným stavem rezonuje v tvé hlavě. Já to se současným stavem neporovnávám. Jenom píšu, že se mi nezdá takové zapojení klientského browseru. Důvod jsem napsal a argument "už je to tak i dneska" je irelevantní ...

  • 14. 10. 2017 19:56

    Filip Jirsák

    argument "už je to tak i dneska" je irelevantní
    Dobře, takže dáme na vás, to API se nebude implementovat a – aha, vlastně, zůstane to tak, jak je to dneska.

    Já to se současným stavem neporovnávám.
    To je chyba. Protože současný stav tady dneska máme, a když se nic nezmění, budeme ho mít i nadále.

    Jenom píšu, že se mi nezdá takové zapojení klientského browseru.
    Mně zapojení klientského prohlížeče připadá dost zásadní. Určitě chci, aby do toho byl zapojen klient – byl bych velmi nerad, aby platby z mého účtu odcházely bez mé autorizace. Dále bych chtěl, aby platby bylo možné provádět na dálku přes internet. Takže chci, aby v tom byl internetový prohlížeč zapojen, protože ty platby budu iniciovat přes něj. Jak bude ta platba zabezpečená, to už standard neřeší, to je na implementaci každé platební metody. Klidně jedna z platebních metod může být to, co má dnes MasterCard – že do mobilu naskenujete QR kód a platba se provede z mobilu. Akorát ten QR kód nebude zobrazovat webová stránka, ale přímo implementace dané platební metody v prohlížeči, takže to bude bezpečnější.

  • 14. 10. 2017 20:41

    Nick Sekáč Magor

    Proč vůbec reaguješ na můj příspěvek, když si ani nepřečteš co píšu:

    Kde jsem napsal že to mají celé zrušit a nedělat nic, nebo že současný stav stačí?
    Kde jsem napsal že do toho nemá být browser vůbec zapojen?

    Opravdu by sis měl nejprve přečíst co ti kdo píše a ne si vymýšlet nějaké vlastní zkazky. Ostatně jak jsem si všiml za poslední dobu tady, nejsem první kdo ti po několika příspěvcích píše, že mu mluvíš o něčem co vůbec nepsal, o čem nemluvil a podsouváš mu to. Proč to děláš?

  • 14. 10. 2017 22:02

    Filip Jirsák

    Já reaguju na to, co jste napsal. Akorát jsem (asi mylně) předpokládal, že také víte něco okolo – aspoň to, co je o API napsáno v článku, že jste četl předchozí příspěvky ve stejném vlákně…

    Celé vlákno začalo tím, že by takové API v prohlížeči vůbec nemělo být, např.protože je to nebezpečné. Já jsem na to reagoval, že údaj eo platební kartě může mít uživatel uložené v prohlížeči už dnes, a tohle API naopak přináší bezpečnější způsob placení. Vy jste tomu oponoval. Tak pokud vy čtete, co jsem napsal já, a reagujete na to, zpochybňoval jste to, že tohle nové API není bezpečnější nebo alespoň stejně bezpečné, jako starý způsob. Nebo jste tedy chtěl napsat něco jiného?

    Kde jsem napsal že do toho nemá být browser vůbec zapojen?
    Napsal jste, že se vám nezdá takové zapojení klientského browseru. Tedy že se vám nezdá, že browser zprostředkuje komunikaci mezi uživatelem a platební bránou. Já si nějaké ještě menší zapojení prohlížeče představit nedokážu, a vy jste žádné nepopsal. Tak sem s tím, jaké zapojení browseru by podle vás bylo adekvátní?

    Opravdu by sis měl nejprve přečíst co ti kdo píše a ne si vymýšlet nějaké vlastní zkazky.
    No tak když si přečtu to, co jste napsal, dozvím se, že se vám na tom něco nelíbí, ale nevíme co, a udělal byste to jinak, ale nevíte jak. A pak jste kritizoval uložení údajů o platební kartě v prohlížeči, což je současný stav a to nové API umožňuje to změnit a platit kartou i tak, že ani prohlížeč se platební údaje nedozví.

    Ostatně jak jsem si všiml za poslední dobu tady, nejsem první kdo ti po několika příspěvcích píše, že mu mluvíš o něčem co vůbec nepsal, o čem nemluvil a podsouváš mu to.
    Ano, někteří trollové takové věci píšou, zpravidla po té, co už poněkolikáté popřeli své předchozí příspěvky. Vy se k nim chcete přidat?

    Ale OK, pokud máte pocit, že jsem nějaké vaše komentáře překroutil, omlouvám se. Napište tedy prosím znova, co jste o tom API chtěl napsat, já budu předchozí debatu ignorovat a odpovím čistě jen na ten nový komentář.

  • 14. 10. 2017 23:26

    Nick Sekáč Magor

    A když se zapojím do nějakého vlákna se svým názorem tak musím automaticky souhlasit se vším tím, co bylo napsáno někým předemnou, protože to prostě máš v hlavě a automaticky mi to "přišiješ"?

    "Napsal jste, že se vám nezdá takové zapojení klientského browseru.". Ano, takové se mi nezdá a na psal jsem i proč. Nic o "že to mají celé zrušit a nedělat nic, nebo že současný stav stačí" a ani nic o "že do toho nemá být browser vůbec zapojen".

    "No tak když si přečtu to, co jste napsal, dozvím se, že se vám na tom něco nelíbí, ale nevíme co, a udělal byste to jinak, ale nevíte jak."

    Mohl bys mi dát link na pravidlo světa, že když se mi něco nelíbí tak musím mít zrovna i hotové řešení? Ostatně jsem napsal co se mi nelíbí. Nelíbí se mi další přenos API na klienta a napsal jsem i 2x proč.

    "A pak jste kritizoval uložení údajů o platební kartě v prohlížeči, což je současný stav"

    To není pravda.

    "Ano, někteří trollové takové věci píšou, zpravidla po té, co už poněkolikáté popřeli své předchozí příspěvky."

    Když se budeš spíš soutředit na to co ti kdo píše a méně na chytračení za každou cenu, i těch trollů ubude ...

    Napsal jsem co jsem napsat chtěl. Je to jenom o několik příspěvků nahoře. Pokud to opravdu hodláš přečíst, není to určitě žádný problém ...

  • 14. 10. 2017 23:58

    Filip Jirsák

    Ne, když se zapojíte do nějakého vlákna se svým názorem, měl byste napsat, co je váš názor.

    Ano, takové se mi nezdá a na psal jsem i proč.
    Jo, akorát jste pořád nenapsal, co je to to „takové“. Pokud chcete, aby si ostatní nemuseli domýšlet, co jste chtěl vlastně napsat, zkuste omezit používání zájmen, která se neodkazují nikam.

    Ostatně jsem napsal co se mi nelíbí.
    No, napsal jste, že se vám nelíbí něco, co vůbec neexistuje.

    Nelíbí se mi další přenos API na klienta
    Přenos API na klienta? Co si pod tím mám představit? Že dnes existuje nějaké API, které není na klientovi, a to API se nově přenese na klienta?

    Zjevně nefunguje metoda, že se budu pokoušet uhodnout, co znamenají ty vaše věty, které se příliš neshodují s realitou. Takže abychom se domluvili, nezbývá, než abyste vysvětlil, co si zhruba tak představujete pod pojmem „přenos API na klienta“.

    "A pak jste kritizoval uložení údajů o platební kartě v prohlížeči, což je současný stav"

    To není pravda.
    Aha, takže přeci jen chcete patřit k trollům, kteří si stěžují na to, že překrucuji jejich slova, načež popřou to, co sami před chvílí napsali.

    Takže komentář „Jako největší problém bych předpokládal to uložení v browseru uživatele ...“ dnes v 15:12 jste nepsal vy? Já jsem psal „uložení“, vy jste napsal „uložení“, já jsem napsal „prohlížeč“, vy jste napsal „browser“ – to je to samé, na tom bychom se snad mohli shodnout; já jsem napsal „údaje o platební kartě“, vy jste nenapsal konkrétně uložení čeho, ale reagoval jste na můj komentář, kde jsem reagoval na komentář o „uložení údajů o platební kartě v prohlížeči“, takže se dá předpokládat, že i vy jste psal o uložení údajů o platební kartě.

    Když se budeš spíš soutředit na to co ti kdo píše a méně na chytračení za každou cenu, i těch trollů ubude ...
    Vy jste psal velmi mlhavé nesrozumitelné věty. Mohl jsem to interpretovat dvěma způsoby – buď to vzít tak, že za tím jsou nějaké myšlenky, které jenom neumíte pořádně zformulovat, a nebo to vzít tak, že jenom blábolíte. Vždycky se snažím postupovat tou vstřícnější variantou, takže jsem zvolil tu první a snažil jsem se uhodnout, co jste tím asi myslel. To se vám nelíbí a trváte na tom, že se má soustředit na to, co jste doopravdy napsal. OK, jdeme na to.

    Každopádně si myslím, že by bylo ideální z processu plateb samozřejmě co nejvíc vyřadit random obchody a co nejméně zapojit klientské a přenést na API bank
    Random obchody vám odpustím. Ale zapojit klientské co? Nezapomněl jste k tomu přívlastku napsat také nějaké podstatné jméno? Co a jak chcete přenášet na API bank?

    Přenos na klientskou stanici je podle mě dost velké riziko
    Přenos čeho?

    Napsal jsem co jsem napsat chtěl. Je to jenom o několik příspěvků nahoře. Pokud to opravdu hodláš přečíst, není to určitě žádný problém ...
    Já jsem to opravdu přečetl. Několikrát. Doufal jsem, že se přeneseme přes to, že jsou to jen tak nahozené bláboly, a že v další diskusi vysvětlíte, co jste tím chtěl sdělit. Trváte ale na tom, že se mám zabývat přesně tím, co jste napsal, tak jsem výše učinil několik dotazů na věci, které vám z těch vašich textů vypadly.

    A příště, až zase budete mít potřebu někoho poučovat o tom, že si má přečíst váš text, přečtěte si ten svůj text nejprve sám.

  • 15. 10. 2017 9:31

    Nick Sekáč Magor

    Jsi zdravý?

    2x jsem ti napsal, že mi vadí, když se platební API přesunje do browseru uživatele, protože zcelého řetězu kudy leze online platba je to ten nejslabší článek.

    Nesouhlas. Mysli si co chceš. Mlč. Řvi. Pindej. Ale co na tom k...a nechápeš, že musíš mlít takové kraviny a podsouvat mi takové krávoviny?

    A srovnávat věty, že když v ní použiju "browser" a tak je to to samé jako každá věta kde je nějaký "brovser/proh­lížeč"? Nejsi retardovaný?

  • 15. 10. 2017 9:49

    Nick Sekáč Magor

    Jo, trvalo mi to ale uý mi to došlo. Takže, podle tebe, pokud neimplementuju vlastní API pro Amazon, Google ... a banky tak nesmím mít názor a když ještě ke všemu nesouhlasí s tvým, tak na to musím mít snad vlastní RFC. A pokud se přece jennom ozvu a nenechám si vnutit nějaké domělé závěry o mém názoru, tak jsem troll?

    Jestli nejsi troll spíš ty, když si vydereš 2 slova z věty a pak o každé větě která obsahuje ty samé slova vrdíš že je ta samá. Možná ne troll ale idi...

  • 15. 10. 2017 14:19

    Filip Jirsák

    Takže, podle tebe, pokud neimplementuju vlastní API pro Amazon, Google ... a banky tak nesmím mít názor a když ještě ke všemu nesouhlasí s tvým, tak na to musím mít snad vlastní RFC.
    Vy si stěžujte, že vám něco podsouvám…

    Názor můžete mít, to vám nikdo nebere. Problém není v názoru, ale v tom, že píšete o jakémsi „přesouvání platebního API“ jako o faktu, přičemž jste si ve skutečnosti jak to přesouvání tak to platební API vymyslel. A nevymyslel jste si to zas až tak dobře, když vás nenapadlo ani to, že byste si u přesouvání měl také vymyslet, odkud se to přesouvá, a u platebního API, co to API dělá a mezi jakými dvěma stranami je to rozhraní.

    A pokud se přece jennom ozvu a nenechám si vnutit nějaké domělé závěry o mém názoru, tak jsem troll?
    Ne, troll jste proto, že jste si vymyslel nějaký nesmysl, a když jsem se nejprve zeptal na detaily toho nesmyslu a následně vyjádřil názor, že je to nesmysl, místo abyste ten nesmysl opravil, začal jste mi podsouvat věci, které nedělám – na rozdíl od vás.

    vydereš 2 slova z věty a pak o každé větě která obsahuje ty samé slova vrdíš že je ta samá
    Kde jsem tohle tvrdil? Aha, nikde, to mi zase jen něco podsouváte. Já jsem tvrdil, že dvě konkrétní věty znamenají prakticky to samé. To je úplně něco jiného, než vámi podsouvané tvrzení, že každá věta obsahující dané slovo, znamená to samé. Pokud ty dvě konkrétní věty, které jsem srovnával, podle vás neznamenají to samé, nemělo by přece být nic jednoduššího, než napsat, v čem je mezi těmi větami rozdíl. Chápu, že to ve vašem konkrétním případě je obtížné, protože ta vaše první věta byla špatně česky a ta druhá věta je jeden z jejich možných překladů do češtiny. Tak jste ale aspoň mohl snažit a nevysvětlovat ten rozdíl na větě, kterou jste napsal, ale na větě, kterou jste chtěl napsat.

  • 15. 10. 2017 13:50

    Filip Jirsák

    Jsi zdravý?
    Ano, jsem, děkuji za optání. To, že moc netušíte, o čem píšete, takže jsou to takové mlhavé nic neříkající věty, není můj problém.

    2x jsem ti napsal, že mi vadí, když se platební API přesunje do browseru uživatele,
    Ano, opakujete to stále dokola, že vůbec netušíte, o čem je řeč, a tak jste si vymyslel pohádku o přesunu jakéhosi platebního API. Musíte ale uznat, že jsem vám dal příležitost vzít ten blábol zpět a napověděl jsem vám, že když píšete o nějakém přesunu někam, měl byste také vědět, odkud se přesouvá.

    Takže si nebudeme dál nalhávat, že jste tou větou o přesouvání platebního API něco myslel. Ne, nemyslel, prostě jste něco plácnul. Takže logicky nemůžete napsat, jaké konkrétní platební API se někam přesouvá, protože žádné takové API neexistujue, A nemůžete napsat ani odkud se přesouvá, protože ani nad tím jste nepřemýšlel.

    Ale co na tom k...a nechápeš
    Nechápu, že pořád melete něco o přesouvání nějakého platebního API, když nedokážete napsat, odkud se přesouvá a o jaké platební API jde.

    podsouvat mi takové krávoviny?
    Já vám ty krávoviny nepodsouvám, tu krávovinu o přesouvání platebního API jste napsal vy sám, na začátku komentáře jste se k tomu přiznal.

    A srovnávat věty, že když v ní použiju "browser" a tak je to to samé jako každá věta kde je nějaký "brovser/proh­lížeč"? Nejsi retardovaný? Vy si stěžujte, že vám něco podsouvám. Kde jsem napsal, že každá věta, kde je napsané browser/prohlížeč, znamená to samé, co jste napsal vy? Nikde. Já jsem srovnával vaše dvě věty:
    • Jenom píšu, že se mi nezdá takové zapojení klientského browseru.
    • Kde jsem napsal že do toho nemá být browser vůbec zapojen?
    Připadá vám, že ty věty mají společné jenom to, že se v nich vyskytuje slovo „browser“? Není to spíš tak, že jednou je v té větě „takové zapojení“, přičemž se to „takové“ neodkazuje k ničemu v předchozím textu, nebo-li je to špatně napsaná věta a čtenáři nezbývá, než si domýšlet, co jste tím „takové“ asi tak mohl myslet? Zatímco v druhé větě je slovo „vůbec“, které, pravda, vylučuej jakékoli „takové“ zapojení. No, myslel jsem, že třeba vysvětlíte, co jste tím „takové zapojení“ myslel. Jenže to jsem vám zase podsunul, že jste tím něco myslel, což byla chyba.
  • 15. 10. 2017 17:26

    Nick Sekáč Magor

    Aha, takže tobě "nemá být zapojen takovým způsobem" připadá jako "nemá být zapojen vůbec"?

    No to se laskavě nech vyšetřit, protože jsi buď naprosto praštěný, nebo jsi se dostal do dalšího stádia trapného trollingu.

    "Nechápu, že pořád melete něco o přesouvání nějakého platebního API, když nedokážete napsat, odkud se přesouvá a o jaké platební API jde."

    Aha, proč to nenapíšeš hned. Já předpokládal, že o tom víš aspoň fň. Ale když ani nevíš co jsou platební API jako např.
    https://developer.paypal.com/docs/api/
    nebo
    Payment Request API tedy umožní uložit data o kartě přímo do prohlížeče

    tak nevím o čem se chceš bavit. Tím se i vysvětluje, proč máš potřebu hledat ve větách nějaké nesmyslné významy. Ale v jednom jsem se opravdu spletl, myslel jsem že tu blbost jenom hraješ abys mohl trolit.

  • 15. 10. 2017 17:51

    Filip Jirsák

    Takovejch řečí, místo abyste přiznal, že o platebních API nevíte vůbec nic a přesouvání do webového prohlížeče jste si vymyslel…

    PayPal jste asi v životě neviděl, tak vám můžu prozradit, že se tam platební údaje zadávají do webové stránky zobrazené ve webovém prohlížeči.

    Payment Request API především umožní zaplatit tak, aniž by se web obchodníka mohl dostat k údajům o platební kartě. Dokonce umožní zaplatit tak, aniž byste vůbec do webového prohlížeče zadával údaje o platební kartě. A bude to integrované přímo v rozhraní prohlížeče, takže nebudete muset řešit, jestli vás web opravdu přesměroval na bezpečnou platební bránu.

    Bavit se není o čem, protože vám vadí, že se platební API přesouvají bůhvíodkud do prohlížeče, což je fikce, kterou jste si vymyslel.

  • 12. 10. 2017 17:59

    j (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Proc by to melo jit vypnout? Soudruzi z chrozilly ti naopak umoznej (samosebou a jak jinak nez anonymne) ty data syncnout na jejich, a samo jejich kamosu servery ...