Biztonságos böngésző vs Webshopfejlesztők - Memento Mori

 ( hendrick | 2017. január 9., hétfő - 14:34 )

December 23-án vásároltam egy magyar webshopban regisztráció nélkül. Ismét beleléptem a saját rossz szokásom csapdájába - regisztráció nélküli vásárlás. Még egy rovátka, hogy ilyet többet magyar webshopban ne tegyek.

Minderre rájátszott a Kaspersky Safe Money browser kiegészítője, ami abban a pillanatban, ahogy fizetés tranzakciót észlel, azt egy külön private/secure browsing ablakban "védett módban" teszi meg. Fizettem. A kártyámra beterhelték. Visszaigazolást a webshoptól nem kaptam. A webshop főoldalán pedig kint állt ékes betűkkel, hogy a már ma leadott megrendeléseket a GLS már nem tudja ünnepek előtt kiszállítani, így hosszú ideig nyugodtan vártam a GLS szokásos hajnali e-mailjét arról, hogy Önnek ma csomagja fog érkezni.

Ma az ügyfélszolgálatos hölggyel történt első egyeztetés után úgy tűnik, hogy a megrendelésem a webshopból szőrén-szálán eltűnt. Köszönet Kasperskynak és annak, hogy a webshopot összekalapáló kolléga anno erre a lehetőségre nem gondolt - szerintem.
Gondoljunk rá. Lécci :)

A Kaspersky Safe Money a Kaspersky vírusirtó default pluginje minden fizetési tranzakcióhoz a böngészőben.

Már hat hónapja használom ezt a plugint, eddig probléma nélkül, most viszont valami félresikerült a gépezetben. Mivel máshol nem okozott semmilyen problémát, így a piacot webshoppal ellátó kollégák kis hányada nem gondolt csak rá, vagy ha nem is gondolt rá, ennek ellenére nem okoz problémát nagyja részüknél.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Köszönet Kasperskynak és annak, hogy a webshopot összekalapáló kolléga anno erre a lehetőségre nem gondolt - szerintem.
Gondoljunk rá. Lécci :)

Itt kinek mire kellett volna gondolnia?

+1, ha egy 3rd party app beletrollkodik a tranzakcióba, arról szerintem nem a webshop tehet

Hát mondjuk gondolhatott volna arra, hogy a sikeres banki tranzakció után a webshopba visszairányítás nem történik meg, de a banki tranzakció sikeresen végbemegy, akkor ne törölje a vásárlási session adatait, ergo onnantól, hogy kiirányítja fizetni az ügyfelet, már maradjon meg a mentett kosár, amit a nélkül is teljesítettre kellne vennie, hogy a tranzakció után sikeresen visszajön a kliens, kizárólag a sikeres banki tranzakció alapján.

amit a nélkül is teljesítettre kellne vennie, hogy a tranzakció után sikeresen visszajön a kliens

Hát ezt így még ne tanítsd.

Jogi szempontból: A webshopon volt egy ajánlat, végig lett klikkelve a vásárló részéről, aki fizetett a felajánlott szolgáltatásért. Az, hogy a fizetés utáni redirect nem működik akármilyen ok miatt, attól a vásárlás megtörtént. Technikai jellegű a probléma. Igen tudom távollevők között kell visszaigazolás is... de semmi alapját nem látom annak, hogy ezt a webshop egy timeout után a sikeresen beérkezett banki tranzakció alapján ne igazolhatná vissza a webshopba és küldhetné ki az értesítőt, és indulhatna a dispatch.
Más külföldi webshopokban ez már jópárszor megtörtént a nélkül, hogy bármit bele kellett volna avatkozni. Sőt még a magyar tesco online felülete is csont nélkül átmegy ugyanezzel a pluginnel.
Nem vagyok egy webshop guru, csak azt látom, hogy a "nagyok" fel vannak készülve erre a pluginre, a "kicsik" meg elhasalnak - eddig egy.

Nem-e lehet az, hogy esetleg a "nagyok" esetében a plugin körbe van gányolva workaroundokkal, a "kicsik" esetében meg nem?

Nem, szerintem a "kicsiknél" nincs a webshopban feedback mechanizmus a beérkezett bankkártyatranzakciók alapján, ami alapján ezen a holtponton továbblendíthető a megrendelés. De ez csak az én szubjektív vásárlói oldali feltételezésem.
Sejtésem szerint vagy törlődött a megrendelés vagy valamilyen a customer support által nem hozzáférhető bugyrába került át. És most ott a customer support is időt tölt vele, én is, és ott az IT kolléga is fog, amíg ezt kimazsolázzák kézzel, mert a megrendelés ettől a ponttól nem tud automatikusan továbbfutni (volt egy kosár - ez eltűnt, és hozzá van sikeres banki tranzakció, a pénz beérkezett a céghez a webshop által eredetileg kért azonosítóval). Pedig én továbbra is vásárolni akarok, ők pedig továbbra is eladni, csak a vásárlás maga törött el (feltételezéseim szerint) egy olyan plugin miatt, amivel más webshopokban csont nélkül vásárolok. Az én szempontomból a webshop nem a megfelelő körültekintéssel lett megírva.

Igen, tudom, itthon és a "kicsiknél" az is nagy szám ha egy normális készletnyilvántartás van összedrótozva a webshoppal, nemhogy a banki adatok...

Tudni kellene, hogy pontosan mit csinal az a plugin "safe browsing" mukodes alatt. Ha a 3. fel nyujtotta fizetooldalrol tortent atiranyitas utan tok ures kukistoraget mutat a webshop iranyaba, akkor a webshopnak lovese nem lesz, hogy te pontosan ki vagy es mifele uton johettel arra az URLre. Gyk, ha csak egy generikus "https://webshopod.hu/webbank_back" urlre tortenik a visszairanyitas (sok helyen igen) es az user session tartalmazza a vasarlas azonositot, tranzakcio azonositot es ezutan kerdezne be a bankhoz a webshop, hogy tenyleg fizetett-e/tenyleg annyit-e, akkor az ures sessionnel ezt az informaciot jol ki is dobtad. Szerintem 7/15/30 (webshop es a fizetest nyujto 3. fel kozotti szerzodes tartalma szerint) nap utan vissza fog kerulni hozzad a beterhelt osszeg.

---
Apple iMac 27"
áéíóöőúüű

Igen, ezt én is így sejtem, ami viszont érdekes, hogy a gigászok webshopjain csont nélkül megy. Teljes mértékben értem a cookie problémát és pont ezért dobtam a posztot, hogy ma amikor az emberek egyre érzékenyebbek arra, hogy a bankkártya adataikat hova pötyögik be, vannak ilyen pluginek, amikhez úgy tűnik az óriási forgalmú webshopok adoptálódtak, a picik pedig várják a sütit, mint a jó paci, addig nem moccannak, sőt ha nem regisztrált a user a webshopba, akkor az egész vásárlás adatcsomagot kukázzák. Az eladónak és a vevőnek is vesződség, de sok webshop felkészült már erre, de vannak amelyikek nem...
A másik pikantériája a dolognak, hogy Privacyhuszár Józsi csak az adattemető gigavállalatoknál tud privacy-pluginjével vélten biztonságosan vásárolni, mert kis helyi webbótnak nincs energiája lekövetni ezeket az új "úri huncutságokat". Egy újabb egészségtelen kontraszelekció.

Most nem azert, de ha xyz kukit beallitva a webshop elkuld teked fizetni, akkor csak akkor fogja tudni, hogy visszatertel, ha prezentalod feleje az xyz kukit. Ebben semmi baj nincs. Ha te kidobod ezt a kukit, akkor ne csodalkozz, ha problemakba utkozol. Meg kell nezni a plugin forrasat, nincs-e benne mindenfele kivetel a nagy ismert shopokhoz es vagy fizetesi szolgaltatokhoz. Mert hiaba szeretned azt, hogy a webshop ne varjon kukit, ha a 3. fel fizetooldalanal a visszairanyitas utan a webshop maximum a korabban lerakott kukival tud teged azonositani. Egyszeruen nem kell ilyen pluginokat hasznalni.

---
Apple iMac 27"
áéíóöőúüű

Amúgy mit is csinál ez a plugin és miért engedsz oda egy 3rd party szoftvert a bankkártyás fizetés közelébe?

> mert kis helyi webbótnak nincs energiája lekövetni ezeket az új "úri huncutságokat"

Jajaja, az simán reális hogy mindenféle jöttment plugin fogadására készüljön fel a webbolt tulajdonosa (a saját költségén, nyilván), mert egyesek szeretik (az ábra szerint hibásan működő) plugineket. Lehetőleg az összes webshop készüljön fel az összes "security" plugin kezelésére.

szerk:
> Privacyhuszár Józsi
Azt meg már csak halkan, hogy akinek tényleg számít a privacy és ért is hozzá, az eleve nem használ ilyesmit.

szerk 2:
Amúgy meg csak a neved, elérhetőségeidet, lakcímedet és sokszor a munkahelyed címét (szállításhoz) adod meg a webshopnak, tulajdonképpen mitől véd meg ez a plugin? :D

Nyilvan attol, hogy a webshop megtudja, hogy fizetett!

---
Apple iMac 27"
áéíóöőúüű

:D

ezt sikerült is :) de érdekes módon számtalan webshop után csak egynél...

Egyébként pont az az érdekes, hogy a webboltokkal eddig eggyel sem volt problémám, pedig már fél éve aktív a plugin. Úgyhogy igen, a webshopok jelentős része fel van készülve rá, most futottam először bele egy olyanba, ami nincs.

Sajnos informatikus által elvárható mélységű dokumentációt még nem találtam, ami elgondolkodtató. User level leírás:
https://blog.kaspersky.com/kaspersky-safe-money-2016-settings/10325/
Csak a fizetési tranzakció triggereli, maga a webshop nem, tehát ha utánvéttel kérsz bármit, nem találkozol vele.

Gyakorlatilag előre konfigurált weboldalakon egy külön lecsupaszított private browsing sessionbe átdobja a fizetési tranzakciót, letilt minden más plugint (hátha van káros közöttük) és automatikusan képernyőbillentyűzetet ad (anti-keylogger).
Pl ha másvalaki használja a gépet, a best practice-ek jelentős részét automatikusan enforce-olja a nélkül, hogy ott kellene ülni a válla fölött egy átlagusernek.

Engem ez a private browsing session zavar az egeszben. Terminologia szerint ez azt jelenti, hogy ures a sutisbodon, ilyenkor viszont a fizetes megtortente utan a visszairanyitast mar NEM SZABADNA private sessionben megtennie, pontosan a fentebb vazolt okok miatt - ugyanis a private browsing session azt jelenti, hogy te anonymouskent jossz vissza a webboltba - hat anonnak meg nem fogok odaadni semmifele kosarat, meg fizetesi allapotot, orulj, hogy nem 403-at kapsz egy amugy kizarolag belepve ertelmes URL-re.
--
Blog | @hron84
Üzemeltető macik

Nem azt jelenti a private session, hogy nem tárol a munkamenet ideje alatt sütit, hanem azt, hogy ezt nem permanensen teszi. Amíg a privát session (ettől session) ablaka nyitva van, addig az abban keletkező sütik érvényesek - de nem tárolódnak el, csak a memóriában. Amint az ablakot bezárod, máris nem léteznek a sütik.

Nem azt mondtam, hogy nem tarol el sutit, azt mondtam, hogy ures a sutisbodon, vagyis nincs meg, nem orokiti at az elozoleg megnyitott ablakbol a sutiket, marpedig a visszairanyitasnal az eredeti bongeszo sutijeire lenne szukseg, hogy az oldalon inditott session helyrealljon.
--
Blog | @hron84
Üzemeltető macik

etikátlan dolgot fogok művelni

Értem a problémá(ka)t. A pluginnel kapcsolatosat is, de nem az zaklat. Hanem az, hogy akkor most kapod a cuccot, vagy nem? Ha "szőrén-szálán eltűnt" a megrendelés a webshopból, viszont a kártyádat beterhelték (ergo a lé átért nekik (vagy az is elveszett valahol?)), akkor visszadják, vagy mi lesz? Vagy én nem értem....

--
jAzz

Egyik kollega írta fentebb, hogy ahogy "timeoutol" a banki tranzakció, majd visszakapom szerinte.
Nekem ez a tranzakció nem zárolt tételként szerepel, hanem már levonták, tehát szerintem ez már az eladónál van.
Vagy refundolnak vagy összekapják a cumót és küldik. Remélem holnap sikerül választ adniuk rá. Ma még csak addig jutottunk, hogy a pontos összeg és nap megjelölése után a második telefonbeszélgetésünkkor kérték, hogy a banki tranzakciós adatsort erre a tételre vonatkozóan küldjem át, ezt ma 16-kor megtettem. Talán holnap ők is eldöntik mit szeretnének. Én várom a cuccot. Ha nem tőlük rendelem, akkor fillérre ugyanannyiért még két másik forgalmazó van, a szállítás itt volt a legolcsóbb.
Belföldi jogi személy, évek óta tőlük vásárolok, nem lesz itt gond. Csak a technika köpött bele a levesbe.

Melyik bank fizetooldala volt?

CIB

Mondjuk amint nem kaptál visszaigazoló e-mailt a webshoptól, már elkezdhettél volna érdeklődni, a várakozás helyett.

Egy német webshop ugyanúgy nem küldött semmit, sőt még a tracking sem működött - oda regisztráltam, de amikor másnap megkerestem őket telefonon azt mondták, hogy persze minden rendben, már berendelték a cuccot, én hiába nem látok semmit, amint bejön hozzájuk, látni fogom ha dispatchelik. Ez a német rendelés időre meg kellett érkezzen, ez a belföldi amin most nyűglődök, mint az érdeklődésem időpontja mutatja, nem volt annyira sietős, de most már reklamálnom kell, mivel hosszú ideig az ünnepi túlterheltség meg szabadságolások miatt véltem berekedtnek a rendelést. Nem zavar a késlekedés. Az zavar, hogy tőlem levették a pénzt, és valahogy ott lebeg az eladónál úgy, hogy nem tudnak róla, pedig nyilván a webshop által legenerált sztenderd tranzakciós azonosítóval érkezett be hozzájuk, de valahogy a webshop és a pénzügyi rendszer szerintem nem megfelelő összedolgozása miatt kell egyáltalán foglalkoznunk ezzel. Szerintem ez tervezési hiba, vagy a megrendelő spórolt, és azt mondta, hogy ez neki túl drága, ő megvan e nélkül. Még a közszférában is, ha megjelent valamilyen bejövő utalás, amiről elsőre nem tudták eldönteni, hogy micsoda, a pénzügyesek azonnal lázas telefonálgatásba/emailezésbe kezdtek, hogy itt van ez az automatikusan nem feldolgozható beérkező tétel, kié, és mi ez, és ha megjelent a delikvens akkor nem üveges szemmel néztek rá, hanem lenézően konstatálták, hogy ahá már erről levelezünk egy hete a kollegával, hogy ez meg micsoda, már majdnem visszautaltuk... Sok dolog nem működik a közszférában, de ez speciel működött. (nagy intézményi közös számla, ahol azonnal fel kell cimkézni minden beérkező tételt, hogy milyen jogcímen jött és melyik szervezeti egységé)

Nem értem azokat akik szerint (annak ellenére hogy informatikusak) normális hogy a webshop csak a redirect-re építi a logikát. A függő tranzakciókat (ha nem push-ban jön) le kell kérdezni és fel kell dolgozni. Ez benne van a apik dokumentációjában is, de a józan ész is ezt diktálja. 1000 oka lehet (és van is) hogy miért nem jut vissza a böngésző a banki oldalról, nem csak egy security plugin.

Altalaban nem kell lekerdezni, hanem a szolgaltato callback-el a megadott url-re. (es ujraprobalkozik amig nem kap 200-as valaszt)

+1

Levontak a penzt, errol rendelkezesre all nekik a banki visszaigazolas, ezek utan totagast is allhatok, ok tartoznak nekem.

Arról nem beszélve, hogy a CIB-et még kérdezni sem kell, mert visszaszól az magától és csak azután redirectel a webshopra.

Egyébként nem az a legnagyobb baj, hogy redirectre épít, hanem, hogy nincs erre valami folyamat, hogy ilyenkor mit kezdjenek a rendeléssel.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

+1 A bolt másnap visszaigazolta, hogy megvan a zseton, NBD érkezett is a cucc. De mindehhez az kellett, hogy a vásárló, aki fizetett reklamáljon, tegyen két kört a CS-el, és szórakoztatták a pénzügyes és az informatikus kollegát (imho humán erőforrás pazarlás). A helyett, hogy vagy automatikusan végigfutott volna a rendelés a sikeres fizetés alapján, vagy a bolt oldalán a három közül bármelyiknek feldobta volna a hibaüzit, hogy van egy félbeszakadt rendelésünk, és/vagy van egy beérkező utalásunk ami nem tudjuk, hogy mi. A bolt korrekt volt, ahogy jeleztem, intézkedtek, a webshop engine múlta csak alul a várakozásaimat. Akinek nem inge ne vegye magára.