Juu, typerä ratkaisuhan tuo iframen käyttö on, mutta suurin osa uusista implementaatioista tehdään juuri niin. Siksi olisikin järkevää käyttää korttia, jolla maksu onnistuu ilman pankkitunnuksia, niin ei tarvitse miettiä asiaa. Mutta kukin tekee toki miten haluaa.
Tieto on rahaa ja valtaa nykyään. Tietoja myydään sitten eteenpäin ja tehdään sillä kovaa tiliä.
Voit välittää kiitokset tästäkin EUlle.
EU:han nimenomaan poistaa todellisen tarpeen tällaisille. Tai sitten joudut avaamaan vähän tarkemmin.
Niin siis korjataan sen verran että EU ei vaadi tätä vaan se on mahdollistanut tämän pakottamalla pankit avaamaan rajapintansa. Toki se varmaan on edelleenkin verkkokaupasta kiinni haluaako käyttää laskutukseen firmaa mikä tietoja urkkii?
Varmastikin näin. Ja olen aika varma, etteivät firmat edes tiedosta, millaista urkintapalvelua ostavat tai jopa vielä niin, että palveluntarjoaja muuttaa toimintatapojansa lennossa ilmoittamatta ostajille mitään. Esim just Kesko, tiedän, että siellä ollaan ihan helvetin tarkkoja tietoturvasta ja tietosuojasta, eikä tällainen menisi ikinä läpi, jos siellä oikeat ihmiset tietäisivät, missä mennään. Nyt pitäisi vaan päästä "tietokone sanoo blip blop kaikki on ihqua" aspan läpi... Pienempiä firmoja sit varmaan kiinnostaa tietoturva kuin kilo paskaa.
Kyllä. Ainakin S-Pankilla maksettaessa pankkitunnareita ja tunnuslukus kysyttiin modrium.com sivulla, ei pankin sivulla. En tiedä onko pankkikohtaista vai randomia sitten.
Tuossa on kirjoitusvirhe, eli se on modirum.com.
Kirotusvirehän se. Kokeilin ostaa suklaapatukan:
Joo kuten sanoin niin MITM-proxy, joka on kyllä perseestä. Ilmeisesti sitten pankista kiinni että ohjaako pankin sivuille vai käyttääkö tuota MITM-proxyä.
Joo pankin vaatima tapa on se itse tapahtuma. Eli pankki lähettää Modirumille urlin, jonka kautta käyttäjä voi vahvistaa korttimaksutapahtumansa.
Aika ironista muuten: Kommentti viime päivien tapahtumista (Kommentti Klarnan uutisosiosta Vastaamon tietomurrosta 26.10.2020)
Testasin juuri k-ruokaa ja s-pankkia. Korttimaksua varten tehdään siis se 1€ varmistus ja mobiiliselaimella tuonne palveluun ei tarvitse enää syöttää yhtään mitään. Maksutapa siis hakee kortin tiedoilla oikean käyttäjän ja sivulla näkyy vain "vahvista maksu s-mobiilissa". En siis syöttänyt sivulle yhtään mitään ja s-mobiilissa hyväksyin pelkän maksun, en kirjautumista. Eli tuolla toteutuksella eivät voi mitenkään urkkia tunnuksia tai edes kirjautua/varastaa sessiota. Ainoa mitä hyväksyin oli vahvistus 1€ maksulle (joka on siis tunnistautumista varten).
Mielestäni virtuaaliset pankkikortit olisi parempi ratkaisu. Toteutettuna siten, että voi luoda useita virtuaalikortteja ja määrittää niille saldorajat. Näitä sitten voisi tehdä ja käyttää vaikka jokaiselle käyttökerralle tai palvelulle oma korttinsa. Tosi tämäkään ei ratkaise sitä ongelmaa, että yhä useampi paikka vaatii kortilla maksaessa vahvan tunnistautumisen, joka sitten taas voidaan paskoa tuolla MITM proxyllä tai scrapingilla.
Näissä erona on se, että klarna käyttää PSD2 rajapinnalla tiliäsi ja vaatii siihen valtuutuksen, minkä antaminen tapahtuu nordean sivuilla. Ja jälkimmäinen taas on normaali pankkinappi- tyyppinen maksun vahvistus.
Kuten sanoin viestissä, johon vastasit, niin siinä ei ole ongelmaa JOS hyväksyy maksun S-Mobiililla. Ongelma tulee jos haluaisi vahvistaa maksun tunnuslukutaulukolla (eli jos klikkaat tuota tunnuslukutaulukolla kohtaa) jolloin tunnukset pitäisi kierrättää Modirumin kautta.
Johtopäätökset voi toki olla mitä vaan, mutta niillä on ihan normaalit PSD2 -rajapinnat.
Ajan kuluminen toki tuntuu hitaalta kuin odottelee, mutta ei tuosta ole vielä kuin pari viikkoa
En muista mitä tarkkaanottaen täytin tietopyyntölomakkeeseen, mutta itselleni tuli vastaus suoraan muistaakseni 2-3 viikon kuluttua kun joskus tämän vuoden alussa kyselin. Toimittivat salatun PDF-tiedoston mailitse ja salasanan sen avaamiseen SMS-viestillä. Tiedoissa ei ilmennyt mitään yllättävää.
www.mtvuutiset.fi
Näköjään tietojen kyselyssä on eroa asiallisen firman (Paytrail, Checkout) ja vähemmän asiallisen (Klarna) välillä.
Tällainen ilmoitus tulee itselleni Klarnan kautta maksettaessa eräässä suomalaisessa palvelussa. En todellakaan tuollaisia valtuuksia anna. Tosin itseäni ei ainakaan esim. tuo Paytrailin 15 min valtuutus haittaa kun on selvästi kytköksissä ostokseen.
Jotenkin omituista ja törkeää, että maksudirektiivi edes sallii tuollaisen.Kortilla maksaminen on usein hyvä vaihtoehto, jos kolmannen osapuolen verkkopankkimaksu epäilyttää. Tosin jos korttimaksun hoitaa esim. Klarna, ei sekään ole viimeaikaisten sekoilujen takia kovin houkutteleva vaihtoehto.
Olisikin ihan hyvä saada myös vähemmän terävät käyttämään mobiilivarmennetta. Nykyisin luulevat, että se on toinen nimitys pankin tunnistus- ja vahvistussovellukselle eivätkä ole moisesta kuulleetkaan.
En ole Voita käyttänyt, joten en voi tietenkään olla varma, mutta yleensä tuon tyyppisissä sovelluksissa varmennus tehdään vain ensimmäisen korttimaksun yhteydessä. Tällä pyritään varmistamaan, että korttia käyttää sen oikea omistaja. Vastaavalla tavalla lähimaksujakaan ei voi käyttää, ennen kuin olet kerran käyttänyt korttia sirulla ja syöttänyt PIN-koodin. Tässä on sama idea, eli varmistetaan että kortti on oikealla haltijalla ennen kuin annetaan mahdollisuus tehdä esim. 5 tai 10 pientä maksua.
www.hs.fi
