WN

WN (https://www.wn.se/forum/index.php)
-   Klientsidans teknologier, design och grafik (https://www.wn.se/forum/forumdisplay.php?f=12)
-   -   Inte HTTPS vid online betalning (https://www.wn.se/forum/showthread.php?t=35084)

BarateaU 2009-02-12 09:55
Tänkte precis beställa lite saker från netbay.
Men såg nu när jag skulle fylla i mitt kortnummer att de inte var en säker session.

Börjar tveka lite nu.

http://www.bandwidth.se/thumbs/13511.png

Är det inte krav på att de skall vara säker session?
Kanske blir en HTTPS session när man fyllt i allt, men allt är ju då redan ifyllt och trycker man så skickas ju formuläret okodat i öppen fin text.

Hej här kommer kortnummer, cvc kod osv, ta alla pengar "typ".

najk 2009-02-12 10:38
Kan ju vara en iframe som är krypterad kanske? Kolla källkoden och form action=https://?

BarateaU 2009-02-12 11:01
Hittar inget om https i källkoden, fast är välla troligen någon forum av iframe som du säger.

SimonP 2009-02-12 11:58
Japp, det är garanterat en iframe där innehållet är https.

Robert 2009-02-12 17:34
Det är väl så att den sida som anropas (det submittas till) ska vara https, alltså det kan vara så att du befinner dig på en "osäker" sida som ett första steg i din beställningsprocess. Men å andra sidan; hittar du inget om https i källkoden så är det kanske en iframe som andra här är inne på.

WebboT 2009-02-12 18:42
Hela utcheckningen ligger i en iframe. https://secure.telluspay.com är det som används.
Problemet för shoppar som gör så här, är att kunder som mig lämnar sajten illa kvickt om jag inte ser https: uppe i adressfältet.
Jag som kund ska inte behöva ödsla en enda sekund på att ta reda på om betalningsprocessen verkligen är säker.

Taras 2009-02-12 19:00
Jo, det är helt vanliga frames.
Ett SSL-certifikat kostar från ca 250kr/år och skulle iallafall ge ett sken av säkerhet för de flesta kunder.
Sen att de flesta inte har en aning om vilken sida som visas vilken frame kanske spelar mindre roll.

Det är en lösning som ska vara förbjuden av Visa/Mastercard, då korrekt URL numera alltid måste visas när man anger sina kortuppgifter (enligt uppgift från Euroline).
Vissa betal-leverantörer är dock inte speciellt hårda med detta kravet (Samport, i vissa fall Dibs), medan andra är betydligt hårdare (Payex, Certitrade).

BarateaU 2009-02-12 20:44
Citat:
Originally posted by WebboT@Feb 12 2009, 19:42
Hela utcheckningen ligger i en iframe. https://secure.telluspay.com är det som används.
Problemet för shoppar som gör så här, är att kunder som mig lämnar sajten illa kvickt om jag inte ser https: uppe i adressfältet.
Jag som kund ska inte behöva ödsla en enda sekund på att ta reda på om betalningsprocessen verkligen är säker.
Precis, jag ville inte mata in mitt kortnummer pga det.
Men nu när ni säger att de är cool lungt så kan jag tänka över det.

Jonas 2009-02-15 22:24
Ett krav är väl också att CVV2 (& CVC2) måste skrivas in när man matar in sina uppgifter?

Tex. Inkclub har inte denna möjlighet.

WebboT 2009-02-15 22:53
Citat:
Originally posted by Jonas@Feb 15 2009, 16:24
Ett krav är väl också att CVV2 (& CVC2) måste skrivas in när man matar in sina uppgifter?

Tex. Inkclub har inte denna möjlighet.
Vet inte hur det är i Sverige, men här i USA är det INTE ett krav att erbjuda kunden att mata in CVV2.
Det som händer är att man som ehandlare får betala en högre avgift för transaktionen.


Alla tider är GMT +2. Klockan är nu 15:53.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson