Комментарии 138
Вот бы добавили больше технических деталей, это SSL сертификаты или нет, есть ли риск компрометации секретных ключей у устаревших сертификатов
Это не SSL - это отдельная "банковская" тема. Истекают сроки действия у части сертификатной инфраструктуры внутри самих карт.
Скорее всего дело в Issuer Public Key Certificate - сертификате, который по факту подтверждает что карта - это то, за что она себя выдаёт. Он подписан сертификатом выпустившего карту банка, который подписан другим сертификатом, и так далее, и так далее - пока это не стукается в корневой сертификат платёжной системы. И вот часть таких корневых сертификатов истекает 1 января 2025 года. Вместе с корневым сертификатом истекают все сертификаты ниже него.
Технически должно быть возможно для конкретно этих сертификатов отключить проверку дат истечения, и работать дальше. На практике это может потребовать периода адаптации. Если нам повезло, то в банках люди занимались этим в 2024 году, и сейчас всё уже готово.
Технически должно быть возможно для конкретно этих сертификатов отключить проверку дат истечения, и работать дальше.
Но зачем? Везде, где нужна именно международная карта - эту проверку отключать не будут (или это исключительно от банка-эмитента зависит, а не от того, с которого платеж начинается?), а внутри можно и на МИР заменить.
Везде, где нужна именно международная карта...
...карта, выпущенная в России, работать и так не будет
Есть места где чтобы заменить на МИР...надо добавить поддержку этой замены (некоторые очень старые продукты одного крупного банка где карты изначально выданы еще до СВО сдохли по сроку давности но вот только новые карты к этому продукту выдать можно было только VISA/MC, при этом мигрировать клиентов на более новый продукт не всегда удобно, насколько в курсе - поправили тем что в 2023 добавили выпуск карт МИР конкретно для этого продукта). А еще есть места где даже не шевелились (тот же Тиньков с виртуалками привязанными к Тиньков Мобайлу - правда там виртуалка которая (С учетом неработы Google Pay/Samsung Pay/Apple Pay) работает только онлайн)
Не забывай что платежи в самой России проходят только в нутри её и это имеется ввиду проверки на уровне терминала банкомата когда ты оплачиваешь твоя транзакция шифруются приватным ключём который лежит у тебя на карте и у сертификата есть срок действия им можно будет пользоваться но нужно внести каждый хешь этот сертификата в определенное место чтобы проверка срока действия не отклоняло операции по причине истек срок действия его а заменить они не могут так как он зашит и не подлежит замене тебе же карту должны заменить по идее на новую после истечения срока действия
Запятые, pls? Читать же невозможно.
И вопрос был - зачем какие-то проверки вообще отключать или сертификаты трогать, если можно тупо заменить пластик системы Visa на пластик системы МИР, оставив все остальное как есть. Какие-нибудь хитрые и плюшки на существующих Visa есть? Ну так сделать пачку карт МИР с теми же тарифами и плюшками.
И вы готовы эту замену оплатить?
И вы готовы эту замену оплатить?
Эти карты, с истекшими сертификатами внутри - уже c вышедшим сроком годности (сертификат внутри чипа, очевидно, не может кончаться раньше чем дата годности самой карты) и должны были бы быть заменены по штатной процедуре и из штатных бюджетов на перевыпуск карт с истекшим сроком годности.
Проблема в том, что мир не идеален. Если об этой проблеме пишут, получается, что не все так просто, и где-то еще есть корнер-кейсы, из-за которых приходится заморачиваться.
Карты заменить ладно, но наверняка есть устаревшие POS терминалы, владельцы которых обновляться не торопятся (потому что деняк стоит).
Еще наверняка есть куча легаси софта в банках и т.д. - как написано выше, у кого-то банковские продукты могут выпускаться только в приявзке к Визе/МС.
В статье написано, что не так:
даже карты с ещё не истёкшим сроком действия могут получить такую проблему, потому что не обновлён корневой сертификат visa а не серт самой карты.
(Вот серт карты не должен истекать до конца срока действия карты, тут вы правы)
но в целом вы правы - замена этой карты в любом случае планировалась
Вот в том и проблема что есть ситуации когда нельзя заменить (ну или слишком дорого). Причем причины могут быть ну совсем не очевидными обычному пользователю. Совсем тупо заменить пластик - нельзя. Ну для начала и совсем совсем просто - в приложении и на сайте какие должны логотипы ПС отображаться для замененной карты? А номер у нее какой должен быть? старый от VISA? Тогда терминалы не поймут такую вот VISA (у МИР'а свой диапазон номеров). С MirPay оно должно работать или нет? Если да - как быть с тем что бэк который умел с GooglePay/SamsungPay/ApplePay работать - совсем не факт что умеет с MirPay?
В более менее новом софте - возможность делать основные/допки МИР - предусмотрена. Но вот бывает старый. Очень старый.
Проблема в том что это значит что будут расходы на переделывания договоров так как у многих нет замены самой карты от счета карты и например у альфа т банка ты можешь добавить несколько карт к одному счету и у них проблем нет у сбера есть частично эта функция поэтому это сложно сделать и самое главное это стоит денег и кто будет платить за эту работу это делает не один человек в банке
Вы так говорите, будто до 24.02.2022 карты никогда не истекали и их не приходилось менять на новые.
Если я правильно понимаю аргументы ответивших мне - проблема в том, что когда меняешь карту на карту той же платежной системы - то, грубо говоря, счет продолжает обрабатываться тем же сервером, где обрабатывался, и поэтому разные интеграции не ломаются - они на подобную замену рассчитаны и все нужные протоколы написаны и отлажены.
А если Visa менять на МИР - то, в этой же аналогии, счет (и деньги с него) должен переехать в соседний сервер и внешним системам надо переключаться на другой протокол. Чего никто не предусматривал.
отключить проверку дат истечения, и работать дальше
Звучит как огромное РЕШЕТО в безопасности?..
так и сделали, у меня продолжают работать карты visa и master, у которых сроки годности истекли в апреле и июне 2024го
но куча ресурсов их из-за этого не принимает
Не совсем понятна проблема... Ну осталось на руках некоторое количество карт с логотипами VISA и МС, надо заменить их в связи с истечением срока действия на МИР, все равно они уже не обслуживаются исходными платежными системами. И всё...
Это же надо в банк идти и в каком нибудь сбере еще 5-7 дней ждать выпуск карты. Лучше пусть работает старая
еще 5-7 дней ждать выпуск карты.
Все банки, с которыми сталкивался - перевыпускали карты взамен 'с истекшим сроком...' заранее. Поэтому нужно только сходить.
Мне ни Сбер (Молодёжная Visa), ни Газпром (Visa с ISIC-удостоверением), ни QIWI (Visa), ни Мегафон (Mastercard), ни Тинькофф (Visa Black и Gayming Visa), ни Райф (Mastercard) так ничего взамен за два с половиной года не принудили и не предложили ни в пушах, ни по какой-либо почте (реклама не считается).
Мне Сбер карту Visa, у которой срок действия закончился в марте 2024, просто продлил на 2 года, заменив виртуально одну цифру в трехзначном коде на обратной стороне карты.
Это они так сначала говорят. А потом придет смс: ваша карта перестаёт действовать со следующего месяца. Мы уже выпустили вам новый дивный Мир.
Закрыть его онлайн не дадим, можно попытаться, только придя лично в отделение.
Закрыть все-таки можно и не приходя в отделение. Надо только в ЦБРФ и Администрацию Президента жалобы направить (одного ЦБРФ недостаточно).
Несколько дней ждать, это если с заказным дизайном или региональную (типа Единой карты петербуржца), обычную дебетовку обещают за 2 часа привезти, еще и онлайн заказать можно. Остальные банки тоже сейчас быстро делают.
Мода на разреженный дизайн выбешивает, если честно. Столько пустого места - зачем?
Блин, Сбер уже на сертификаты от Минцифры перешел, браузер ругается...
Моментальную неименную сберкарту они выдают на руки сразу.
Ждать надо только физический пластик, карта в банковском приложении работает сразу после перевыпуска, её можно не отходя от кассы привязать в мир пей (любое другое платёжное приложение) и использовать. Мне даже реквизиты карты в бухгалтерии работодателя обновлять не пришлось, старые сохранились.
Но конечно я описываю свой опыт со сбором, все же лучше уточнить условия перевыпуска карты в банке.
Есть еще места где NFC не работает, а СБП через раз.
Ну дык через сбп тоже никаких проблем, карта же активна сразу, подключай к сбп и используй. И qr кодами тоже можно сразу оплачивать.
Но если нужно исключительно физический пластик то могут быть и проблемы, согласен. Но я уже несколько лет как у себя в городе не встречал такого чтобы NFC не работало. Разве что на рынке, но и там уже в 100% случаев можно просто по номеру телефона перевод сделать.
И всё...
Например у Сбера старый Моментус позволяет им бесплатно пользоваться без необходимости покупок через него- с новыми дебитными картами от Сбера такое не прокатывает.
А зачем брать карту, если не пользоваться ею для покупок? ;)
Просто раньше карты сберовские брали второй-третьей, чтобы без комиссии перекидываться деньгами между физиками, сейчас есть СБП, и это уже не нужно, можно с карты любого банка на любую другую перекидывать.
А зачем брать карту, если не пользоваться ею для покупок? ;)
Чтобы налом "большие" деньги не хранить. Я старомоден: либо плата налом, либо через промежуточную виртуальную карту (больше чем выделишь - не потратишь).
Кажется, сейчас этот сценарий с лихвой решается открытием счета без карты. Переводы можно делать любые, обслуживание нулевое, разве что только переводы через СБП получать на счёт нельзя.
СБП от наличия карты не зависит, если есть счет в банке и привязан телефонный номер, то по телефонному номеру можно переводить по СБП. Сам так делал не раз и в нескольких банках.
А вот вносить/забирать наличку с помощью карты и банкомата очень удобно.
Но если нужен Сбербанк онлайн (для тех или иных манипуляций) то просто счета недостаточно чтоб туда входить
Зачем три раза? У меня родители ровно 1 раз ходили в сбер для открытия, сделали все сразу (и это было довольно давно). А после получения карточки там все (даже включить дистанционное обслуживание) можно сделать через их банкомат.
Судя по всему это проблема конкретного отделения. И от банка не зависит. Я таких сотрудников и в альфе и в втб видел (и что характерно, только один раз).
Да все это и есть анекдоты и мемасики. Сбер самый популярный банк, поэтому чисто статистически про него будет больше всего жалоб.
У меня за 15 лет не было со Сбером ни одной проблемы. А вот какой-нибудь ВТБ, с другой стороны, до сих пор не может мне кредитку закрыть спустя 5 лет. Они ее сначала открыли, потом потеряли где-то в базе (из-за чего на ней не росли лимиты и автоматика давала отбой на попытки это сделать вручную), потом "закрыли" ее и убрали из личного кабинета, но при этом оставили - НБКИ видит, что карта существует... Цирк, короче.
Тинькофф тоже тот еще квест: карту закрыть - это как через рынок в начале нулевых продираться, через чат они этого делать не хотят, начинают звонить и уговаривать. Уговаривать долго и упорно, прямо устаешь, по голосу слышно, сколько там еще пунктов в чек-листе, где-чего предложить в надежде удержать клиента.
Сбер не рыночным образом поимел своё положение на рынке, даже криминальным, так сказать... Какой смысл сравнивать наследников аморальных мразей, кто украл целые отрасли сраны с честным бизнесом. Сбер и прочие экс советские шаражки прокляты миллионами людей во многих поколениях, работать там - себя не уважать.
Мне пока что не удалось расторгнуть договор с тиньковым.
Хотя в чате было написано что все завершиться 5 октября. Скрины сохранил на всякий случай.
А вот карты, вроде бы как закрыли без проблем. Звонки может и были, но на неизвестные номера не беру трубку.
Могу ошибаться, но вроде юридически у них в регионах были разные банки (один банк на нескольько областей) В этом отношении Сбер был одним из самых проблемных банков. Там даже между отделениями не все бесшовно долго было. Многие вопросы модно было решить только в отделении, где открывался счет.
Ну в рекламе много всякой ерунды показывают. Этим не только сберовская грешит.
А вот географическая фрагментированность сбербанка долго доставляла.
Ага, в рекламе это банк основанный чуть ли не Петром I с отделениями от моря до моря, а на деле это не мы, по долгам советского сбербанка не отвечаем
Да, противоречат сами себе, и нету на самом деле никакой преемственности, кроме госмонополии. И свои долги клиентам они давно простили.
отделения, в 200 метрах друг от друга по разные стороны МКАДа, хоть и называются Сбербанк, но это разные банки и вообще, где карту получали, туда и идите.
Неск. лет назад они именно так и работали. "В региональную сеть СберБанка входят 11 территориальных банков с 12 тыс. подразделений в субъектах РФ" (цитата с их сайта). Но кажись с 2020г. у них единые услуги для всех регионов. Раньше это было большой проблемой (даже комиссионные отчисления были при переводе из одного региона в др.); а сейчас я легко могу производить любые операции со своими счетами и картами в любом регионе.
Я в ЧелябИнвесте не смог закрыть старый студенческий счет, находясь в другом городе (решил почистить хвосты). "Вот где счет открывали, там и закрывайте, а у нас лапки"
до недавнего времени были комиссии за снятие нала в сбербанке же, но в другом регионе
Даже интересно стало, когда это было, поскольку сам часто снимал в других регионах, и отмена комиссии была очень кстати ;)
С 1 октября Сбербанк России отменит комиссию по картам VISA Classic, Gold и MasterCard Mass, Gold за снятие наличных в других территориальных банках Сбербанка.
Дата: 07.09.2007 Источник: Прайм-ТАСС
А полностью "банковский роуминг" был отменен вроде как в 2020 году, 5 лет назад.
Ваши слова о вашем личном опыте против личного опыта моего и моих родственников. Кому же верить...
Возможно, сейчас что-то поменялось, но раньше чтобы попасть в интернет-банк требовалось карту выпускать
Это от банка зависит. В некоторых интернет-банк не привязан к карте, отдельно выдается доступ к онлайн кабинету.
Возможно, сейчас что-то поменялось, но раньше чтобы попасть в интернет-банк требовалось карту выпускать,
Я пес его знает, но вроде для первого входа сейчас достаточно номера телефона.
Если первый вход был через номер карты, то потом настраивается вход через логин и пароль, и карту можно закрыть.
Т.е. теперь гопнику даже номер карты знать не надо, достаточно дать по голове жертве и переставить симку в свой телефон, чтобы получить доступ к чужим деньгам?
Как быстро люди забыли про существование PIN кода, который можно устанавливать пиоизвольно, причем карта блокируется после пяти неудачных попыток (счетчик неудачных попыток не сбрасывается ни удачным входом, ни по времени).
Впрочем, номер банковской карты добывается так же, как и сим-карта, вместе с банаовской картой.
А сейчас физические карты кто-то ещё таскает?
Достаточно многие. В частности потому, что при оплате телефоном периодически возникают проблемы.
Я не знаю, что у них там деградирует, но некоторые терминалы отказываются взаимодействовать с nfc телефона, разными стикерами, кольцами. А карты - завсегда пожалуйста.
А что за телефон? Китайский?
Телефон любой. Недавно наблюдал на кассе самообслуживания в магазине. Все, кто не с картами, пробовали, ругались. У кого карты обычные были, доставали и платили. Остальные шли на обычную кассу платить наличкой или уходили без покупки.
Еще в автобусе Было. Причем в другом точно таком же автобусе и карты, и телефоны, и стикеры работали.
Я не знаю, что у них там деградирует, но некоторые терминалы отказываются взаимодействовать с nfc телефона, разными стикерами, кольцами. А карты - завсегда пожалуйста.
Я с не смог использовать сберовский стикер в метро и супермаркете (еще в др. местах потом проверю), хотя в прошлом году было все нормально. В НФЦ-приложениях на смартфоне стикер определяется. С нормальными картами Мир оплата всегда пока проходила нормально. У меня есть еще карта Виза (использую для интернет-магазинов), н.б. ее тоже проверить.
Если рядом с Питером, то можно заказать единую карту петербуржца. Её в том числе и Сбербанк поддерживает. И будет у вас карточка от сбербанка без платы за обслуживание
Если бы они еще хотели менять, вон в ноябре Сбер прислал сообщение что продлил срок действия физической Мастеркарт с 12/24 на 12/29. Около трех лет прошло, а они еще таким занимаются...
В другом банке пришлось самостоятельно менять на Мир т.к. кешбэк был только на Мир.
Так написано же: срок действия карты не равен сроку действия сертификата.
Вообще вся эта ситуация с отключением платёжных систем обнажила, насколько "пустое" требование о сроке действия карт.
По факту оно сейчас существует только потому, что за него любят топить производители чипов и пластика. Практических препятствий к сроку службы в 20 лет нет.
А ещё покойный перестал жаловаться на головные боли.
Срок действия карты это про защиту от похищения данных карты. Отключение платёжных систем значительно сократило количество таких преступлений. Нужно ли объяснять почему так произошло?
Срок действия карты это про защиту от похищения данных карты.
Из чипа? Это как, если человек не решил забить на то, что у него физическая карта куда-то пропала? Нет, я допускаю, что кто-то исхитриться восстановить приватные ключики чипа по публичным - но тут мне, кажется, нужно на срок несколько более единиц лет рассчитывать.
А если речь идет про те, что вне чипа хранятся, то за то, что их хищение представляет какую-то опасность - это нужно платежные системы и банки больно бить регулированием.
Самый надёжный способ защиты от похищения денежных средств с банковских карт - запрет на изготовление, распространение и использование банковских карт.
Помимо чипа карта содержит (сейчас не обязательно, но ещё совсем недавно обязательно) магнитную полосу и CVC/CVV для покупок онлайн. Эти механизмы нужны не для того чтобы обокрасть вас, а чтобы вы могли что-то купить онлайн или в другой стране (где не начали принимать чип повсеместно) или если ваш чип внезапно сломался в самый неудачный момент.
Процесс отказа от некоторых потенциально опасных механизмов идёт, например отказ от магнитной полосы, но если сделать его моментальным, то это будет плохо почти для всех.
CVC/CVV для покупок онлайн. механизмы нужны не для того чтобы обокрасть вас
Вот за этот механизм и нужно бить. Сделать так, чтобы компьютер/смартфон (и соответственно, браузер/платежный сайт/банковское приложение) мог пообщаться с чипом карты - не так уж и дорого. Соответствующие ридеры - дешевые при массовом внедрении.
И да, оно придуман именно для того, чтобы 'обокрасть'. Более бестолковый способ, чтобы напечатать атрибуты одобрения платежа на куске пластика, который всем показывается - сложно было придумать. То что тот же Paypal возник - доказывает, что платежные системы с задачей системы онлайн платежей совершенно не справились.
Вы не понимаете когда это всё было внедрено, масштаб и сложность системы.
Если у вас смартфон, то вы вообще можете пользоваться виртуальными картами и никакой пластик раз в три года не перевыпускать.
когда это всё было внедрено, масштаб и сложность системы масштаб и сложность системы.
Кто бы сомневался. Платежные системы посмотрели "а что тут все сложно и дорого, переделывать" и перекинули риски на пользователей: "номер карты не запоминать, не отображать, потому что секрет (всем видимый, да), а поскольку в это никто не поверит - то добавим еще более 'секретный' cvc"
Ну халтура оно, халтура. Paypal вон - смог же значительно лучше сделать.
Ну вообще-то платёжные системы вполне себе предлагают альтернативы CVC/CVV для оплаты онлайн. Та же VISA например уже достаточно давно предлагает 3D Secure: https://en.wikipedia.org/wiki/3-D_Secure
И это именно что банки выбирают какой вариант или варианты они используют.
А если я вам скажу что переделывать нужно не платёжным системам, а магазинам? Вы предлагаете простое решение для сложной задачи. Это популизм.
А если я вам скажу что переделывать нужно не платёжным системам, а магазинам?
Никто не мешал платежным системам, например, одноразовый код одобрения ввести и выдавать владельцам карт небольшую книжечку с этими кодами под защитным слоем. Магазинам(мы про онлайн речь ведем), очевидно, было бы все равно, что там покупатель вводит- каждый раз один и тот же код или каждый раз разный.
А тот вариант, когда CVC прямо на карте напечатан и всегда одинаковый - буду настаивать, был сделан исключительно из логики 'и так сойдет'.
А если я вам скажу что переделывать нужно не платёжным системам, а магазинам?
Что они потом и так массово делали - когда Paypal подключали.
PayPal сделал удобно для покупателя и перенес все риски на получателя денег. В любой спорной ситуации продавец должен доказывать что он не верблюд. А будет много споров - его вообще могут заблокировать и деньги на счету заморозить, например - на год.
С ними продавцы судились и им пришлось пойти на уступке, но только в США, а в остальном мире у пострадавших не нашлось достаточного ресурса.
Так что нет, не лучше, просто баланс интересов смещен в сторону покупателя, в отличии от 3ds например, где обратная ситуация: код ввел - претензии не принимаются (во всяком случае на уровне платежной системы).
Так что нет, не лучше,
Я про техническую сторону защищенности. Если мне склероз не изменяет, в те времена (а может и сейчас у кого есть) онлайн продавцы предлагали заполнять все буковки, которых достаточно для принятия транзакции, на своей странице/домене. Т.е. продавец (или мошеннический сайт) мог оные буковки 'украсть'. Paypal такого, вроде бы, не позволял и всю авторизацию платежа делал на своем сайте.
Вот из древней книжки (выделение мое)
Figure 1-2. A typical Express Checkout in which a merchant site establishes a session with PayPal and then redirects the buyer to PayPal for specification of shipping and payment information. Once the buyer confirms transaction details, PayPal redirects the buyer back to the merchant site where it regains control of the checkout and can issue additional requests to PayPal for final payment processing.
В результате, у условного продавца (или 'продавца') вообще ничего не было, что давало бы доступ к деньгам (ну, кроме случаев, когда подписка оформлялась).
В отличии от того, что карточные платежные системы на первых порах делали и почему им пришлось потом толстые правила писать "такой-то и такой-то не имеет права запоминать и хранить..."
В то время, когда я в платежной системе работал (начало 2000х) по правилам Visa/MC данные карты к продавцу тоже не попадали - циферки вводились на странице платежной системы, которой просто так не станешь, там куча условий и аудитов была. А потом это банки вообще у себя интегрировали. А PP с этим еще проще было, т.к. он сам себе "банк" и все переводы внутри системы с одного счета на другой.
В то время, когда я в платежной системе работал (начало 2000х) по правилам Visa/MC данные карты к продавцу тоже не попадали - циферки вводились на странице платежной системы
Смотрим официальную документацию от Visa:
Находим вкладку 'First Time User'. А там на картинке в качестве одного из шагов
Скрытый текст
Ввод всех данных на самом сайте (в примере - kitchen.com), а не на странице платежной системы Visa. Нет, возможно там всякие фреймы или прочие хитрости. Но - проверить и поверить что все эти данные на самом деле к владельцу kitchen.com не попадут нормальному пользователю затруднительно.
Сейчас для такого мерчант должен пройти сертификацию PCIDSS, что как бы дает гарантию (хотя бы иллюзорную), что данные никуда не уплывут. Без наличия сертификата банк даже разговаривать с магазином не будет (или потребует использование их формы и тогда магазин данные карты не увидит)
Сейчас для такого мерчант должен пройти сертификацию PCIDSS
Неважно. Смысл в том, что покупатель ожидает(и ожидал в обсуждаемый период времени), что такое может быть. Потом попадает на сайт жуликов (выглядит как настоящий магазин), вводит все эти цифры - и готово. Данные карты 'украли'. И оно в таком виде было пригодным к использовано(и только ли могло?).
Т.е. тот, кто придумывал всю эту систему - ну вот совсем не задумывался о противодействии злодеям.
В начале 00-х вовсю были онлайн магазины где прямо на сайте магазина нужно вводить данные карт. И они потом хорошо если в шифрованном виде (но часто нет) лежали в базе магазина. Лично видел и работал с такими. Это уже позже всякие PCI и прочие PA-DSS стали гайки закручивать.
Есть такой сайт booking.com, который вполне себе запоминает данные карты, включая CVV, и мало того, передает эти данные объекту размещения! (чтобы тот смог снять деньги за бронирование, если клиент не явился, или забыл оплатить напитки из мини-бара). Более того, некоторые отельеры эти данные распечатывают! (Хотя, вроде как, booking делать такие распечатки не разрешает). Как получается что постояльцы при этом массово не страдают? Вероятно отели боятся потерь клиентов идущих через Booking и не злоупотребляют платежными данными. (Но я все равно предпочитаю иметь для таких случаев специальную виртуальную карту)
Были (щас наверно уже сдохли все) терминалы которые которые чип не умеют только полосу (Samsung Pay на старых аппаратах специально имитировать умел).
Бывають идиотские терминалы (насколько помню у pickpoint.ru такое было) где чип то читается но вот карту надо воткнуть именно - смартфон не подставишь, в теории можно оплатить через сайт (постомат показывает как) но - стоишь ты где то в ТЦ чтобы получить свою посылку которая наложенным платежом, смотришь что там постомат показывает, открываешь сайт(с кучей Очень Важной Информации и баннеров) на телефоне и пробуешь все это вводить на тормозящем интернете, а потом - ждешь пока уже постомат протормозит (он обычно тоже подключен по сотовой связи).
С удовольствием бы пользовался "железячным" механизмом подтверждения при покупках в сети - чтобы вызов/отзыв обрабатывался самой картой (через картридер, подключенный к компу или в телефоне через NFC). А не через подтверждение кодом в push или sms.
Но нет такого...
Для этого нужен универсальный и широко поддерживаемый способ доступа к смарткартам или NFC аж из браузера. А такого нет, да.
Для этого нужен универсальный и широко поддерживаемый способ доступа к смарткартам или NFC аж из браузера.
Вообще-то - нет. Нужен широко поддерживаемый стандарт в духе payto: uri cхемы, где кликанье по соответствующей ссылке (или ее сканирование телефоном) будет запускать платежное приложение. Которое уже и будет обрабатывать платеж. В частном случае - общаясь с картой.
И платежные системы как раз такое могли протащить. Но - не захотели.
ApplePay с той разницей что вместо физической карты работает её «клон»
Срок действия карты это про защиту от похищения данных карты
Если бы речь была бы о днях, но речь ведь о годах. Злоумышленнику вряд ли есть дело - полгода осталось до конца действия или 20 лет
Чем больше времени прошло с момента похищения данных карты, тем сложнее определить место где данные были украдены. Чем короче срок действия, тем раньше нужно использовать похищенные данные до момента истечения срока. Это не серебрянная пуля, но какую-то часть мошеннических операций отрезает.
UPD. А ещё данные карт могут утечь из-за ненадлежащего хранения или утилизации кем либо. Тогда тоже лучше бы чтобы часть карт были просроченными.
Это поле (срок действия карты) вообще в онлайне может не отправляться в процессинг (поле - опционально). Проверяют ее как правило на платежной форме что она не в прошлом.
Собственно после продления срока действия карт в ковидные времена много людей жаловались что не могут в онлайне заплатит т.к. в форме кнопка "оплатить" просто не активируется если они честно указывают срок действия карты. А какую другую тату писать - многие не могли так сразу и понять. Решение было простым - писать туда любую дату в будущем.
Не могу подтвердить что срок действия является опциональный для авторизации. Возможно вы путаете с именем держателя карты.
Проверку срока действия могли отключить в ковид на стороне эмитентов.
Нет, я немного не про то. Я про те протоколы в которые уходят данные карты когда вы нажимаете кнопку "оплатить". Раньше это были протоколы сетей VISA/MS но сейчас по этому протоколу уходит все в НСПК. Так вот в этих протоколах поле срок действия карты - опциональное поле, и его можно не передавать, что собственно и делают большинство процессингов (тех чьи формы вы видите когда вводите данные карты).
Срок действия карты это про защиту от похищения данных карты.
На сколько я помню, срок жизни данных на магнитной полосе карты -- 3-5 лет. и именно исходя из этого выставляли срок действия карты. их меняли, чтоб полоса без проблем читалась бы у подавляющего большинства клиентов. Потом магнитная полоса стала вторичной, но срок действия исторически остался
Так оно сейчас так и есть - получал недавно МИР ЕКП - срок на карте обозначен до 10/2034 - она за этот срок скорее физически истреплется просто за счет трения в бумажнике ;)
Кардеры точно будут в восторге, а вот почему лично вас эта ситуация радует я в толк не возьму)
Только из-за лени, или вы так сильно за природу переживаете, что вам больно пластик новый получать?)
Классическое кардерство уже благополучно умерло (по крайней мере в РФ). Внедрение чипов и 3DS, однако. Плюс добило кардеров внедрение СБП с оплатой по QR-коду (все популярные маркетплейсы и Aliexpress), теперь сайт, который требует ввода данных карты, а не показывает QR-код - воспринимается подозрительно. :-/
Сейчас, судя по новостям, модно телефонное мошенничество, причем в итоге жертва сама переводит деньги мошенникам, или даже отдает наличкой в руки. Срок действия карты тут роли не играет.
А если нет разницы - то действительно, зачем переводить пластик?
Вот только за оплату по СБП банк не даёт кешбек, поэтому платить «старым дедовским способом» через номер карты зачастую несколько выгоднее.
По крайней мере в некоторых банках, достаточно номера карты и смс из него, для перерегистрации банковского приложения. А там делай что хочешь.
Это какие-то уж очень суровые злыдни получаются, которые сопрут номер карты, а потом годами будут поджидать удобного времени, чтобы угнать симку или подсунуть трояна на телефон, который перешлет им код из СМС.
Напоминает ассасинов из какого-то фантастического рассказа, которые после заказа не убивали жертву, а держали ее в страхе всю жизнь, пока жертва не помирала от старости ;)
Нужно, чтобы у одного воришки сошлись в руках и симка, и карта. А если принять нужные меры (вон, выше уже SIM-pin вспомнили, а еще можно на eSIM перейти, что даже надежнее) - то фиг злыдни до моего аккаунта доберутся.
А насчет однофакторной и позора - расскажите, где сильно лучше. Неужели есть страна, где всем поголовно выдают Bloomberg B-Unit device? :)
У человека годами денег(больше одной з.п.) может не быть на карте.
А тут он квартиру/машину продал и вот оно, удобное время.
Я про кардинг знаю что он есть, и что эти господа не изволили ранее работать в России. Примерно всё, если честно.
Однако, я точно знаю что:
Кардеры не вымерли, они среди нас, просто потому что воровство вечно
Они знают о картах и возможностях их эксплуатации без 3DS точно лучше обывателя-владельца карты, и да, я думаю сегодня есть ресурсы без всего этого прямо в рунете
Когда обывателей владельцев карт десятки миллионов - увеличение срока жизни пластика надежно повышает конверсию в разного рода проебы. Проебы карты, ее данных, чего угодно. Больше проебов - больше сумятицы - проще соц. инженерить бабушек на пенсии.
Исходя из этого да, большая часть из того что в РФ с картами происходит мне кажется весьма печальным заболочиванием огромной части суши.
Никакой политики, это будет болото другого толка.
Летом в одном банке менеджер меня уверила, что карты теперь все бессрочные. Хотел новую (Мир, конечно же) — не дали. Может, лень им было.
Так что, вывсёврёте.
... такие карты в любом случае станут непригодны для отложенной оплаты, которая применяется, например, в транспорте.
А вот это зря.
Это конкретно мутки ВТБ. В других банках срок жизни карт продлили, но не бессрочно.
А мне всё равно пришлось перевыпускать карту, потому что мой банк указал, что при оплате через интернет нужно указывать ту дату, что напечатана на карте (хоть и просроченную), но в некоторых онлайн-магазинах просто невозможно ввести дату, старее текущего дня.
"мутки ВТБ " — лишь ссылка, которую нашёл первой. Банк был ГПБ. По поводу иностранных недружественных карт ещё в 2022-м возникли опасения.
Что меня удивляет в этой новости, так это то, что окончание срока действия сертификатов безопасности для всех (?) стало невероятным открытием. Можно ведь было озадачиться этим моментом ещё пару лет назад. Или пока жареный петух не клюнет?
А насчёт перевыпуска карты — это вроде как бесплатно. В нормальных банках получал тот же Мир буквально за 5 минут без предзаказа.
Так а это владельцы магазинов нагло сабатируют импортзамещение! надо на них жалобу в Роскомнадзор! (и на авторов библиотек и фреймворков кто это придумал - тоже)
У меня летом родителям из сбера сообщили, что их карты хоть и продляли, но уже таки пора менять. Сходили и спокойно поменяли на мир.
Цыфровой рубель: чпок ! Добрый вечер !
И это после того как все эти банки умоляли не менять карты - типа они 6удут работать сверх своих сроков.
Так много комментов, а чего это реально такая проблема что ли в современных условиях? Выпустить виртуалку вмиг можно, а пластик или привезут или забрать через пару дней. Ну если не брать общую проблему отрезанной от мировой карточной системы.
Интересно. У меня вчера карта Юмани в магазине не прошла, я так понимаю тоже из-за этого, но она мир. Пришлось на сберовскую переводить нервируя себя, кассиршу и очередь.
а в ближайшей перспективе у мастерков с визой ниче не должно однозначно протухнуть, а то втб ни закрыть ни выдать мирок нехочет , все недружественное ...
Райф просто заставил менять все карты на мир. Но только у тех, кто попал в этот 1%
С 1 января 2025 года у части карт Visa и Mastercard в РФ перестали действовать сертификаты безопасности