Visa Checkout prevede misure preventive contro lo spoofing?

3

Alcuni commercianti online offrono offerte speciali per l'utilizzo di Visa Checkout , un servizio di pagamento simile a PayPal, quindi ho cercato di imparare qualcosa al riguardo prima di registrarmi. Quando sei su un sito di shopping e fai clic sull'icona Visa Checkout, viene visualizzata una finestra per inserire il nome utente e la password di Visa Checkout:

Questoschemaèsicuro?Nonvedonullachemipermettadiverificarechequestopopupsiavalidoeproteggelemieinformazioni.Sembracheunsitocanagliapossafacilmentefalsificareilpopuperaccoglierelecredenzialidiaccesso.

ConPayPal,sonoindirizzatoalsitodiPayPalperl'accesso,checonsentealmiobrowserdivisualizzarel'autenticazionePayPalel'autenticazioneTLS:

Se controllo questi elementi sulla barra degli URL, ritengo ragionevolmente sicuro di fornire le mie credenziali solo a PayPal.

Lo schema PayPal è più sicuro di Visa Checkout? O c'è un modo che mi manca per proteggermi dallo spoofing?

    
posta rhashimoto 01.11.2015 - 01:21
fonte

2 risposte

1

Il problema che citi è reale.

Questo schema è stato oggetto di critiche e ha portato a una nuova implementazione ("3D Secure by ...", il vecchio purtroppo usa talvolta anche questo nome) che è a due fattori (di solito ricevi un SMS con un codice è necessario inserire nella pagina del commerciante). Sei anche avvisato dell'operazione imminente ("ora sarai trasferito su 3D sicuro ..."). Lo schema che hai citato non ha superato i requisiti della Banca centrale europea.

I requisiti per i pagamenti e-commerce sono stati rafforzati con SAQ A-EP PCI-DSS , specificamente progettato per i moderni pagamenti e-commerce (dove non sei reindirizzato a una banca o alla pagina di un processore per soddisfare il tuo pagamento)).

Il reindirizzamento a PayPal nel tuo esempio è un buon compromesso: entri in una pagina più conosciuta che, come dici tu, puoi analizzare e controllare contro la sicurezza di buon senso (in particolare a chi è stato consegnato il certificato).

    
risposta data 01.11.2015 - 12:19
fonte
0

Is this scheme secure?

La sicurezza non è mai assoluta, quindi è impossibile rispondere se questo è completamente "sicuro".

Nello scenario Visa ti stai sostanzialmente affidando a newegg. Dietro le quinte, il popup di Visa utilizza probabilmente TLS, ma a tutti gli effetti newegg potrebbe offrirti uno schermo di phishing e non avresti difficoltà a dirlo. Tutto quello che sai è che hai una connessione sicura a newegg.

Nello scenario paypal puoi verificare facilmente la connessione TLS e l'URL, tuttavia ciò non significa che PayPal sia sicuro o affidabile. Devi ancora fidarti di paypal.

In sostanza si tratta di quanto sia affidabile newegg. Se newegg è altrettanto affidabile di paypal, allora sono entrambi altrettanto sicuri. Se newegg è meno affidabile, allora la soluzione paypal è più sicura.

Se invece di paypal ci fosse una parte meno affidabile con un'implementazione identica a PayPal, allora la soluzione per i visti potrebbe essere più sicura.

It seems that a rogue site could easily fake the popup and harvest the login credentials.

Se non ti fidi del sito, allora dovresti preferire l'implementazione paypal. Se il sito è affidabile, la differenza di sicurezza è minima.

    
risposta data 01.11.2015 - 01:50
fonte

Leggi altre domande sui tag