В сервисе Робокасса на стране ввода данных банковской карты присутствует сервис Вебвизор от Яндекс.Метрики.
Интересно, сколько посторонних людей (маркетологов, технарей и пр.) могут получить доступ к управлению картами наивных пользователей Робокассы?
что значит «запоминать», он полный capture экрана делает если cvc при вводе закрыт звездочками, это решает часть проблемы, но это же по-любому нарушение приватности данных да и cvc может звездочками не закрываться — разные бывают ситуации в системных зоопарках юзеров да короче что тут обсуждать это адовый косячелло при любых ракладах: мою приватную информацию видят какие-то фиг знает какие сотрудники, имеющий пароль доступа к яндекс.метрике
На тестовом магазине в полях имеется -metrika-nokeys, что позволяет указать Вебвизору не вести запись нажатий клавиш.
> В любом случае, если это есть — это, вероятнее всего — серьезное нарушение правил PCI DSS. Господа, вы, должно быть, перегрелись от жары. То, что вебвизору нельзя записывать всё, очевидно. И наверняка эту проблему десять раз уже предусмотрели и все проверили, чтобы личные данные не палились. Я специально зашел на свой сайт, нашел и просмотрел сессию пользователя, который регистрировался на форуме. Вижу, как он вводит логин, частично вижу его емейл, но пароль — нет. Ничего вообще похожего на пароль. Дальше он зарегался, логинится на форуме. Снова логин есть в записи нажатий клавиш, пароля нет. > что значит «запоминать», он полный capture экрана делает Какую нахрен capture экрана делает вебвизор? Вы вообще им когда-нибудь пользовались? Вебвизор записывает движения мышкой на посещенной странице, нажатия клавиш, переходы по страницам. Пишет размер окна, наверное, еще что-нибудь. Когда вы в вебвизоре просматриваете сессию пользователя, он не показывает вам страницу, какой видел ее пользователь. Он показывает страницу, какой вы видите ее прямо сейчас. То есть, когда я смотрю эту сессию логинившегося юзера, то вебвизор мне показывает, как будто это я сам захожу на эту страницу. Там наверху написан мой логин, непрочитанные сообщения подсвечены в соответствии с записью о сессии в моей куке на моем компьютере. Что видел пользователь, я не знаю. В этом ограничение вебвизора. Если у вас страница постоянно меняется, если на ней есть динамические элементы, то вы можете вообще не понять по вебвизору, что там происходило у юзера.
> очевидно > наверное > Я подозреваю, что > Вы вообще им когда-нибудь пользовались? > Какую нахрен capture экрана делает вебвизор? > Вебвизор записывает движения мышкой на посещенной странице, нажатия клавиш, переходы по страницам. Пишет размер окна, наверное, еще что-нибудь. > движения мышкой на посещенной странице, нажатия клавиш > нажатия клавиш > нажатия клавиш > нажатия клавиш > Какую нахрен capture экрана делает вебвизор? > Господа, вы, должно быть, перегрелись от жары.
> В этом ограничение вебвизора. Если у вас страница постоянно меняется, если на ней есть динамические элементы, то вы можете вообще не понять по вебвизору, что там происходило у юзера. Это ограничение можно обойти, если использовать запись содержимого страниц — будет видно ровно то, что видел пользователь. Что не влияет на приватность: ввод данных в поля типа «password» и в поля, размеченные классом -metrika-nokeys все равно не записывается.
А имя, номер карты, экспирейшн дейт, это что, свободно разглашаемые данные? Приехали. Да и, повторяю, с полем password разные ситуации могут быть — у людей каких только плагинов и надстроек не понаставлено, которые могут наизнанку всё содержание страницы выворачивать.
значит, я лох (( когда последний раз серьезно пользовался вебвизором, этой фичи еще не было Ну и если верить хелпу в настройках счетчика, то вы не совсем правы, т.к. если пользователь залогинен, то «ровно то, что он видел» мне все равно не покажут, а покажут от анонимного юзера, вот цитата из подсказок (сорри, форматирование не сохранилось): Загрузка страниц в плеер: От вашего имени В плеер будет загружаться такая же страница, какую вы увидели бы сами, посетив сайт. Если вы авторизованы на сайте, эта авторизация будет действовать и в плеере. Если на сайте есть корзина и вы положили в нее товары, вы будете видеть при воспроизведении содержимое вашей корзины, а не корзины посетителя, визит которого просматриваете. От имени анонимного пользователя В плеер будет загружаться такая же страница, какую увидел бы новый посетитель, впервые пришедший на сайт. Если на сайте есть авторизация, в плеер загрузится версия страницы, которую видят неавторизованные посетители. Рекомендуем пользоваться этим методом, если воспроизведение плеером действий посетителей сопровождается нежелательными эффектами, например в вашу собственную корзину каждый раз добавляются новые товары.
> А имя, номер карты, экспирейшн дейт, это что, свободно разглашаемые данные? Данные, которые вы вводите в форму, проезжают через: — вашего локального провайдера — инфраструктуру Интернета — инфраструктуру хостера — сайт владельца формы — сайт процессингового центра — инфраструктуру эмитента карты — оседают на диске у хостера/процессиногового центра/эмитента — копируются по пути следования в множественные бэкапы и логи На каждом их этих этапов теоретически вполне возможно подсмотреть номер карты. Вас это не смущает?
> Данные, которые вы вводите в форму, проезжают через: > — вашего локального провайдера Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — инфраструктуру Интернета Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — инфраструктуру хостера Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — сайт владельца формы Нет, данные карт заполняются на процессинговом сайте > — сайт процессингового центра Сертифицирован на безопасность > — инфраструктуру эмитента карты Сертифицирован на безопасность > — оседают на диске у хостера/процессиногового центра/эмитента Нет, это запрещено, центр не пройдёт сертификацию с такими нарушениями > — копируются по пути следования в множественные бэкапы и логи Нет, не копируются > На каждом их этих этапов теоретически вполне возможно подсмотреть номер карты. Вас это не смущает?
Артур, вы сейчас переводите административную плоскость в техническую. Для всех этих этапов есть свои административные решения, которые не всегда совершенны, но которые а) они есть б) я могу о них прочитать, если заинтересуюсь в) они несовершенны, но, поскольку они существуют, они могут становиться лучше г) они являются общим местом, отраслевым стандартом Например, если браузер не может обеспечить мне защищенную предачу данных, он передаёт мне решение о том, как поступить, и делает это в явном виде и информирует о рисках. Это не идеальная процедура, но она есть, она предлагает решение и она может быть улучшена. В данном же случае возможный доступ к персональным данным любо не защищен никак, либо мы не знаем, как он защищен. Даже если фактической угрозы не так много, как может показаться (хотя недавний случай с утеканием денег с карты у моей знакомой был именно через Робокассу), само наличие такой ситуации недопустимо для сервиса, который обрабатывает пользовательские данные, да еще и связанные с деньгами. И я не понимаю как этого можно не понимать.
Алексей, у Метрики есть Пользовательское соглашение, в котором явным образом написано, что Яндекс обязуется не разглашать собранную информацию третьим лицам — это ести говорить об административной плоскости. Во-вторых, доступ к этим данным имеет не кто попало, а владелец сайта, через который эти данные и без того проходят В-третьих, у владельца сайта есть возможность принять дополнительные меры безопасности, запретив запись данных в полях — что в данном случае и сделала Робокасса. Поэтому я не понимаю, о какой «недопустимой ситуации» идет речь.
А если пользователь ввел пароль в другое поле (случайно, специально, для лулзов)? Владельцы сайтов точно честные люди? А если за плечом честного владельца сайта стоит его нечестный знакомый (не владелец сайта)? Как можно однозначно определить, что сайт использует «вебвизор»? Какой процент пользователей знают об этом? Изменится ли их отношение к сервису, если они узнают о сути «вебвизора»?
> у Метрики есть Пользовательское соглашение А вам кто-то хоть слово про Метрику сказал? Всё прекрасно у Метрики, речь не о ней вообще. > через который эти данные и без того проходят Вы как будто не понимаете или не хотите понимать: в том случае они проходят НЕ КАК ПОПАЛО. В случае с доступом к статистике они проходят КАК ПОПАЛО. > запретив запись данных в полях Ну, это размечается в CSS. Вам это кажется достаточной степенью защиты?
Чего объяснили-то? «Все ок, мы поставили ключ -metrika-nokeys, не волнуйтесь?» А если завтра у Вебвизора появится баг, из-за которого этот ключ перестанет работать? (скажем, совершенно случайно у программиста найдется знакомый, работающий в Робокассе) Ставить на финансовые страницы сторонние скрипты (по крайней мере, не сделанные специально для этой цели) — верх безответственности.
Еще раз, у Робокассы уже есть эти данные, без дополнительных знакомств с программистами. Ввод происходит в форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Вебвизор не добавляет к данным ничего нового, он всего лишь показывает процесс заполнения формы.
Артур, нас не хотят услышать…. Какие-то высокие слова, безответственность и прочие оценочные суждения. А если прилетят инопланетяне… А если не прилетят? :) Еще к Яндексу, слава Богу, относятся с пиететом, а о нас, хоть миллион транзакций в сутки обработай, все равно пишут, что «скрипт Робокассы» сделан на коленке программистами-фрилансерами и т.п:) Так что я устраняюсь от спора. Если бы оппоненты хоть подписывались, я бы понимал компетенцию и уровень… а так — слова в воздух:( 2 Crio — есть 100% способ защитить Ваши данные от злой Робокассы — пришлите мне емайл, который указываете на нашей платежной странице, я поставлю его в blacklist:) P.P.S Коллеги, займитесь делом!
Вы так говорите, как будто Робокасса — это один человек, ну, может, два (я, вообще-то не в курсе, может, так и есть). Но если персонала там больше, чем две единицы, то я готов спорить, что доступ к базе, куда попадают данные форм, и доступ к данным Вебвизора имеют разные люди. Да, и кстати, разве Вебвизор данные на месте хранит? Не в Яндекс сливает? (я им никогда не пользовался, так что извините за глупые вопросы)
я почему-то так и подумал, что Вы так безапелляционно судите потому, что предмета разговора, собственно, в глаза не видели. Не расстраивайтесь, так многие поступают, это сейчас считается нормальным. Спасибо за внимание к нашему сервису! :) С уважением.
Я вот не считаю нормальным говорить потенциальному клиенту за критику, давайте мы вас в блэк лист внесем. С партнерами так же общаетесь? Не нравится, валите?
>Ввод происходит в форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Разве? Вроде как хранить они их не могут, иначе не пройдут сертификацию.
Александр, с ПАРТНЕРАМИ мы с удовольствием разговариваем:) С анонимными пустобрёхами — без удовольствия, но тоже разговариваем. В том всё и дело, что не было ни грамма критики. Ничего дельного. «ПО МОЕМУ МНЕНИЮ всё не так». Ну а по моему — так:) где тут критика? Добро бы человек представился и написал — я специалист по безопасности данных, работаю там-то, выполнил такие-то и такие-то проекты и по таким-то причинам считаю, что вам надо что-то поменять. Можно было бы вести диалог. А иначе я выступаю от своего имени и от своего проекта, а в ответ в меня некто из-за кустов пуляет «оценочными суждениями»:) Ну а про blacklist это я так пошутить хотел, если что:) С уважением.
Пост Олега Покровского про «не нравится — валите» надо вынести наверх. Пользователи должны знать своих героев. Артуру Суилину: > Еще раз, у Робокассы уже есть эти данные, без дополнительных знакомств с программистами. Ввод происходит в > форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Это не так. Платежные данные не должны сохраняться на сайте. Они должны отправляться в зашифрованном виде в процессинговый центр, откуда приходит ответ — одобрена транзакция или нет.
Добро бы человек представился и написал — я специалист по безопасности данных, работаю там-то, выполнил такие-то и такие-то проекты и по таким-то причинам считаю, что вам надо что-то поменять. Можно было бы вести диалог. Какой вы гордый, желаете услышать что 2х2=4 непременно из уст академика, не меньше? Ну, бог в помощь. Надеюсь только, что пока вы здесь ведете рекламную кампанию своего сервиса, вменяемые технари уже все поправили.
> Это не так. Платежные данные не должны сохраняться на сайте. Они должны отправляться в зашифрованном виде в процессинговый центр, откуда приходит ответ — одобрена транзакция или нет. Скорее всего, они так и делают. Где вы видите проблему? Весь тред посвящен обсуждению того, что Вебвизор НЕ ЗАПИСЫВАЕТ номера кредитных карт и Робокасса НЕ ВОРУЕТ эти данные. Забавно.
Артур, Crio пытается сказать, что нужно соблюдать не только букву PCI DSS, но и дух. Подключение ЛЮБОГО скрипта, содержимое которого платежный шлюз не контролирует — это плохо, что бы этот скрипт не делал. Сейчас у Метрики есть ключ, запрещающий отслеживание нажатий, завтра вы его может отменить или переименовать. Сейчас не было громких историй о взломе Яндекса и подмене скриптов, а если кто-то решит взломать и именно метрику — Робокасса будет оплачивать своим клиентам принесенный размещением скрипта Метрики вред?
> Сейчас у Метрики есть ключ, запрещающий отслеживание нажатий, завтра вы его может отменить или переименовать Давайте не будем использовать сослагательное наклонение, в противном случае можно придти к очень странным выводам. Сейчас вы писали этот пост, а завтра у вас что то перещелкнет в голове и вы разместите здесь номер своей кредитной карты. Означает ли это, что надо немедленно отобрать у вас кредитную карту, пока не началось? Запретить кредитные карты? Закрыть Roem?
> Давайте не будем использовать сослагательное наклонение Давайте не будем. Робокасса допустила серьезную брешь в защите своей страницы, подключив скрипт с неподконтрольного ей web-сервера. Давайте тогда заодно не будем про репутацию Яндекса, про «ничего плохого от Метрики не может быть» и т.д. Просто сухие факты. С точки зрения службы безопасности не должно быть различий между подключением на платежную страницу скрипта с сервиса Яндекса и подключением на платежную страницу скрипта с персонального сайта Васи Пупкина, у которого стоит WordPress не первой свежести. Я не против использования Метрики как таковой, на свой фронтэнд Робокасса пусть ее ставит сколько хочет, но на страницах, где вводятся данные банковских карт, не место никаким подключаемым со сторонних серверов или передающим информацию на сторонние сервисы скриптам.
kemko: Веб сервер, на котором работает Робокасса, написан не Робокассой. Язык программированияи и все его библиотеки, на которых создан сайт Робокассы, тоже написаны не Робокассой. Браузер, с помощью которого пользователи вводят номера кредитных карт, написаны не Робокассой. Вирусы и кейлоггеры, в изобилии живущие на компьютерах этих пользователей, написаны тоже не Робокассой. Каналы связи, по которым передаются данные, тоже не контролируются Робокассой. Но если Робокасса уберет с сайта маленький скрипт, всем известный, работающий на изрядной части сайтов Рунета и написанный не Робокассой, наступит всеобщее счастье и вселенский уровень безопасности повысится с «alarm» на «safe». Что ж, я не против.
>Веб сервер, на котором работает Робокасса, написан не Робокассой Как я понимаю, когда выдают сертификат PCI DSS, должен быть аудит, где все это окружение проверяют. Очевидно, что в кишках вебовизора, который имеет доступ к платежной форме, они не копались, и его не сертифицировали. Отличный повод отозвать сертификат, если они не дураки.
Тревога отменяется: у Робокассы честно отключена запись данных в полях ввода. Приватная информация никуда не утекает.