Комментарии 69
ну как минимум, эти конфиги должны обновляться удаленно, это был бы верх идиотизма, если бы в каждом терминале приходилось вручную на месте корректировать размер комиссий.
russia.ru/video/tinkoff_11175/
Терминалы принадлежат третьей стороне и комиссию выставляет именно она. А удалённо или «на месте» это вопрос чисто технический.
Поэтому вполне возможно, что порой при малом количестве терминалов или при каких-то иных факторах (жалко доплачивать за управляющее ПО), владельцы терминалов управляют ими «вручную».
Терминалы принадлежат третьей стороне и комиссию выставляет именно она. А удалённо или «на месте» это вопрос чисто технический.
Поэтому вполне возможно, что порой при малом количестве терминалов или при каких-то иных факторах (жалко доплачивать за управляющее ПО), владельцы терминалов управляют ими «вручную».
спасибо за ссылку, крайне познавательно.
Судя по данному, точно вручную и всем по… Сегодня заходили — так и висит с ошибкой =)
>Т.е. получается что можно самому выставить процент комиссии и сделать много интересных вещей?
Да процент каждый дилер выставляет сам — можешь установить для каждого терминала индивидуально, можешь сделать для всех единый конфиг и залить его один для всех
>ну как минимум, эти конфиги должны обновляться удаленно, это был бы верх идиотизма, если бы в каждом терминале приходилось вручную на месте корректировать размер комиссий.
Это как максимум — как минимум — это как раз когда конфиг вручную заливается на терминал. Удаленное обновление есть у любого провайдера (будь то осмп. киберплат или другие)
>жалко доплачивать за управляющее ПО
управляющее ПО как вы его называете идет от провайдера бесплатно. так что здесь думаю чисто техническая реализация хозяина терминала (ну далек может человек от компа или дома нет машины => зачем ему тогда такое ПО)
>Судя по данному, точно вручную и всем по… Сегодня заходили — так и висит с ошибкой =)
Покопавшись далее вы могли бы обнаружить в конфиге пароль на админку терминала (можно выставить нулевую комиссию на какуб нить кривую сумму — например на 130 рублей) или список всех проведенных платжей и тп. — НО это уже наказуемо.
Да процент каждый дилер выставляет сам — можешь установить для каждого терминала индивидуально, можешь сделать для всех единый конфиг и залить его один для всех
>ну как минимум, эти конфиги должны обновляться удаленно, это был бы верх идиотизма, если бы в каждом терминале приходилось вручную на месте корректировать размер комиссий.
Это как максимум — как минимум — это как раз когда конфиг вручную заливается на терминал. Удаленное обновление есть у любого провайдера (будь то осмп. киберплат или другие)
>жалко доплачивать за управляющее ПО
управляющее ПО как вы его называете идет от провайдера бесплатно. так что здесь думаю чисто техническая реализация хозяина терминала (ну далек может человек от компа или дома нет машины => зачем ему тогда такое ПО)
>Судя по данному, точно вручную и всем по… Сегодня заходили — так и висит с ошибкой =)
Покопавшись далее вы могли бы обнаружить в конфиге пароль на админку терминала (можно выставить нулевую комиссию на какуб нить кривую сумму — например на 130 рублей) или список всех проведенных платжей и тп. — НО это уже наказуемо.
Не знаю как в ОСМП, а в ПС, в которой я до недавнего времени работал, комиссия диллера храниться централизованно в БД — клиент только отображает ее все расчеты и т.п. все на сервере.
В ОСМП также — комиссия настраивается на сервере и отгружается на соответствующие терминалы.
то есть, если рубанется соединение с интернетом, то терминал не сможет принять платеж, так как не может посчитать комиссию без сервера?
В прежние годы на «внутреннем» (в интернет он само собой был подключён) FTP сервере ОСМП без всякой авторизации был доступен их терминальный софт со всеми причендалами. Типа они таким образом обновления распространяют. ;)
Пруф-архив для любопытных: MediaFire, SendSpace.
Хотя, может я не в теме, и так нужно… %) По мне так злоумышленникам весьма неплохое подспорье.
Пруф-архив для любопытных: MediaFire, SendSpace.
Хотя, может я не в теме, и так нужно… %) По мне так злоумышленникам весьма неплохое подспорье.
Да весь этот софт и сейчас на их официальном сайте доступен: www.osmp.ru/?folder=176
Не вижу в этом ничего особенного. Это же здорово — любой может сначала ознакомиться с ПО, а потом только стать агентом.
Не вижу в этом ничего особенного. Это же здорово — любой может сначала ознакомиться с ПО, а потом только стать агентом.
Думаю что эти конфиги используются только для отображения клиенту, а сами проценты и т.д. снимаются независимо от того что написано в этих конфигах и совсем в другом месте.
Это слишком правильно, чтобы быть правдой (:
>конфиги используются только для отображения клиенту
конфиги для отображения клиенту ????!?!?! что за глупость, это как раз и есть те конфиги по которым работает прога терминала.
Вы часто видите конфиги которые для отображения просто сделаны -а прога просто по каким-то там другим работает ???
конфиги для отображения клиенту ????!?!?! что за глупость, это как раз и есть те конфиги по которым работает прога терминала.
Вы часто видите конфиги которые для отображения просто сделаны -а прога просто по каким-то там другим работает ???
Имеется в виду для отображения клиенту на экране терминала. Насколько я знаю ПО QIWI постоянно мониторит измененные файлы и сразу подменяет их с сервера в случае чего.
Вы правда думаете что комиссию снимает киоск? Не говорите глупостей. Да возможно он делает вид что их считает (чтобы показать пользователю) но реальные операции делаются на сервере. Так что это вполне возможно тупо скачанные при инициализации настройки для отображения
У Тинькова на днях выступал хозяин Киви. Очень адекватный дядька, тоже говорил, что «коробки» им не принадлежат.
Это понятно, но софт то их =) Тут не про баг с доступом к винде, а про саму софтину кивину. Как она работает, и зачем тогда эти хмл, если текстовые данные можно так же и через инет подгружать — для отображения клиенту, не сильно велик трафик. Или грузить при запуске программы и держать в оперативке, тоже не сильно проблемно 10-30 килобайт текстовой инфы.
Там несколько сотен провайдеров. А лежат они, я повторюсь, для того, чтобы система могла их подменить по фтп в любое время.
Все конфиги подгружаются с серва во время инициализации киоска (во время первого запуска). Дальше реинит идет либо при рестарте, либо при централизованной команде от управляющего сервера…
> и чекопринтером подключённым по COM (oO) порту
Что бы значило это "(oO)"? RS-232 — вполне себе стандарт для подключения специальной периферии.
Что бы значило это "(oO)"? RS-232 — вполне себе стандарт для подключения специальной периферии.
Ну, com-порт и rs-232 немного не одно и то же (второе — частный случай реализации первого, если рассматривать термин «com-порт» в обсуждаемом контексте). А так да, Вы правы, большинство железок (в том числе и современных) именно по последовательному порту и работают. Например, почти все bluetooth — драйвера им прикидываются. Ну и прочее и прочее. И уж точно все чековые принтеры, купюроприёмники и подобные железки. Даже если физически у них на проводе usb-разъём. Или наоборот, если у них rs232-разъём, а подключаются в usb через переходники (наиболее распространённо сейчас). И так ещё будет очень долго, имхо.
Извините поправлю — ПЕРВОЕ (т.е. COM порт) это частный случай реализации ВТОРОГО (т.е. стандарта RS-232).
Хм… я сейчас подумал и понял, что Вы тоже правы :) Если говорить о com-порте, как о виде разъёма, то да, всё верно, он предназначен для соединения по протоколу rs-232, и стало быть, является одним из железных реализаций протокола (стандарта) rs-232. Ну, вообще в данном случае (и в посте и в моём комменте) имелся ввиду не вид разъёма, а com-порт, как представление com-порта в системе. Ведь написавший не мог видеть какой именно хардварный разъём на принтере, а поглядел в «свойствах системы», или как оно там называется. Я, говоря о bluetooth и «последовательные порты» то же самое имел ввиду. В данном случае com-порт это типа просто последовательный интерфейс передачи данных. Просто так исторически сложилось, что имеется некоторая путаница между терминами com-порт / «последовательный порт» / rs-232 итд.
То есть, грубо говоря, я имел ввиду, что если что-то в системе работает через «com-порт» (как сказал автор), то это не значит, что это работает через 9/25-пиновый разъём, который обычно называется «com-порт» (и который имелся ввиду как частный случай реализации rs-232), оно может быть подключено как угодно, например, через usb.
По поводу com-портов — термопринтеры работают через com гораздо быстрее с ПО QIWI (по usb тоже можно, но в таком случае все будет работать через windows-драйвер, а то заметно медленнее.
> Т.е. получается что можно самому выставить процент комиссии и сделать много интересных вещей?
Да, на сколько мне известно. Терминалы принадлежат хозяевам заведений, где они установлены. Эти хозяева решают какую выставить комиссию и часть отдают оператору системы, а остальное — их прибыль, цена за услугу, которую они вольны регулировать соответственно спросу. AFAIK.
Да, на сколько мне известно. Терминалы принадлежат хозяевам заведений, где они установлены. Эти хозяева решают какую выставить комиссию и часть отдают оператору системы, а остальное — их прибыль, цена за услугу, которую они вольны регулировать соответственно спросу. AFAIK.
Тут вы полностью правы кроме одного:
>Терминалы принадлежат хозяевам заведений, где они установлены.
скорее всего нет- хозяева просто в аренду отдают 1кв м площади — так проще. Тк обслуживание терминалов и решение проблем с клиентами — тот еще гемор, и надо иметь централизованную службу которая все этим занимается — так на порядок проще
>Терминалы принадлежат хозяевам заведений, где они установлены.
скорее всего нет- хозяева просто в аренду отдают 1кв м площади — так проще. Тк обслуживание терминалов и решение проблем с клиентами — тот еще гемор, и надо иметь централизованную службу которая все этим занимается — так на порядок проще
++[EpmakOFF]++ (23:19:57 19/06/2008)
ща тему расскажу, тока случилась
LLega (23:20:08 19/06/2008)
давай.
++[EpmakOFF]++ (23:23:34 19/06/2008)
кароче ща захожу в магаз, рядом с домом денег на счет кинуть, там кароче стоит шайтан коробка в неё деньги кидать, приколи пацаны со двора взяли его поломали засчет бага одного, там кароче когда у определенного оператора при наборе счета зажимаешь клавишу, он через время выдает обычную виндусовскую менюшку, типа сохранить рисунок как, они через эту хрень залезли на сервер, так как вся инфа на сервере, нашли папку гамес и запустили кваку, терь эта херня лавэху не принимает зато там мона в кваку 3 погонять, тока жаль ходить нельзя, зато можно вертеться и стрелять, ххх
LLega(23:24:06 19/06/2008)
ппц …
Цитата 397419 на башорге
А вообще, один раз пришлось на таком терминале установить флеш (потыкать по кнопкам), а то видать забыли это сделать
Я надеюсь, что вы в курсе, что большая часть того, что пишется на башорге — выдуманные истории?
Вполне. Только подобная ситуация и правда могла случиться, особенно учитывая дату и то, что это могло произойти и не в первопрестольной?
Вы ведь понимаете, что терминал оплаты — всего лишь комп с тачскрином и запущенной на нем прогой? И что некоторые криворукие настройщики вполне могут поставить на этот комп винду с какого-нибудь диска типа «1000 лучших программ» и запихнуть ярлык IE в меню автозагрузки? И что страница оплаты может быть не на флеше, а на простом html+javascript? И что совершенно случайно в яваскриптах на этой странице окажется ошибка, которая приведет к появлению окна отладки IE? Это все по сути череда случайностей и человеческих ошибок (ошибка в коде, ошибка в руках настройщика и т. п.), но теорию вероятностей еще никто не отменял.
Вы ведь понимаете, что терминал оплаты — всего лишь комп с тачскрином и запущенной на нем прогой? И что некоторые криворукие настройщики вполне могут поставить на этот комп винду с какого-нибудь диска типа «1000 лучших программ» и запихнуть ярлык IE в меню автозагрузки? И что страница оплаты может быть не на флеше, а на простом html+javascript? И что совершенно случайно в яваскриптах на этой странице окажется ошибка, которая приведет к появлению окна отладки IE? Это все по сути череда случайностей и человеческих ошибок (ошибка в коде, ошибка в руках настройщика и т. п.), но теорию вероятностей еще никто не отменял.
Я представляю, что такое терминал оплаты, потому что сам ими занимаюсь :)
Обычно туда ставится обрезанная винда, где почти ничего сделать нельзя. Это если только бизнесмен-недоучка решит поставить что-то свое, типа с Zver DVD.
Сам IE не используется, потому что взаимодействовать с платежным оборудованием, простите, невозможно таким образом. Но в качестве движка отображения используется именно IE.
Хотя, насколько я знаю, в Cyberplat используется Qt, и, скорее всего, Webkit.
Но поставить что-то почти нереально. Во-первых, по GPRS задолбаешься скачивать что-либо, а, во-вторых, почти всегда оно работает не под админом.
Обычно туда ставится обрезанная винда, где почти ничего сделать нельзя. Это если только бизнесмен-недоучка решит поставить что-то свое, типа с Zver DVD.
Сам IE не используется, потому что взаимодействовать с платежным оборудованием, простите, невозможно таким образом. Но в качестве движка отображения используется именно IE.
Хотя, насколько я знаю, в Cyberplat используется Qt, и, скорее всего, Webkit.
Но поставить что-то почти нереально. Во-первых, по GPRS задолбаешься скачивать что-либо, а, во-вторых, почти всегда оно работает не под админом.
Обычно туда ставится обрезанная винда, где почти ничего сделать нельзя. Это если только бизнесмен-недоучка решит поставить что-то свое, типа с Zver DVD.
Так я про подобных недоучек-криворучек и говорю ;) Они тоже кое-где встречаются.
Сам IE не используется, потому что взаимодействовать с платежным оборудованием, простите, невозможно таким образом.
С платежным оборудованием не знаком, но придумать вариант, когда используется для этих целей именно IE, вполне могу: взаимодействие через ajax со сторонней программой, которая имеет веб-интерфейс и соответствующие скрипты. Хотя и правда гораздо проще на том же Qt написать браузер и сделать взаимодействие между ним и основной прогой через яваскрипт.
1. В конфиге от пароля тока хеш, при этом надо обычно указать правильный номер, и это не обязательно номер телефона, а уже позднее надо указать дополнительный логин и пароль.
2. Комиссии принудительно обновляются с сервера выставляются они только там. Да и в общем они действительно только для показа клиенту. Обрабатывается все сервером.
3. Баг с контексным меню это баги настройки терминала, не секрет что там есть тач скрин и как его драйвер эмулирует правую кнопку мыши, это его настройка (можете покопать на предмет мастертач или дженералтач)
4. Все действительно подключено через ком-порты, это нормально. Тем более вы России, забыли чтоли?
Максимум что мона сделать:
1. Нарыть бажный flash баннер, который имеет ссылку например на свой веб сайт, тогда мона полазить по инету, ограничено, без адресной строки. Но это баги рекламщиков.
2. Подобрать\подглядеть доступ в админку, но тут только добавить себя в белый номер, но тут надо быть готовым что вам позвонят и поинтересуются. Тем более в логах остается и дата факта, могут поискать и свидетелей.
3. Про заход на сервер это лепет. Даже комментировать не хочется.
что называется вся инфа as is и no warranty
2. Комиссии принудительно обновляются с сервера выставляются они только там. Да и в общем они действительно только для показа клиенту. Обрабатывается все сервером.
3. Баг с контексным меню это баги настройки терминала, не секрет что там есть тач скрин и как его драйвер эмулирует правую кнопку мыши, это его настройка (можете покопать на предмет мастертач или дженералтач)
4. Все действительно подключено через ком-порты, это нормально. Тем более вы России, забыли чтоли?
Максимум что мона сделать:
1. Нарыть бажный flash баннер, который имеет ссылку например на свой веб сайт, тогда мона полазить по инету, ограничено, без адресной строки. Но это баги рекламщиков.
2. Подобрать\подглядеть доступ в админку, но тут только добавить себя в белый номер, но тут надо быть готовым что вам позвонят и поинтересуются. Тем более в логах остается и дата факта, могут поискать и свидетелей.
3. Про заход на сервер это лепет. Даже комментировать не хочется.
что называется вся инфа as is и no warranty
… единственная полезная «гадость» которая приходит на ум — убрать коммисию для какой то крупной суммы для себя «ЖКХ» там например или тому бодобное…
В теории можно просто украсть ключи, поставить на свой домашний компьютер киви-терминал и оплачивать услуги за счёт владельца терминала. Интересно, на сколько там всё защищено в этом плане? :)
Насколько знаю, все настройки и ключи в обычном XML лежат. Клиентский софт и вовсе общедоступен.
проще упереть всю папку. и останется эмулировать купюроприемник (:
Была история одна, когда сперли сам терминал. Дома воры подключили его к сети, разобрали и стали через купюрообменник засовывать одну и ту же деньгу, пополняя свежесозданные счета на вебманях. Спалились тем, что один из них пополнил через этот терминал телефон подруге, через которую вышли на парней.
Да я думаю, что и через вебмани их проследить было бы не проблемой.
Сейчас терминалы привязаны к сотам. Плюс при неестественной активности терминал будет заблокирован.
Вот <a href=«kiosksoft.ru/tags/news/%D0%BA%D1%80%D0%B0%D0%B6%D0%B0%20%D1%82%D0%B5%D1%80%D0%BC%D0%B8%D0%BD%D0%B0%D0%BB%D0%B0»список новостей про кражи терминалов. А вот похожая история, только тут никого не поймали.
Идиотская мысль — выставить отрицательную комиссию в голову не приходила?
Вот оно, thinking outside the box.
Да просто если это не проверяется (не уверен), то можно поразвлечься.
На самом деле я сомневаюсь что в Qiwi это возможно, все таки серьезная система. Но быдлокодеры еще существуют. Я бы удивился если бы потому и идея идиотская. Вот в мои времена...(было… было...)
Ну да все равно, пофиксят люди все что нужно и больше таких багов не будет. Налицо прогрессс.
На самом деле я сомневаюсь что в Qiwi это возможно, все таки серьезная система. Но быдлокодеры еще существуют. Я бы удивился если бы потому и идея идиотская. Вот в мои времена...(было… было...)
Ну да все равно, пофиксят люди все что нужно и больше таких багов не будет. Налицо прогрессс.
Да ладно, самая первая мысль. :)
Не пашет, а жаль.
Для того, чтобы использовать XML шлюз OSMP (с помощью которого собственно терминал проводит платежи и мониторится) достаточно знать номер терминала, MD5 хеш (без соли) пароля и т.н. серийный номер устройства (задается в личном кабинете). Вся эта информация есть на терминале и завладев ею вполне можно провести от имение агента-владельца терминала платежи на любого из подключенных поставщиков услуг. Бывает, что агенты владельцы устанавливают дополнительную защиту (сертификаты и e-token) но очевидно здесь другой случай.
комиссия настраивается на сервере. однако у данного по есть такая функция как белые списки, если себя добавить в белый список(себя — номер телефона, кошелька и т.д.), то можно ложить деньги без комиссии. Я работал с этими терминалами и вручную на нужных мне добавлял себя в вайтлист.
А я видел как через Radmin (?) администратор правил блокнотом конфиги на подобном терминале. Не стал ему мешать. Просто стоял и ждал.
Подошедшая и заглянувшая через плечо, женщина испуганно уставилась на меня, потом опять на терминал и спросила «Скажите, а он что — не работает?».
Подошедшая и заглянувшая через плечо, женщина испуганно уставилась на меня, потом опять на терминал и спросила «Скажите, а он что — не работает?».
У qiwi самый отстойный интерфейс (алгоритм работы), когда либо созданный челавеками…
НЛО прилетело и опубликовало эту надпись здесь
Тут одно поле поменяли habrahabr.ru/blogs/ui_design_and_usability/107493/ и получили $12M
Попробуйте, например, пополнить WM через qiwi — потом расскажите, что всем не угодить )
Попробуйте, например, пополнить WM через qiwi — потом расскажите, что всем не угодить )
пожалуюсь на qiwi:
не прошла оплата, позвонил, девушка ответила, что это из за пробела в номере счета… про trim индусы не знают
не прошла оплата, позвонил, девушка ответила, что это из за пробела в номере счета… про trim индусы не знают
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Qiwi конфиги или уверенность в безопасности