Chrome 84 blokuje neoznačené cookies třetích stran

Tenhle koncept 3D-secure a externích platebních brán je obecně dost náchylný na blokaci cookies a nebo JavaScriptu. Už na hodně eshopech jsem nezaplatil protože používám Adblock a noscript.

A mBank je kapitola sama o sobě, jejich bankovnictví mnohdy nejde při zapnutém adblocku, takže předpokládám, že teď nepůjde vůbec

Ad-block blokuje konkrétní adresy, které máte uvedené v seznamu. Pokud aplikaci zablokujete přístup k části zdrojů, na kterých je závislá, samozřejmě nebude fungovat. Ale není to chyba té aplikace, nýbrž toho, že ty zdroje blokujete. Když linuxovému programu smažete nějakou sdílenou knihovnu, kterou používá, také nebude fungovat – a není to chyba toho programu.

Používám "noscript" a hlavní problém nevidím v tom, že aplikaci "nepovolím", ale že spousta aplikací prostě používá z mého pohledu "pochybné zdroje", které povolovat prostě nechci - a pak samozřejmě "mám smůlu".
Někdy aby člověk povolil "celej google a celej facebook".
Dost často se střetávám s tím, že obyčejné přihlášení (na stránku, kam mne posílá ouřad) prostě nefunguje, ani když doménu povolím - a nakonec zjistím, že tam je někde Captcha, o které ani není nikde zmínka, protože se nenačetla. (Že nejsem schopný projít ani přes funkční Captcha test je jiná.)

1. Dovolím si doporučit zahodit NoScript a používat radši třeba uMatrix. (+ PrivacyBadger)

2. Ano, ta "schovaná" (=není vidět, že se ji nepodařilo načíst) captcha je pěkný vopruz.

3. A další peklo je, když si nějaký web ukládá nastavení týkající se jeho (vzhled, co zobrazovat, ...) do 3rd party sušenek...

A to je takovým problém dát mBank bránu do výjimek či tato rozšíření na tu chvíli platby deaktivovat?

A to je problém, aby zrovna banka udělala své IB tak, aby nevyžadovalo 40+ externích sledovacích scriptů, 10+ cookies z cizích domén, atd..? Opravdu je takový problém, aby internetové bankovnictví fungovalo v bezpečně nastaveném prohlížeči?

28. 8. 2020, 12:20 editováno autorem komentáře

To je na tom to nejšílenější.

Jeden se snaží mít prohlížeč co nejbezpečnější a když jim pak řekne, že jim ten jejich web nefunguje, tak po něm chtějí, aby si vypnul blokaci všech možných a nemožných šmíráků, 3rd party sušenek, skriptů z kdoví odkud a podobných hrůz...

To je bohuzel realita dnesniho IT (aplikace bezici v cloudu). Nejdrive se manamagement rozhodne, ze pouzije Google analytics. Pak se zjisti, ze to nevraci data ktera manemament ocekava. Tak se ma prida Adobe experience manager jenze to taky nevraci ta "spravna" data tak se prida jeste neco tretiho.

Pak nekdo prijde s tim, ze v ramci bezpecnosti se tam prida jeste nejaky JS backdoor poskytujici internetovou bezpecnost.

jojo, viz. root... google analytics, trackad, adobecosi, navrcholu (to je asi gemius - virus s těma vyskakovacíma popup "anketama"?)
Jasně, že je to realita, právě by se s tím mělo něco dělat a rozhodně něco jiného, než nutit uživatele vypnout bezpečnostní prvky.
Já jsem malinký vývojář ve firmě o jednom vývojáři a nedovolil bych si vypustit něco, co nebylo testováno s uBlockem a uMatrixem... Ta armáda bankovních vývojářů to "neví", že to má testovat? Ostuda fakt.
Ale když byla řeč o mbank, tak abych jim nekřivdil - zrovna tady je to v pořádku. Funguje a nenačítá žádné externí prasečiny

Není to problém, ale dnešní bastliči webů jsou neschopní a líní jak vši. Web zdegeneroval a dostal se někam, kde být neměl. Na primitivní obsah jsou běžně používány molochy, že to prohlížeč ani nestíhá počítat.
A přitom to jde, existuje mnoho webů, které v základní funkcionalitě (spolehlivé prohlížení) jedou i bez javaskriptu. Které to jsou? Třeba velká část e-shopů - obchodník nechá raději udělat web, který pojede vždy, než by přišel o zákazníka. Jak jde o prachy, tak to najednou jde, ale nesmějí to dělat nichtsmochři.

Haha, vůbec se nedivím, že je jako příklad uvedená mBanka. Jejich internetové bankovnictví bych zakázal používat zákonem pod pokutou lynčování a zbavení svéprávnosti. Je to ten největší hnus (i po totálně zpackané grafické/UX stránce), co jsem v bankovnictví mohl vidět. Nemožnost odeslat platbu kvůli trapným chybám v JS je téměř na denním pořádku, s tím že pochybuji, že jim tady model single page app (SPA) nějak výrazně šetří provoz = ať se na to vys*rou, když to neumí! Hlavně, že tam mají absolutní zbytečnosti jako animace přechodu obsahu, dem*nti. Vývojářům a především architektovi, který prosadil SPA, sebrat veškerou techniku, zakázat činnost v oboru, lopatu do ruky a šup sít písek na stavbu, ať proberou svoje ochablé mozky.

Platba bez 3DSecure už v podstatě být nemůže, to by na sebe obchodník musel vzít úplně veškeré riziko podvodu. To si můžou dovolit jen ti největší, jako třeba Amazon.

Podle mě by nejlepší bylo, kdyby pravidla pro 3D-Secure použití iframe ze strany obchodníka zakázala. Jenže to jde zase proti UX výzkumům, které říkají, že iframe má mnohem větší procento dokončených nákupů než vyskakovací okno s potrzvením.

No a nejzajímavější na celém případu samozřejmě je podpora banky, která spustí tradiční pohádku na téma „vymažte cookies, použijte anonymní režim“. Přitom pokud by v mBank monitovali procento nedokončených 3D Secure potvrzení, tohle číslo by jim muselo v průběhu července vyskočit až do stropu – ten problém se totiž týká i obchodu alza.cz.

Nedavno jsem kupoval dva listky na koncert v celkove castce pres 5kKc u livenation a docela jsem se divil kdyz tam zadny 3D secure nebyl a dalsi stranka byla "zaplaceno". Na chvili jsem mel strach zda jsem nenaletel nejakemu phishingu, coz se nastesti nestalo. Takze ne, umi to i "mali" obchodnici...