Недавно пытался приобщиться к легальным пользователям Adobe Acrobat
Купил подписку — ввел номер карты, владельца и expiration date карты.
Ожидал, что на следующей где-то страничке запросят CVV2, но деньги просто списались. Никакого 3DSecure подтверждения тоже не было.
Я так знатно наложил кирпичей, потому что впервые с таким столкнулся. И если бы это был не Adobe, карту бы сразу и заблокировал.
Через пару часов, поигравшись, понял, что Acrobat мне нафиг не вперся и запросил refund — деньги вполне себе вернулись.
Здравствуйте, Tessi, Вы писали:
T>И если бы это был не Adobe, карту бы сразу и заблокировал.
Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
Здравствуйте, vsb, Вы писали:
vsb>Ну возможно и возможно, не понятно, почему это вызывает удивление. Так работает банковская система.
удивляет это потому, что банки привызают хранить деньги у них, а не под подушкой, потому что это удобнее и — главное — безопаснее
и, соответственно, я ожидаю, что мои деньги прикрываются слоем защиты — 3DS, CVV2, и моя задача не разглашать эти данные, а задача банка — требовать эти данные с магазинов, чтобы все в этом трехстороннем договоре были согласны на списание денег
а по факту оказывается, что какой-то магазин может сам решить, что 3DS ему, к примеру, не нужен
а другой магаз может с банком за моей спиной договориться, что ему и CVV2 не нужен, и дата не нужна, дай только номер карты
и правда, зачем владельца денег ставить в известность и о чем-то его спрашивать?
да, это вызывает некоторое удивление, потому что ни хрена это не безопасно так, как это декларируют банки
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Tessi, Вы писали:
T>>И если бы это был не Adobe, карту бы сразу и заблокировал.
ЕМ>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
тем более, что это делается без ведома владельца денег
Здравствуйте, Tessi, Вы писали:
vsb>>Ну возможно и возможно, не понятно, почему это вызывает удивление. Так работает банковская система.
T>удивляет это потому, что банки привызают хранить деньги у них, а не под подушкой, потому что это удобнее и — главное — безопаснее T>и, соответственно, я ожидаю, что мои деньги прикрываются слоем защиты — 3DS, CVV2, и моя задача не разглашать эти данные, а задача банка — требовать эти данные с магазинов, чтобы все в этом трехстороннем договоре были согласны на списание денег
T>а по факту оказывается, что какой-то магазин может сам решить, что 3DS ему, к примеру, не нужен T>а другой магаз может с банком за моей спиной договориться, что ему и CVV2 не нужен, и дата не нужна, дай только номер карты T>и правда, зачем владельца денег ставить в известность и о чем-то его спрашивать?
T>да, это вызывает некоторое удивление, потому что ни хрена это не безопасно так, как это декларируют банки
В теории чем меньше данных продавец предоставляет, тем больше ответственности на себя берёт. Иными словами если ты провёл платёж без CVV2, то при отзыве платежа продавцу никто не поверит, что это не фрод. А если ты ввёл 3DS, то уже тебе никто не поверит, что у тебя украли карту и деньги не вернут.
Здравствуйте, Tessi, Вы писали:
T>это должен решать не магазин или банк, а владелец денег
Вы не являетесь владельцем этих денег — только собственником. Владеет ими банк, которому Вы предоставили соответствующее право. И банк должен решать, как лучше эти деньги защищать. В идеале, конечно, следовало бы предоставить клиенту выбор, но подавляющее большинство клиентов вполне удовлетворено балансом удобства и безопасности.
Это как с полицией: теоретически, в любом месте и в любой момент может совершиться преступление, в каждом месте необходим полицейский, чтобы своевременно его пресечь. Но практически, вероятность совершения преступления сильно зависит от ряда условий, плотность полицейских на единицу площади тоже подчиняется этой зависимости.
Насколько мне известно для первого платежа некоторому продавцу запрашивается cvv2 и/или 3dsecure, а для последующих платежей — нет.
Иначе бы не работали автоматические списания (у амазона и др. облачных сервисов например).
Здравствуйте, Tessi, Вы писали:
ЕМ>>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
T>ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
У меня без CVV тоже списывает железная дорога (госкомпания) и Амазон. Чем именно "доверенность" определяется я не уверен
Здравствуйте, GarryIV, Вы писали:
GIV>Здравствуйте, Tessi, Вы писали:
T>>потому что ни хрена это не безопасно так, как это декларируют банки
GIV>И че, сколько бабла умыкнула Adobe и прочие Ozon? GIV>Ну так чтоб маштаб опасности оценить.
За каждым адобе и озоном стоит глючный софт и, главное, люди, которые не всегда могут оказаться добросовестными
Масштаб человеческого фактора, соответственно, оценивай сам
Я чутка погуглил — такие права на снятие зачастую дают в том числе отелям.
Ты готов поставить на то, что мимопроходящий администратор в отеле не воспользуется твоей картой и не свалит в закат?
Или такой кейс. Пока ты гоняешь в недельный тур по горам, где из сигналов только слабый жпс, администратор в отеле, полуясь впн и данными твоей карты, покупает себе на амазон золотой мячик с подписью Рональдини с доставкой в Колумбию.
Ты пока опомнишься и заметишь что-то, ни администратора, ни денег уже давно не будет.
Да, пусть я параноик. Но бл, это мои деньги(!), почему банки ими так легко распоряжаются?
Здравствуйте, Tessi, Вы писали:
T>Купил подписку — ввел номер карты, владельца и expiration date карты.
Потому что именно так оно проектировалось в самом начале, т.е. это как раз базовый функционал карты. Номер, имя и exp date — минимально необходимый набор для транзакции. А всякие CVV и онлайн авторизацию уже потом прикрутили.
Здравствуйте, vsb, Вы писали:
vsb>В теории чем меньше данных продавец предоставляет, тем больше ответственности на себя берёт. Иными словами если ты провёл платёж без CVV2, то при отзыве платежа продавцу никто не поверит, что это не фрод. А если ты ввёл 3DS, то уже тебе никто не поверит, что у тебя украли карту и деньги не вернут.
теория и практика, как известно, не одно и то же
у тебя угнать деньги могут, пока ты бухой валяешься в Египте аллинклюзив и тебе не то, что до оспаривания транзакции, ты смс прочитать не можешь.
А просто достаточно запомнить номер карты.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Tessi, Вы писали:
T>>это должен решать не магазин или банк, а владелец денег
ЕМ>Вы не являетесь владельцем этих денег — только собственником. Владеет ими банк, которому Вы предоставили соответствующее право. И банк должен решать, как лучше эти деньги защищать. В идеале, конечно, следовало бы предоставить клиенту выбор, но подавляющее большинство клиентов вполне удовлетворено балансом удобства и безопасности.
ЕМ>Это как с полицией: теоретически, в любом месте и в любой момент может совершиться преступление, в каждом месте необходим полицейский, чтобы своевременно его пресечь. Но практически, вероятность совершения преступления сильно зависит от ряда условий, плотность полицейских на единицу площади тоже подчиняется этой зависимости.
с полицией плохая аналогия
изнасиловать в переулке или просто украсть пачку печенья из магазина нельзя просто "по памяти"
зато можно запомнить твой номер карты и увести деньги, пока ты чем-то явно занят или вне сети
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, Tessi, Вы писали:
ЕМ>>>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
T>>ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
bnk>У меня без CVV тоже списывает железная дорога (госкомпания) и Амазон. Чем именно "доверенность" определяется я не уверен
а еще по всему миру крупным отелям дают такое право и включают их в белый список
Здравствуйте, m2user, Вы писали:
T>>Как такое возможно? T>>Карта банка Wise
M>Насколько мне известно для первого платежа некоторому продавцу запрашивается cvv2 и/или 3dsecure, а для последующих платежей — нет. M>Иначе бы не работали автоматические списания (у амазона и др. облачных сервисов например).
я на Adobe никогда ничего до этого не покупал и уж точно не этой картой
Здравствуйте, mike_rs, Вы писали:
_>Здравствуйте, Tessi, Вы писали:
T>>Купил подписку — ввел номер карты, владельца и expiration date карты.
_>Потому что именно так оно проектировалось в самом начале, т.е. это как раз базовый функционал карты. Номер, имя и exp date — минимально необходимый набор для транзакции. А всякие CVV и онлайн авторизацию уже потом прикрутили.
а на кой черт их придумывали?
это же время, деньги, геморрой и обманутые клиенты (Подключайте 3DS! Укрепите свою безопасность!)
если ссаный мелкий сервис по доставке цветов в Мухосранске может решить, что ему 3DS не нужен, они и так спишут
Да-да, скоро 8 марта. Я только вчера заказал онлайн доставку цветов жене — которая совсем в другой стране — и никакого кода в смс с подтверждением мне не запросилось
T>а на кой черт их придумывали? T>это же время, деньги, геморрой и обманутые клиенты (Подключайте 3DS! Укрепите свою безопасность!) T>если ссаный мелкий сервис по доставке цветов в Мухосранске может решить, что ему 3DS не нужен, они и так спишут T>Да-да, скоро 8 марта. Я только вчера заказал онлайн доставку цветов жене — которая совсем в другой стране — и никакого кода в смс с подтверждением мне не запросилось
Вот поэтому я весьма ценил PayPal — не нужно сообщать каждому магазину данные карты.
Но потом AliExpress перестал с ним работать
(По идее Qiwi-wallet ближайший аналог, но там комиссии, и он существено менее распространен чем paypal)
Я было настроил на виртуальной карте жесткие лимиты (количество платежей в месяц и т.п.), чтобы предотвратить несанкционированные списания.
Но потом сам же в них уткнулся — неудобно лазить в online банк и менять каждый раз туда-сюда.
Здравствуйте, Tessi, Вы писали:
T>Недавно пытался приобщиться к легальным пользователям Adobe Acrobat T>Купил подписку — ввел номер карты, владельца и expiration date карты.
Обычно безакцепнтому списанию с карты предшествуют транзакция покупки / возврата на 1$ или 1 руб
Этой транзакцией вы подтверждаете свое соглашение на безакцепнтое списание средств с вашей карты
... Хорошо уметь читать между строк. Это иногда
приносит большую пользу