[rocky]

För att aktivera e-kort inför ett köp så behöver man väl bankdosanhelvetet iaf?

[Lumax]

Citat:

Ursprungligen postat av rocky

För att aktivera e-kort inför ett köp så behöver man väl bankdosanhelvetet iaf?

Nix, räcker med din personliga kod. Säkerhetsbrist - javisst!

[studiox]

Citat:

Ursprungligen postat av emilv

Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.

Tre.se (m.fl) använder en Facebox för sina kortbetalningar, jävligt irriterande då man i överhuvudtaget inte vet om det är en säker förbindelse eller inte (om det är iframe i facebox) Jag håller med dig att det är jävligt svårt att veta om verifiera-mitt-lösenord-på-banken-idiotiska-sida faktiskt inte är phising. Ökat konsumentsäkerhet my ass.

[Gustav]

3d-secure har alltid varit en soppa. Men det behöver inte vara det, som Skandiabanken har visat. De har enormt hög säkerhet, samtidigt som det inte går ut över användarvänligheten.

Via deras internetbank så kan man aktivera och avaktivera var och hur kortet kan användas. Jag kan tex öppna upp det för köp i de länder som jag själv väljer. Jag kan på några sekunder spärra eller öppna kortet för internetköp via min internetbank. Vill jag så kan jag få ett sms varje gång kortet används för köp på internet. Bankdosan som används är min egen mobiltelefon, så det finns ingen risk att jag inte har den med mig när jag ska handla någonting online. Bara det faktum att jag kan spärra kortet för köp utomlands och bara öppna det då jag själv ska handla något eller ge mig ut och resa gör risken för missbruk markant mindre. Det är nämligen sällan som kortbedragarna drar pengar från kortet i Sverige, utan det görs ofta utomlands långt ifrån den plats där kortnumret stals.

3d-secure blir alltså vad varje enskild bank gör det till. Och 9 av 10 banker gör det tyvärr till ett icke fungerande h*lvete för både e-handlare och slutkonsumenter.

Åter ontopic.

1. Ja, Euroline får göra så och de är inte ensamma.
2. Nej, det vill du förmodligen inte. Du skulle förlora en stor andel köp om du gjorde det.
3. Inte vad jag vet. Det skulle förvåna mig om det fanns.

Marcin, för att göra dig ännu mer irriterad, så kan jag påpeka att Euroline förmodligen inte heller ger dig något skydd vid köp med så kallade business cards. Det är alltså bara för kort som är utställda till privatpersoner och som är kopplade till 3d-secure, som de inlösande bankerna brukar stå risken. Och hittills har jag aldrig sett en betalväxel där det tydligt framgår om ett kort är ett business card eller inte.

Så problemet är större än bara 3d-secure. Precis som med alla typer av försäkringar så kan man ge sig fan på att försäkringsgivaren kommer att försöka slingra sig den dagen då det händer. Det bästa är därför att alltid utgå ifrån att man inte har något skydd överhuvudtaget och att hantera situationen därefter. Om en beställning verkar misstänkt så kan man tex skicka den som REK med personlig utlämning.