Здравствуйте, Tessi, Вы писали:
T>И если бы это был не Adobe, карту бы сразу и заблокировал.
Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
Здравствуйте, Tessi, Вы писали:
vsb>>Ну возможно и возможно, не понятно, почему это вызывает удивление. Так работает банковская система.
T>удивляет это потому, что банки привызают хранить деньги у них, а не под подушкой, потому что это удобнее и — главное — безопаснее T>и, соответственно, я ожидаю, что мои деньги прикрываются слоем защиты — 3DS, CVV2, и моя задача не разглашать эти данные, а задача банка — требовать эти данные с магазинов, чтобы все в этом трехстороннем договоре были согласны на списание денег
T>а по факту оказывается, что какой-то магазин может сам решить, что 3DS ему, к примеру, не нужен T>а другой магаз может с банком за моей спиной договориться, что ему и CVV2 не нужен, и дата не нужна, дай только номер карты T>и правда, зачем владельца денег ставить в известность и о чем-то его спрашивать?
T>да, это вызывает некоторое удивление, потому что ни хрена это не безопасно так, как это декларируют банки
В теории чем меньше данных продавец предоставляет, тем больше ответственности на себя берёт. Иными словами если ты провёл платёж без CVV2, то при отзыве платежа продавцу никто не поверит, что это не фрод. А если ты ввёл 3DS, то уже тебе никто не поверит, что у тебя украли карту и деньги не вернут.
Насколько мне известно для первого платежа некоторому продавцу запрашивается cvv2 и/или 3dsecure, а для последующих платежей — нет.
Иначе бы не работали автоматические списания (у амазона и др. облачных сервисов например).
Здравствуйте, Tessi, Вы писали:
T>Недавно пытался приобщиться к легальным пользователям Adobe Acrobat T>Купил подписку — ввел номер карты, владельца и expiration date карты.
Обычно безакцепнтому списанию с карты предшествуют транзакция покупки / возврата на 1$ или 1 руб
Этой транзакцией вы подтверждаете свое соглашение на безакцепнтое списание средств с вашей карты
... Хорошо уметь читать между строк. Это иногда
приносит большую пользу
Здравствуйте, Tessi, Вы писали:
GIV>И че, сколько бабла умыкнула Adobe и прочие Ozon?
T>Я чутка погуглил — такие права на снятие зачастую дают в том числе отелям.
Давай сначала с Adobe разберемся.
Потом уж обсудим как какой-то отель у кого-то что-то снял.
Недавно пытался приобщиться к легальным пользователям Adobe Acrobat
Купил подписку — ввел номер карты, владельца и expiration date карты.
Ожидал, что на следующей где-то страничке запросят CVV2, но деньги просто списались. Никакого 3DSecure подтверждения тоже не было.
Я так знатно наложил кирпичей, потому что впервые с таким столкнулся. И если бы это был не Adobe, карту бы сразу и заблокировал.
Через пару часов, поигравшись, понял, что Acrobat мне нафиг не вперся и запросил refund — деньги вполне себе вернулись.
Здравствуйте, Tessi, Вы писали:
T>это должен решать не магазин или банк, а владелец денег
Вы не являетесь владельцем этих денег — только собственником. Владеет ими банк, которому Вы предоставили соответствующее право. И банк должен решать, как лучше эти деньги защищать. В идеале, конечно, следовало бы предоставить клиенту выбор, но подавляющее большинство клиентов вполне удовлетворено балансом удобства и безопасности.
Это как с полицией: теоретически, в любом месте и в любой момент может совершиться преступление, в каждом месте необходим полицейский, чтобы своевременно его пресечь. Но практически, вероятность совершения преступления сильно зависит от ряда условий, плотность полицейских на единицу площади тоже подчиняется этой зависимости.
Здравствуйте, Tessi, Вы писали:
_>>Потому что именно так оно проектировалось в самом начале, т.е. это как раз базовый функционал карты. Номер, имя и exp date — минимально необходимый набор для транзакции. А всякие CVV и онлайн авторизацию уже потом прикрутили.
T>а на кой черт их придумывали?
Что бы идентифицировать карту и авторизовать платёж. CVV и 3DS придумали намного позже как раз для повышения безопасности, но не везде они используются и не все банки поддерживают 3DS.
T>если ссаный мелкий сервис по доставке цветов в Мухосранске может решить, что ему 3DS не нужен, они и так спишут
"ссаный мелкий сервис по доставке цветов в Мухосранске" сам ничего не будет решать и делать свою реализацию платежей через интернет, а воспользуется услугами банка или платёжного сервиса. И в случае, если на сайте продавца не поддерживается 3DS, транзакцию легко оспорить.
T>Да-да, скоро 8 марта. Я только вчера заказал онлайн доставку цветов жене — которая совсем в другой стране — и никакого кода в смс с подтверждением мне не запросилось
Было ли на форме ввода данных карты у продавца написано, что они поддерживают 3DS (Verified by Visa, Mastercard SecureCode или что-то подобное)? Поддерживается ли 3DS банком, выпустившим карту и если поддерживается — всегда ли используется или только если сумма превышает некоторое значение?
Здравствуйте, vsb, Вы писали:
vsb>Ну возможно и возможно, не понятно, почему это вызывает удивление. Так работает банковская система.
удивляет это потому, что банки привызают хранить деньги у них, а не под подушкой, потому что это удобнее и — главное — безопаснее
и, соответственно, я ожидаю, что мои деньги прикрываются слоем защиты — 3DS, CVV2, и моя задача не разглашать эти данные, а задача банка — требовать эти данные с магазинов, чтобы все в этом трехстороннем договоре были согласны на списание денег
а по факту оказывается, что какой-то магазин может сам решить, что 3DS ему, к примеру, не нужен
а другой магаз может с банком за моей спиной договориться, что ему и CVV2 не нужен, и дата не нужна, дай только номер карты
и правда, зачем владельца денег ставить в известность и о чем-то его спрашивать?
да, это вызывает некоторое удивление, потому что ни хрена это не безопасно так, как это декларируют банки
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Tessi, Вы писали:
T>>И если бы это был не Adobe, карту бы сразу и заблокировал.
ЕМ>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
тем более, что это делается без ведома владельца денег
Здравствуйте, Tessi, Вы писали:
ЕМ>>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
T>ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
У меня без CVV тоже списывает железная дорога (госкомпания) и Амазон. Чем именно "доверенность" определяется я не уверен
Здравствуйте, GarryIV, Вы писали:
GIV>Здравствуйте, Tessi, Вы писали:
T>>потому что ни хрена это не безопасно так, как это декларируют банки
GIV>И че, сколько бабла умыкнула Adobe и прочие Ozon? GIV>Ну так чтоб маштаб опасности оценить.
За каждым адобе и озоном стоит глючный софт и, главное, люди, которые не всегда могут оказаться добросовестными
Масштаб человеческого фактора, соответственно, оценивай сам
Я чутка погуглил — такие права на снятие зачастую дают в том числе отелям.
Ты готов поставить на то, что мимопроходящий администратор в отеле не воспользуется твоей картой и не свалит в закат?
Или такой кейс. Пока ты гоняешь в недельный тур по горам, где из сигналов только слабый жпс, администратор в отеле, полуясь впн и данными твоей карты, покупает себе на амазон золотой мячик с подписью Рональдини с доставкой в Колумбию.
Ты пока опомнишься и заметишь что-то, ни администратора, ни денег уже давно не будет.
Да, пусть я параноик. Но бл, это мои деньги(!), почему банки ими так легко распоряжаются?
Здравствуйте, Tessi, Вы писали:
T>Купил подписку — ввел номер карты, владельца и expiration date карты.
Потому что именно так оно проектировалось в самом начале, т.е. это как раз базовый функционал карты. Номер, имя и exp date — минимально необходимый набор для транзакции. А всякие CVV и онлайн авторизацию уже потом прикрутили.
Здравствуйте, vsb, Вы писали:
vsb>В теории чем меньше данных продавец предоставляет, тем больше ответственности на себя берёт. Иными словами если ты провёл платёж без CVV2, то при отзыве платежа продавцу никто не поверит, что это не фрод. А если ты ввёл 3DS, то уже тебе никто не поверит, что у тебя украли карту и деньги не вернут.
теория и практика, как известно, не одно и то же
у тебя угнать деньги могут, пока ты бухой валяешься в Египте аллинклюзив и тебе не то, что до оспаривания транзакции, ты смс прочитать не можешь.
А просто достаточно запомнить номер карты.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Tessi, Вы писали:
T>>это должен решать не магазин или банк, а владелец денег
ЕМ>Вы не являетесь владельцем этих денег — только собственником. Владеет ими банк, которому Вы предоставили соответствующее право. И банк должен решать, как лучше эти деньги защищать. В идеале, конечно, следовало бы предоставить клиенту выбор, но подавляющее большинство клиентов вполне удовлетворено балансом удобства и безопасности.
ЕМ>Это как с полицией: теоретически, в любом месте и в любой момент может совершиться преступление, в каждом месте необходим полицейский, чтобы своевременно его пресечь. Но практически, вероятность совершения преступления сильно зависит от ряда условий, плотность полицейских на единицу площади тоже подчиняется этой зависимости.
с полицией плохая аналогия
изнасиловать в переулке или просто украсть пачку печенья из магазина нельзя просто "по памяти"
зато можно запомнить твой номер карты и увести деньги, пока ты чем-то явно занят или вне сети
Здравствуйте, bnk, Вы писали:
bnk>Здравствуйте, Tessi, Вы писали:
ЕМ>>>Примерно так же рассуждают и банки — крупным продавцам, которые не злоупотребляют, разрешают проводить транзакции без подтверждения. Amazon, AliExpress, многие государственные сайты в том же "белом" списке.
T>>ну, лично мое никого не интересующее мнение в том, что это должен решать не магазин или банк, а владелец денег
bnk>У меня без CVV тоже списывает железная дорога (госкомпания) и Амазон. Чем именно "доверенность" определяется я не уверен
а еще по всему миру крупным отелям дают такое право и включают их в белый список
Здравствуйте, m2user, Вы писали:
T>>Как такое возможно? T>>Карта банка Wise
M>Насколько мне известно для первого платежа некоторому продавцу запрашивается cvv2 и/или 3dsecure, а для последующих платежей — нет. M>Иначе бы не работали автоматические списания (у амазона и др. облачных сервисов например).
я на Adobe никогда ничего до этого не покупал и уж точно не этой картой
Здравствуйте, mike_rs, Вы писали:
_>Здравствуйте, Tessi, Вы писали:
T>>Купил подписку — ввел номер карты, владельца и expiration date карты.
_>Потому что именно так оно проектировалось в самом начале, т.е. это как раз базовый функционал карты. Номер, имя и exp date — минимально необходимый набор для транзакции. А всякие CVV и онлайн авторизацию уже потом прикрутили.
а на кой черт их придумывали?
это же время, деньги, геморрой и обманутые клиенты (Подключайте 3DS! Укрепите свою безопасность!)
если ссаный мелкий сервис по доставке цветов в Мухосранске может решить, что ему 3DS не нужен, они и так спишут
Да-да, скоро 8 марта. Я только вчера заказал онлайн доставку цветов жене — которая совсем в другой стране — и никакого кода в смс с подтверждением мне не запросилось
T>а на кой черт их придумывали? T>это же время, деньги, геморрой и обманутые клиенты (Подключайте 3DS! Укрепите свою безопасность!) T>если ссаный мелкий сервис по доставке цветов в Мухосранске может решить, что ему 3DS не нужен, они и так спишут T>Да-да, скоро 8 марта. Я только вчера заказал онлайн доставку цветов жене — которая совсем в другой стране — и никакого кода в смс с подтверждением мне не запросилось
Вот поэтому я весьма ценил PayPal — не нужно сообщать каждому магазину данные карты.
Но потом AliExpress перестал с ним работать
(По идее Qiwi-wallet ближайший аналог, но там комиссии, и он существено менее распространен чем paypal)
Я было настроил на виртуальной карте жесткие лимиты (количество платежей в месяц и т.п.), чтобы предотвратить несанкционированные списания.
Но потом сам же в них уткнулся — неудобно лазить в online банк и менять каждый раз туда-сюда.
Здравствуйте, Tessi, Вы писали:
vsb>>В теории чем меньше данных продавец предоставляет, тем больше ответственности на себя берёт. Иными словами если ты провёл платёж без CVV2, то при отзыве платежа продавцу никто не поверит, что это не фрод. А если ты ввёл 3DS, то уже тебе никто не поверит, что у тебя украли карту и деньги не вернут.
T>теория и практика, как известно, не одно и то же T>у тебя угнать деньги могут, пока ты бухой валяешься в Египте аллинклюзив и тебе не то, что до оспаривания транзакции, ты смс прочитать не можешь. T>А просто достаточно запомнить номер карты.
Я согласен и считаю, что банковские карты и безопасность вообще никак не сочетаются. Но мир такой, какой он есть. Хочешь безопасность — используй paypal, apple pay и подобные обёртки и не вытаскивай карту из сейфа. Всё, что связано с банками — спроектировано 50 лет назад и безопасность там соответствующего уровня. Туда же телефония. Если без карт никак — бери с собой 5 разных карт разных банков, тремя расплачивайся в разных местах, на двух держи сумму, достаточную для решения непредвиденных проблем в чужой стране и не вытаскивай до наступления этих самых проблем. И ещё не помешает налички несколько сотен долларов иметь.
Здравствуйте, vsb, Вы писали:
vsb>Я согласен и считаю, что банковские карты и безопасность вообще никак не сочетаются. Но мир такой, какой он есть. Хочешь безопасность — используй paypal, apple pay и подобные обёртки и не вытаскивай карту из сейфа. Всё, что связано с банками — спроектировано 50 лет назад и безопасность там соответствующего уровня. Туда же телефония. Если без карт никак — бери с собой 5 разных карт разных банков, тремя расплачивайся в разных местах, на двух держи сумму, достаточную для решения непредвиденных проблем в чужой стране и не вытаскивай до наступления этих самых проблем. И ещё не помешает налички несколько сотен долларов иметь.
Так некоторые банки для удобства клиентов убирают необходимость ввода CVV2 и даже подтверждения транзакций через SMSОв для подписок на сервисы при автоматическом списании каждый месяц или еще как там.
К примеру у Сбербанка где-то глубоко в личном кабинете есть спец. флаг — нравится тебе такое удобство для подписок или нет.
Здравствуйте, qqqqq, Вы писали:
Q>К примеру у Сбербанка где-то глубоко в личном кабинете есть спец. флаг — нравится тебе такое удобство для подписок или нет.
ЕМ>Это как с полицией: теоретически, в любом месте и в любой момент может совершиться преступление, в каждом месте необходим полицейский, чтобы своевременно его пресечь. Но практически, вероятность совершения преступления сильно зависит от ряда условий, плотность полицейских на единицу площади тоже подчиняется этой зависимости.
Полиция не бореться с преступностью, а поддерживает ее уровень в заданном коридоре для данной локации. При повышении преступности ужесточают законы и наращивают бюджет, при уменьшении — законы облегчают, а бюджет урезают.
Поэтому наибольее острую реакцию из всех самых страшных преступлений вызывает самосуд.
Что касаемо банков — у них монопольное право на продажу кредитов и удержание денег, лицензия называеться. Пока они соблюдают условия государтсва — могут делать с клиентами и их деньгами, все что угодно.
Здравствуйте, qqqqq, Вы писали:
Q>К примеру у Сбербанка где-то глубоко в личном кабинете есть спец. флаг — нравится тебе такое удобство для подписок или нет.
А где такое, не подскажите? Мне не нравится такое удобство
Здравствуйте, m2user, Вы писали:
vsb>>>paypal
M>А что там с безопасностью?
Это частная лавочка, практически не регулируемая законом. Хочет — проводит платежи, не хочет — не проводит. Хочет — блокирует счет, не хочет — не блокирует.
В среднем по больнице, конечно, редко кто попадает, но известных случаев достаточно много.
M>И какие есть альтернативы?
Любые альтернативы сопряжены с рисками. При платеже за товар PayPal скорее нагнет честного продавца и вернет деньги по запросу покупателя-жулика, а банк скорее пошлет такого жулика. При получении подозрительного перевода на небольшую сумму банк скорее погрозит пальчиком, а PayPal скорее заблокирует учетку.
M>>А что там с безопасностью?
ЕМ>Это частная лавочка, практически не регулируемая законом. Хочет — проводит платежи, не хочет — не проводит. Хочет — блокирует счет, не хочет — не блокирует.
ЕМ>В среднем по больнице, конечно, редко кто попадает, но известных случаев достаточно много.
M>>И какие есть альтернативы?
ЕМ>Любые альтернативы сопряжены с рисками. При платеже за товар PayPal скорее нагнет честного продавца и вернет деньги по запросу покупателя-жулика, а банк скорее пошлет такого жулика. При получении подозрительного перевода на небольшую сумму банк скорее погрозит пальчиком, а PayPal скорее заблокирует учетку.
Но это всё риски стороны принимающей платежи. Про такое в отношении PayPal я и сам слышал.
А с точки зрения оплачивающей стороны всё было относительно неплохо.
Есть конечно Qiwi, но я вспомнил, что мне там не понравилось: для аутентификации была обязательна 2FA (второй фактор — код из SMS; с учетом того, что пароль можно сбросить по телефону, то получается 1 фактор).
У PayPal — достаточно было пароля.
Получается два крайних случая — либо платеж проходит вообще без одобрения (как у ТС), либо требуется проходить полноценную 2FA.
Здравствуйте, Tessi, Вы писали:
T>Как такое возможно? T>Карта банка Wise
Дело в том, что насколько я знаю, по правилам карточных систем и cvv2 и 3DSecure вообще говоря являются необязательными опциями, которые интернет-магазин может использовать, а может не использовать. Если использует, транзакции клиенту сложнее оспорить. Еще конкретный банк с конкретными опциями для карточки может запретить транзакции без cvv2
Из википедиии
Наличие CVV2-кода на карте не является ни необходимым, ни достаточным условием для совершения платежей в Интернете. Запрос CVV2 с одной стороны — это право, а не обязанность продавца. С другой стороны, этот вид транзакций может быть запрещен для конкретного вида карт банком-эмитентом (поэтому не является достаточным).
Для американских продавцов, кстати, характерно, что они могут не заморачиваться ни с 3D, ни даже с cvv2. Ну карточная культура там у них такая.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>>>paypal
M>>А что там с безопасностью?
ЕМ>Это частная лавочка, практически не регулируемая законом. Хочет — проводит платежи, не хочет — не проводит. Хочет — блокирует счет, не хочет — не блокирует.
К безопасности это не имеет отношения. Безопасность это когда в очереди Зоркий Глаз подсмотрел мой номер карты и потом купил с помощью этого номера что-то. С paypal этого не произойдёт, там нормальная современная двухфакторная аутентификация.
Процитированное это скорей про удобство использования. В общем-то банки хоть и регулируются законом, но лично у меня банк запрещал транзакции нередко, paypal — никогда. Счёт мой банк блокирует по первому свистку налоговой, paypal тоже никогда не блокировал. Так что это всё субъективно.
