Маленькие неожиданности Робокассы

    Робокасса выбрала своим девизом «Без перерыва и прочих неожиданностей», неожиданности иногда всё таки случаются, но это проблемы пользователей…

    На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.

    Процесс оплаты для пользователя состоит из двух основных этапов: выбор способа платежа (нас интересует «Оплата со счета в платежной системе ROBOX (по банковской карте)»), где есть галочка «запоминать введённую информацию», но которая почему-то не выполняет свои функции:
    image

    На втором этапе предлагается ввести реквизиты банковской карты. В случае первого платежа эти поля пусты, но вот в случае повторного платежа данные легко получить из результатов прошлого заполнения просто щёлкнув по пустому полю:
    image

    Реквизитами банковской карты можно легко воспользоваться имея доступ к компьютеру или их может утащить программа-вирус. Не хватает только одного параметра: срока действия карты, но т.к. карты обычно выпускают сроком на пару лет, то думаю перебрать пару десятков вариантов не представляется особой проблемой.

    Служба поддержки Робокассы была уведомлена о проблеме, но считает что это проблема клиента. Вот их лаконичный ответ:
    «Поменяйте уровень безопасности в вашем браузере.»

    А решается то проблема очень просто: autocomplete=«off» в html-коде для полей с реквизитами банковской карты.

    Жаль, что каждый из сотен тысяч пользователей должен менять настройки безопасности своего браузера, а не программист платёжной системы один раз ради безопасности всех.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 66
    • +7
      Лишний раз убеждаюсь что Опера делает правильно, не запоминая вообще никакие значения полей пока пользователь сам не попросит это сделать
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            а комиссия сколько у них?
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Так уж всех? Я вот все время на тех же правах «личных рекомендаций» говорю про activepay.ru – интересно было бы узнать разницу в комсе.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              а где про них информацию откопать? ни процентов на сайте, ни описания что да как…
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  В www.smstraffic.ru я неделю назад отправил заявку на подключение. Подождал пару дней и отправил письмо с вопросом почему не отвечают. Пока что ответа не получил.
                  • 0
                    Добрый день, Роман. К сожалению, в своем запросе Вы не указали какие именно услуги Вас интересуют, было указаны только название компании, контактное лицо и телефон. Поэтому письмо попало в нежелательную почту и запрос был обработан менеджером с задержкой. Ежедневно к нам в почтовый ящик сваливается множество запросов 70% из которых спам. Будем впредь Вам признательны за более четко сформулированные требования.

            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Протокол был HTTPS (скриншот обрезан для удобства восприятия) и данные сохранялись.
                • +2
                  Тогда готов поспорить на +1 в карму, что у вас — Google Chrome.
                  Только этот браузер себя так некрасиво ведет при работе через https (больше чем уверен что это также приводит к потенциальному раскрытию данных пользователя).

                  Я даже на райффейзен банк чуть жалобу не начал катать когда столкнулся с таким же поведением. Потом перепроверил и понял что «дело не в бобине...».

                  Кстати нелюбимый всеми IE и старичок FF уже давно не болеют такой фигней.
                  • +3
                    У меня FF последней версии под Linux.
                    • –5
                      хмм… у меня FF portable — там такого нет.
                      правда под Windows. =) может вы зря перешли на «правильную систему» =)
                      • +3
                        FF 3.6 Win XP, я из-за этой фигня незнамо как матерюсь на Робокассу уже какой месяц. Со службой поддержки тоже связывался, мне ответили тоже самое… Это АХТУНГ!!!
                    • +3
                      Создатели сайтов должны учитывать все проблемы браузеров по возможности, тем более когда речь идет про деньги
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    А еще их удивительная система принимает ошибочные платежи. Я как-то ввел не тот номер платежа и деньги ушли. В службе поддержки нахамили и ессно не помогли. Деньги пропали неизвестно где.
                    • +1
                      Если CVV2 не сохраняется — то проблемы и нет.
                      • +1
                        CVV2, к сожалению, сохраняется :(
                        • +2
                          Сохранение CVV2 это нарушение правил оказания услуг по картам. Если есть желание можно посудиться, если нет — то больше не пользоваться.
                          • +5
                            сохраняется не в базе робокассы а в автозапоминалке полей браузера
                      • +1
                        динамически изменяемые имена полей формы спасают от подобной проблемы
                        • +10
                          спасает autcomplete=«off».
                        • +2
                          Как я понимаю, виновата не Робокасса а GateLine.Net, который и выводит форму.
                          • +6
                            Для меня как потребителя внутренняя кухня биллинга не имеет существенного значения, пусть они там хоть голубиной почтой пересылают, лишь бы голуби шифрованные были и не разбалтывали как попугаи конфиденциальные данные.
                            • +1
                              Странный ответ. Так Вы можете и Мозиллу ругать за то что она через окошко своего браузера Вам эту форму показывает.

                              Робокасса сама карты не процессит, Вы вводите данные на совершенно другом сайте. Он и виноват. И на него, по-хорошему, стоит настучать в визу/мастеркард.
                              • +1
                                ну тут виноваты оба, т.к. одни такую фигню творят, другие — допускают на своем сервисе.
                                Все таки человек на сайте Робокассы, а не GateLine
                                • +1
                                  Не спора ради, а информации для — человек таки на сайте гейтлайна:)
                                  habreffect.ru/90a/d5cc2539b/robox.png

                                  • +1
                                    тогда извиняюсь.
                                    хотя все равно советую Робокассе контролировать подобные ситуации, т.к. это дискредитирует их сервис
                                • +1
                                  В интерфейсе Робокассы этот вариант оплаты назван «Оплата со счета в платежной системе ROBOX (по банковской карте)». Является ли GateLine.Line дочерней структурой Робокассы или же это сторонний независимый платёжный партнёр — я не знаю. Но я множесто раз видел что компании создают свои смежные бизнес-проекты, на отдельных доменах.
                            • 0
                              Фаерфокс все время работает в режиме cntrl+shift+p.
                              • 0
                                есть режим у FF, «В тихоря» :)) Извините если написал не правильно… Но в этом режиме он ничего вообще не запоминает!
                                • +1
                                  А еще можно вообще браузер удалить, тоже поможет. :-)
                                • +2
                                  в фф shift+del на предлагаемом варианте автозаполнения
                                  • +2
                                    Спасибо! Главное не забудьте это сделать каждый раз после оплаты!
                                  • +2
                                    Вы из мухи слона раздуваете. Вообще, я тоже много чем в «Робокассе» недоволен (особенно необходимостью нажимать кучу кнопок, излишествами в интерфейсе и перекладыванием комиссии на пользователя), но уж тут вообще грех жаловаться. Это элементарно удобно, потому что запоминать номер карточки и прочее — ужасный гемор.

                                    В общем, истерика на пустом месте, буря в стакане.
                                    • 0
                                      Там в самом первом окошечке есть галочка «запоминать введённую информацию». Я бы не так паниковал если бы она действительно позволяла не запоминать введённую информацию если пользователь опасается за свои реквизиты банковской карты и сохраняла бы, если вам так удобно.
                                      • 0
                                        Насчёт этой галки согласен.
                                        И она, действительно, нифига не работает.

                                        А вы правда думаете, что Robox прислушается?
                                        Не припоминаю такого, они уже глыба.
                                        • 0
                                          >есть галочка «запоминать введённую информацию»
                                          На сколько я помню, по законодательству они просто не имеют права запоминать ваш cvc
                                          • +1
                                            Угу. Только не по законодательству, а по правилам платежных систем visa/masterсard.
                                          • 0
                                            ну может она запоминает на стороне сервера, а не в автокомплите
                                        • +4
                                          Кстати, вы попробуйте там SMS в качестве оплаты послать, вот это хохма :-D
                                          Не отсылайте реально, просто оцените сколько мудохаться надо с этим. Антиюзабилистам и недопрограммерам «робокассы» памятник надо ставить в Аллее Нелепостей.
                                          • +3
                                            Точно такая же проблема два года назад была при оплате с сайта РЖД за билеты, также говорили что надо менять настройки безопасности. В итоге через год сами поправили — теперь на ржд все ок. Херли, большие компании не суетятся.
                                            • 0
                                              Опа, теперь придется отказаться от робокассы, не думал что ТАКИЕ баги у них есть. я встречал только различие тестовой системы от рабочей, на что мне лаконично ответили, что это не баг, а фича.
                                              • 0
                                                ничего страшного, не расстраивайтесь :) считайте, что Вы просто не прошли фейс-контроль на входе в мое заведение и идите в другое :)
                                              • +3
                                                >> Реквизитами банковской карты можно легко воспользоваться имея доступ к компьютеру или их может утащить программа-вирус.
                                                Открою Вам секрет, злой вирус может утащить карту и без auto complete, если Вы хоть раз вводили данные карты.
                                                • 0
                                                  В данном случае вирус может угнать данные в любое время после совершения оплаты, а не только если компьютер заражён в момент покупки.

                                                  Просто если есть подозрения что на компе злой вирус можно воздержаться от покупки или заплатить с другого компьютера, а так приходится надеяться что вируса не будет на компьютере никогда.
                                                  • –1
                                                    Если на вашей машине будет один из нормальных троянов, который ботнетчик будет своевременно обновлять, Вы без детального исследования не определите его наличие или отсутствие. А если Вы знаете что Ваш компьютер заражен — надо его лечить, а не переходить на другую машину.
                                                    После заражения компьютера банковским трояном, все ваши действия логгируются (нажатие клавиш, посещение страниц, ввод данных и паролей и т.д.)
                                                • –1
                                                  PayPal запоминает реквизиты карты. Чтобы заплатить PayPal'ом, достаточно выбрать соответствующий способ платежа, залогиниться в PayPal и нажать OK.

                                                  В Steam то же самое (в том числе покупка на другого пользователя).

                                                  Никто их за это не ругает. Так чем Робокасса плоха?
                                                  • 0
                                                    Я никогда не платил PayPal`ом, но если там такая же ситуация, то мне кажется это ахтунг.
                                                    • +3
                                                      Вы не поняли суть этой проблемы, данные остаются в браузере. В paypal данные хранятся на сервере paypal'а и их могут «угнать» только взломав ваш аккаунт.

                                                      Не пугайте людей PayPal'ом ))
                                                    • –1
                                                      У них сервера на microsoft server?)
                                                      • 0
                                                        это уже реально работающий шлюз, да еще к тому же который карты процессит, там чтобы два слова дописать нужно совещание собрать и выдать разрешение. Я вчера с таким же ахтунгом столкнулся при оплате мобильного на сайте o2 ирландии, так что криворукие везде )
                                                        • +1
                                                          в плане моего отношения к Робокассе, ответ их тех. службы — минус им в карму.
                                                          • 0
                                                            А у них все такие ответы. Хамят жутко по любому поводу. Они Дартаньяны, а все остальные сами знаете кто.
                                                          • 0
                                                            Доброе утро! Дартаньян отвечает Вам :)

                                                            1. Как верно было замечено, форма на Гейтлайне, а не у нас. Мы сами не банк и потому не эквайрер, принимаем пластик через разные шлюзы, через разные банки. В том числе и через шлюз Гейтлайн.

                                                            2. Мое личное мнение, что ничего страшного нет, хотя мы уже обратили внимание Гейтлайна на эту статью. Все мы прекрасно понимаем, что номера карты недостаточно для того, чтобы нанести урон. Нужно знать как минимум еще expiration date, cardholder name и CVC/PIN.
                                                            Я могу дать общественности номер своей личной карты и попробуйте зная только его увести с него деньги :) Есть обоснованные сомнения, что это получится :)

                                                            3. Спасибо за критику :) Нам она всегда нравится :)

                                                            С уважением,
                                                            Олег Покровский, ROBOKASSA
                                                            • 0
                                                              1. Может тогда объясните смысл галочки «запоминать введённую информацию», если всё равно вы работает через разные шлюзы и за них не отвечаете?

                                                              2. Можете тогда наряду с номером своей личной карты опубликовать cardholder name и CVV2, которые сохраняются наряду с номером карты? Думаю проверить пару десяткой комбинаций месяц/год не составит большого труда ;)

                                                              3. Спасибо за ответ. Буду надеяться что ситуация будет меняться к лучшему.
                                                              • 0
                                                                1. смысл галочки в том, чтобы когда Вы второй раз, скажем, пополняете счет мобильного, не вбивать еще раз его номер.

                                                                2. после нескольких отказов моя карта попадет в стоплист, только и всего.

                                                                3. Вообще же рассуждая на эту тему… Наш опыт показывает, что, как говорится, прежде нежели искать сучок в глазу соседа, прежде надо поискать бревно в своем :) А именно, если Вы а) не платите картой на порносайтах б) регулярно проверяете СВОЙ (а не только наш) компьютер на вирусы в) физически не потеряли саму карту

                                                                То можете быть спокойны за Ваши средства на ней!

                                                                4. Еще раз спасибо :)
                                                            • 0
                                                              Нахожу утверждения автора несколько глупыми, уж простите. Все что я думаю написано в других комментариях и повторяться не буду.

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое