Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нем неправильно. Необходимо обновить браузер или попробовать использовать другой.
raynefan, а я вот в интырнете читал, что 3D-Secure проверяет не адреса, а отдельный пароль выданный банком-эмитентом своему клиенту.
Где правда?
Вот что пишут в статьях про технологию 3D-Secure, используемую Визой и Мастеркардом:
Сначала человек регистрирует себя в системе электронной торговли. Он заходит на интернет-сайт банка эмитента и по ключевому слову (называется при оформлении карты) получает отдельный пароль для совершения покупок в интернете. Далее он идет в интернет-магазин, выбирает товар и заявляет, что собирается расплатиться картой. Запрос поступает на сервер банка-эмитента, который и производит аутентификацию. На экране компьютера появляется окно банка-эмитента с просьбой ввести пароль. В этот момент между персональным компьютером пользователя и банком организуется закрытое соединение, в которое не получает доступа ни платежная система, ни магазин. Человек вводит данные карты и пароль, банк их проверяет, после чего сообщает магазину результаты проверки - да или нет.
Ощущение, что ты привел дико устаревшую инструкцию какого-то отдельного банка, которая не имеет отношения к тому, как происходит авторизация карточки. Что это за отдельный пароль? Тебе его выдавали? Нет. И никому ничего банк не выдает. Ты что при оплате в и-нете общаешься со своим банком? Нет. Если тут корявым языком написано про CVV2 или CVC2 код, то опять же код сейчас не проверяется. Потому что этот код невозможно ввести в форму онлайн-магазина, который перешел на 3dSecure. При вводе данных карточки никакого соединения с банком-эмитентом не возникает. Возникает окно той организации, которая берет на себя обязательства переслать эту информацию к базе, где хранятся все данные по выпущенным карточкам банков. Разумеется, процедура авторизации карточки происходит не так примитивно, как я писала. Но факт в том, что проверяется совпадение биллинг адреса и шипинг адреса.
Я только вижу, что написана чепуха. Разумеется, я не сильна в финансовых вопросах, я просто повторяю те вещи, которые сообщались на форуме bankir.ru, где присутствуют специалисты по этому делу. Но я вижу, что при оплате в и-нете не происходит ничего подобного из того, что ты привел. Какой-то пароль, окно соединения с банком-эмитентом.
Я думаю, речь идет о пароле, который вводится при входе в аккаунт онлайн-магазина. Поэтому это пароль не банка-эмитента, а пароль человека, который платит через свой акк.
Вот вольный перевод описания процедуры авторизации по 3D Secure.
Код:
1)Пользователь проходит енроллмент у банка-эмитента. В процессе енроллмента, пользователь вводит данные о карте. Банк-эмитент проверяет эти данные, и сохраняет в Access Control Server данные, необходимые для покупки (например, пароли). 2) Когда пользователь начинает оплачивать товар, 3D Secure мерчант делает запрос в Visa Directory. Visa Directory с помощью Access Control Server проверяет, прошли ли вы енроллмент. 3) При положительном ответе от Visa Directory, мерчант отправляет пользователя на Access Control Server, где тот проходит авторизацию. Результат авторизации отправляются мерчанту. Если авторизация проходит, процессинг идет как обычно.
raynefan, ну я всего лишь поискал достоверную инфу про 3D-Secure, и вся инфа, которую я смог найти в официальных достоверных источниках, говорит о том же немного разными словами. Там же, кстати, написано, что российские банки пока не дружат с 3D-Secure, поэтому, стало быть, нам банк и не выдаёт отдельного пароля и с банком мы не соединяемся во время покупок в рамках данной технологии. Вот один из источников, .
Приведи английский аналог. Я не нашла такой фразы в тексте, который ты привел. Или слишком вольный перевод или просто неверный.
1)Пользователь проходит енроллмент у банка-эмитента. В процессе енроллмента, пользователь вводит данные о карте. Банк-эмитент проверяет эти данные, и сохраняет в Access Control Server данные, необходимые для покупки (например, пароли).
1. Cardholder goes to Issuer enrollment Web page and provides card number, expiration date, other identification information specified by the Issuer, and any required shared secret, such as a password or Personal Assurance Message.
Cardholder - это держатель карты
Фраза о пароле относится не к банку-эмитенту, а к к держателю карты и означает, что в процессе покупки держатель карты должен при покупке идентифицировать себя как держателя. А именно введя пароль и свою персональную информацию.
И такой:
Enrollment is the process by which cardholders are enabled to use the service. When cardholders enroll, they are asked for relevant identification information as well as personal information such as a password and a Personal Assurance Message. (These will be used later at the time of purchase.) Once this data is collected and the Issuer has verified the cardholder responses, the cardholder is enrolled in 3-D Secure. The Issuer’s Enrollment Server tracks participating cardholders and passes the record of enrollment to the Issuer’s Access Control Server. Each time the cardholder conducts a transaction for which a 3-D Secure authentication request is generated, this Access Control Server will be consulted to verify that the cardholder is in fact enrolled in 3-D Secure. В котором опять же говорится об идентификации пользователя, которого через идентификацию можно или нельзя допустить к процессу.
Под пользователем я имел ввиду покупателя (пользователя) интернет магазина. При оплате картой он является держателем карты (в большенстве случаев). Смысл понятий практически равнозначен в данном контексте.
Код:
3. The Enrollment Server supplies an update to the Access Control Server, including the newly enrolled card number and any other data required for subsequent purchase authentication, such as a password.
То есть Enrollment Server отправляет на Access Control Server данные а карте, и другие данные, необходимые для аутентификации покупки (такие, как пароль). Это описано в enrollment example. То, что в общем случае это не описано, говорит лишь о том, что 3-D Secure зависит от конкретных Enrollment Server и Access Control Server. Но факт остается фактом - в процессе енроллмента на Access Control Server сохраняется информация, используемая для дальнейшей идентефикации пользователя (держателя карты). Самым очевидным и простым для конечного пользователя видом такой информации, может быть пароль.
Код:
3. The Merchant Server Plug-in sends an authentication request to the Access Control Server via the cardholder browser. 4. The Access Control Server queries the cardholder for password. The cardholder enters the password, and the Access Control Server verifies it.
В дальнейшем держатель карты, прошедшей енроллмент, должен пройти аутентификацию на Access Control Server (очевидно, с использованием информации, как описано выше).
raynefan, ну я всего лишь поискал достоверную инфу про 3D-Secure, и вся инфа, которую я смог найти в официальных достоверных источниках, говорит о том же немного разными словами. Там же, кстати, написано, что российские банки пока не дружат с 3D-Secure, поэтому, стало быть, нам банк и не выдаёт отдельного пароля и с банком мы не соединяемся во время покупок в рамках данной технологии. Вот один из источников, .
В этой статье много чепухи, в том числе слова о том, что "довольно сложно всем владельцам карт раздать пароли". Очень трудно раздать пароли, прям в этом вся соль. "у нас Интернет-торговля пока не получила такого развития, как во всем мире." Да что вы говорите. Прям таки мы такие темные и неразвитые. И медведи у нас по Красной площади ходят. И водку мы из самоваров пьем. :lol: " Во-вторых, люди предпочитают за покупки в Сети расплачиваться наличными". Это как? Если человек покупает товар в Москве и живет в Москве - да, возможно можно сделать оплату курьеру. Но все-таки средства электронной торговли и в Москве и в других городах есть. Можно сделать оплату через карточку и через WebMoney, Yandex Деньги и т.д. Может у нас и нет десятков лет опыта оплаты товаров в и-нете, но опыт уже довольно большой.
Ситуация такая - если банк не поддерживает 3-D Secure, то он может: 1) Провести процедуру авторизации карточки старым способом. Но без приема CVV2 кода. А с проверкой совпадение адресов. 2) Отказаться вообще проводить авторизацию карточки. Что и делает Альфа-банк
Получается, что данные о карточке хранятся не в базе данных онлайн-магазина, а в базе данных банка. И теперь только банк несет ответственность за то, что хакер украдет данные с сервера банка. Что такое взломать пароль или уж тем более перехватить смс? Ни один российский банк не поддержвает 3-D Secure, потому что это дорого и совсем невыгодно банку. Поэтому банки разделились на 2 группы по 1-му и 2-му признаку. И в любом случае теперь риск несет банк, а не Виза.
Под пользователем я имел ввиду покупателя (пользователя) интернет магазина. При оплате картой он является держателем карты (в большенстве случаев). Смысл понятий практически равнозначен в данном контексте.
И дальше-то что? Все равно никто из нас этой формы в глаза не видел. Если вернуться к теме этого топика, все дело в том, что при отсутствии этой технологии у банка, банк может пойти на риск и провести авторизации карточки, а может отказать. И поэтому все сводится к тому, что ни один российский банк тратится на 3-d Secure не хочет, но при этом он еще может идти на риск и давать возможность делать оплату в зарубежном и-нете держателю карты по старому варианту, а может просто отрубить все платежи в зарубежном и-нете. Из чего можно сделать вывод - что через какое-то время произойдет следующее:
1) Все зарубежные онлайн-магазины будут требовать оплату через 3-d Secure (который мы может никогда и не увидим) и отрубят возможность авторизации по старому варианту. Потому что магазинам это очень выгодно.
2) Ни один российский банк не перейдет на эту технологию, потому что им это совершенно не выгодно.
3) Ни один россиянин не сможет делать оплату в зарубежном и-нете
Если вернуться к теме этого топика, все дело в том, что при отсутствии этой технологии у банка, банк может пойти на риск и провести авторизации карточки, а может отказать.
Собственно, это и так ясно. Мне не понравился тот факт, что я уже видел несколько постов от вас, где утверждалось то, что 3-D Secure аутентифицирует клиента магазина как владельца использоемой им карты при помощи сверки биллинг и шиппинг адресов. Некоторое время я так считал (благодоря вашим постам), но, увидив посты OlegK, посмотрел официальную документацию от Visa. Согласитесь, что сверка "биллинг и шиппинг адресов" не вписывыается в технологию, описанную в приведенном выше документе.
Собственно, это и так ясно. Мне не понравился тот факт, что я уже видел несколько постов от вас, где утверждалось то, что 3-D Secure аутентифицирует клиента магазина как владельца использоемой им карты при помощи сверки биллинг и шиппинг адресов. Некоторое время я так считал (благодоря вашим постам), но, увидив посты OlegK, посмотрел официальную документацию от Visa. Согласитесь, что сверка "биллинг и шиппинг адресов" не вписывыается в технологию, описанную в приведенном выше документе.
Я не занималась изучением этой технологии, поэтому передавала ту информацию, которую прочла на форумах по банковском делу. Возможно, что внутри этой технологии сидит проверка совпадение биллинг и шиппинг адреса. Когда идет запрос на сервер банка-эмитента, то туда ведь передается не только пароль, но и другая информация (relevant identification information). Пароль - это только вход в базу банка-эмитента. Этого слишком мало, чтобы получить авторизацию.
raynefan, ну я всего лишь поискал достоверную инфу про 3D-Secure, и вся инфа, которую я смог найти в официальных достоверных источниках, говорит о том же немного разными словами. Там же, кстати, написано, что российские банки пока не дружат с 3D-Secure, поэтому, стало быть, нам банк и не выдаёт отдельного пароля и с банком мы не соединяемся во время покупок в рамках данной технологии. Вот один из источников, .
[quote:74a78d7c23="raynefan"] Но факт в том, что проверяется совпадение биллинг адреса и шипинг адреса.
В этой статье много чепухи, в том числе слова о том, что "довольно сложно всем владельцам карт раздать пароли". Очень трудно раздать пароли, прям в этом вся соль. "у нас Интернет-торговля пока не получила такого развития, как во всем мире." Да что вы говорите. Прям таки мы такие темные и неразвитые. И медведи у нас по Красной площади ходят. И водку мы из самоваров пьем. :lol: " Во-вторых, люди предпочитают за покупки в Сети расплачиваться наличными". Это как? Если человек покупает товар в Москве и живет в Москве - да, возможно можно сделать оплату курьеру. Но все-таки средства электронной торговли и в Москве и в других городах есть. Можно сделать оплату через карточку и через WebMoney, Yandex Деньги и т.д. Может у нас и нет десятков лет опыта оплаты товаров в и-нете, но опыт уже довольно большой.
Ситуация такая - если банк не поддерживает 3-D Secure, то он может: 1) Провести процедуру авторизации карточки старым способом. Но без приема CVV2 кода. А с проверкой совпадение адресов. 2) Отказаться вообще проводить авторизацию карточки. Что и делает Альфа-банк
Получается, что данные о карточке хранятся не в базе данных онлайн-магазина, а в базе данных банка. И теперь только банк несет ответственность за то, что хакер украдет данные с сервера банка. Что такое взломать пароль или уж тем более перехватить смс? Ни один российский банк не поддержвает 3-D Secure, потому что это дорого и совсем невыгодно банку. Поэтому банки разделились на 2 группы по 1-му и 2-му признаку. И в любом случае теперь риск несет банк, а не Виза. [/quote:74a78d7c23] Так при чём тут шиппинг адрес? Я так и не понял из твоего поста! Давай уже ссылку на свою чепуху, и хватит нам заливать.
Хамить-то зачем? Не нравятся мои слова - можешь на них не отвечать. Ты вообще делал оплаты в и-нете или нет? Вводил шиппинг адрес и биллинг-адрес? Когда они не совпадают, то продавец может отказать в авторизации карточки. Поищи на форуме жалобы людей, которые регились в Пайпале с карточкой, у которой адрес ее открытия не совпадал с адресом проживания. Я по-моему ясно написала, что информация с форума bankir.ru Сделай там поиск по слову billing и увидишь инфо, о котором я говорила.
По твоим ссылкам я опять не нашёл упоминаний 3D-Secure. Третий раз про связь шиппинг адреса с технологией 3D-Secure спрашивать не буду, ладно, проехали. Мне было просто интересно, но совсем не важно. Не обижайся!
Ладно, рассказываю как Verified by Visa/3D работает.
Для обычной процедуры приема карточки идет сверка Фамилии, имени, billing address (числовые значения этого адреса, например, если ваш адрес 25 Lenin St., Аpt. 123 Brooklyn, NY 10001, USA, то для сверки используется 25, 123, 10001- почтовый индекс/zip-code, NY-абревиатура штата, USA-страна) и CVV. Все эти данные хранятся на магнитной полосе карты и/или на напечатаны на ней (как CVV).
Для 3D процедуры генерируется отдельный код (пароль), который не записан на магнитной полосе и не напечатан на карте. Этот код создается владельцем карты и хранится на отдельном сервере, отдельно от остальной карточной информации. То есть если у вас украли карту или даже взломали компьютер банка, то этот код вор не получит все равно. Поэтому транзакции по 3D считаются более защищенные и мерчант не несет ответственности за chargeback по причине unauthorized transaction в этом случае.
При покупке по технологии 3D, покупатель на определенном этапе вносит этот код (в дополнение к остальной информации).
Естественно, никакой 3D не защищает от фишинга или социальной инженерии.
