Biztonságos böngésző vs Webshopfejlesztők - Memento Mori

December 23-án vásároltam egy magyar webshopban regisztráció nélkül. Ismét beleléptem a saját rossz szokásom csapdájába - regisztráció nélküli vásárlás. Még egy rovátka, hogy ilyet többet magyar webshopban ne tegyek.

Minderre rájátszott a Kaspersky Safe Money browser kiegészítője, ami abban a pillanatban, ahogy fizetés tranzakciót észlel, azt egy külön private/secure browsing ablakban "védett módban" teszi meg. Fizettem. A kártyámra beterhelték. Visszaigazolást a webshoptól nem kaptam. A webshop főoldalán pedig kint állt ékes betűkkel, hogy a már ma leadott megrendeléseket a GLS már nem tudja ünnepek előtt kiszállítani, így hosszú ideig nyugodtan vártam a GLS szokásos hajnali e-mailjét arról, hogy Önnek ma csomagja fog érkezni.

Ma az ügyfélszolgálatos hölggyel történt első egyeztetés után úgy tűnik, hogy a megrendelésem a webshopból szőrén-szálán eltűnt. Köszönet Kasperskynak és annak, hogy a webshopot összekalapáló kolléga anno erre a lehetőségre nem gondolt - szerintem.
Gondoljunk rá. Lécci :)

A Kaspersky Safe Money a Kaspersky vírusirtó default pluginje minden fizetési tranzakcióhoz a böngészőben.

Már hat hónapja használom ezt a plugint, eddig probléma nélkül, most viszont valami félresikerült a gépezetben. Mivel máshol nem okozott semmilyen problémát, így a piacot webshoppal ellátó kollégák kis hányada nem gondolt csak rá, vagy ha nem is gondolt rá, ennek ellenére nem okoz problémát nagyja részüknél.

Hozzászólások

Köszönet Kasperskynak és annak, hogy a webshopot összekalapáló kolléga anno erre a lehetőségre nem gondolt - szerintem.
Gondoljunk rá. Lécci :)

Itt kinek mire kellett volna gondolnia?

Hát mondjuk gondolhatott volna arra, hogy a sikeres banki tranzakció után a webshopba visszairányítás nem történik meg, de a banki tranzakció sikeresen végbemegy, akkor ne törölje a vásárlási session adatait, ergo onnantól, hogy kiirányítja fizetni az ügyfelet, már maradjon meg a mentett kosár, amit a nélkül is teljesítettre kellne vennie, hogy a tranzakció után sikeresen visszajön a kliens, kizárólag a sikeres banki tranzakció alapján.

Jogi szempontból: A webshopon volt egy ajánlat, végig lett klikkelve a vásárló részéről, aki fizetett a felajánlott szolgáltatásért. Az, hogy a fizetés utáni redirect nem működik akármilyen ok miatt, attól a vásárlás megtörtént. Technikai jellegű a probléma. Igen tudom távollevők között kell visszaigazolás is... de semmi alapját nem látom annak, hogy ezt a webshop egy timeout után a sikeresen beérkezett banki tranzakció alapján ne igazolhatná vissza a webshopba és küldhetné ki az értesítőt, és indulhatna a dispatch.
Más külföldi webshopokban ez már jópárszor megtörtént a nélkül, hogy bármit bele kellett volna avatkozni. Sőt még a magyar tesco online felülete is csont nélkül átmegy ugyanezzel a pluginnel.
Nem vagyok egy webshop guru, csak azt látom, hogy a "nagyok" fel vannak készülve erre a pluginre, a "kicsik" meg elhasalnak - eddig egy.

Nem, szerintem a "kicsiknél" nincs a webshopban feedback mechanizmus a beérkezett bankkártyatranzakciók alapján, ami alapján ezen a holtponton továbblendíthető a megrendelés. De ez csak az én szubjektív vásárlói oldali feltételezésem.
Sejtésem szerint vagy törlődött a megrendelés vagy valamilyen a customer support által nem hozzáférhető bugyrába került át. És most ott a customer support is időt tölt vele, én is, és ott az IT kolléga is fog, amíg ezt kimazsolázzák kézzel, mert a megrendelés ettől a ponttól nem tud automatikusan továbbfutni (volt egy kosár - ez eltűnt, és hozzá van sikeres banki tranzakció, a pénz beérkezett a céghez a webshop által eredetileg kért azonosítóval). Pedig én továbbra is vásárolni akarok, ők pedig továbbra is eladni, csak a vásárlás maga törött el (feltételezéseim szerint) egy olyan plugin miatt, amivel más webshopokban csont nélkül vásárolok. Az én szempontomból a webshop nem a megfelelő körültekintéssel lett megírva.

Igen, tudom, itthon és a "kicsiknél" az is nagy szám ha egy normális készletnyilvántartás van összedrótozva a webshoppal, nemhogy a banki adatok...

Tudni kellene, hogy pontosan mit csinal az a plugin "safe browsing" mukodes alatt. Ha a 3. fel nyujtotta fizetooldalrol tortent atiranyitas utan tok ures kukistoraget mutat a webshop iranyaba, akkor a webshopnak lovese nem lesz, hogy te pontosan ki vagy es mifele uton johettel arra az URLre. Gyk, ha csak egy generikus "https://webshopod.hu/webbank_back" urlre tortenik a visszairanyitas (sok helyen igen) es az user session tartalmazza a vasarlas azonositot, tranzakcio azonositot es ezutan kerdezne be a bankhoz a webshop, hogy tenyleg fizetett-e/tenyleg annyit-e, akkor az ures sessionnel ezt az informaciot jol ki is dobtad. Szerintem 7/15/30 (webshop es a fizetest nyujto 3. fel kozotti szerzodes tartalma szerint) nap utan vissza fog kerulni hozzad a beterhelt osszeg.

---
Apple iMac 27"
áéíóöőúüű

Igen, ezt én is így sejtem, ami viszont érdekes, hogy a gigászok webshopjain csont nélkül megy. Teljes mértékben értem a cookie problémát és pont ezért dobtam a posztot, hogy ma amikor az emberek egyre érzékenyebbek arra, hogy a bankkártya adataikat hova pötyögik be, vannak ilyen pluginek, amikhez úgy tűnik az óriási forgalmú webshopok adoptálódtak, a picik pedig várják a sütit, mint a jó paci, addig nem moccannak, sőt ha nem regisztrált a user a webshopba, akkor az egész vásárlás adatcsomagot kukázzák. Az eladónak és a vevőnek is vesződség, de sok webshop felkészült már erre, de vannak amelyikek nem...
A másik pikantériája a dolognak, hogy Privacyhuszár Józsi csak az adattemető gigavállalatoknál tud privacy-pluginjével vélten biztonságosan vásárolni, mert kis helyi webbótnak nincs energiája lekövetni ezeket az új "úri huncutságokat". Egy újabb egészségtelen kontraszelekció.

Most nem azert, de ha xyz kukit beallitva a webshop elkuld teked fizetni, akkor csak akkor fogja tudni, hogy visszatertel, ha prezentalod feleje az xyz kukit. Ebben semmi baj nincs. Ha te kidobod ezt a kukit, akkor ne csodalkozz, ha problemakba utkozol. Meg kell nezni a plugin forrasat, nincs-e benne mindenfele kivetel a nagy ismert shopokhoz es vagy fizetesi szolgaltatokhoz. Mert hiaba szeretned azt, hogy a webshop ne varjon kukit, ha a 3. fel fizetooldalanal a visszairanyitas utan a webshop maximum a korabban lerakott kukival tud teged azonositani. Egyszeruen nem kell ilyen pluginokat hasznalni.

---
Apple iMac 27"
áéíóöőúüű

Amúgy mit is csinál ez a plugin és miért engedsz oda egy 3rd party szoftvert a bankkártyás fizetés közelébe?

> mert kis helyi webbótnak nincs energiája lekövetni ezeket az új "úri huncutságokat"

Jajaja, az simán reális hogy mindenféle jöttment plugin fogadására készüljön fel a webbolt tulajdonosa (a saját költségén, nyilván), mert egyesek szeretik (az ábra szerint hibásan működő) plugineket. Lehetőleg az összes webshop készüljön fel az összes "security" plugin kezelésére.

szerk:
> Privacyhuszár Józsi
Azt meg már csak halkan, hogy akinek tényleg számít a privacy és ért is hozzá, az eleve nem használ ilyesmit.

szerk 2:
Amúgy meg csak a neved, elérhetőségeidet, lakcímedet és sokszor a munkahelyed címét (szállításhoz) adod meg a webshopnak, tulajdonképpen mitől véd meg ez a plugin? :D

Egyébként pont az az érdekes, hogy a webboltokkal eddig eggyel sem volt problémám, pedig már fél éve aktív a plugin. Úgyhogy igen, a webshopok jelentős része fel van készülve rá, most futottam először bele egy olyanba, ami nincs.

Sajnos informatikus által elvárható mélységű dokumentációt még nem találtam, ami elgondolkodtató. User level leírás:
https://blog.kaspersky.com/kaspersky-safe-money-2016-settings/10325/
Csak a fizetési tranzakció triggereli, maga a webshop nem, tehát ha utánvéttel kérsz bármit, nem találkozol vele.

Gyakorlatilag előre konfigurált weboldalakon egy külön lecsupaszított private browsing sessionbe átdobja a fizetési tranzakciót, letilt minden más plugint (hátha van káros közöttük) és automatikusan képernyőbillentyűzetet ad (anti-keylogger).
Pl ha másvalaki használja a gépet, a best practice-ek jelentős részét automatikusan enforce-olja a nélkül, hogy ott kellene ülni a válla fölött egy átlagusernek.

Engem ez a private browsing session zavar az egeszben. Terminologia szerint ez azt jelenti, hogy ures a sutisbodon, ilyenkor viszont a fizetes megtortente utan a visszairanyitast mar NEM SZABADNA private sessionben megtennie, pontosan a fentebb vazolt okok miatt - ugyanis a private browsing session azt jelenti, hogy te anonymouskent jossz vissza a webboltba - hat anonnak meg nem fogok odaadni semmifele kosarat, meg fizetesi allapotot, orulj, hogy nem 403-at kapsz egy amugy kizarolag belepve ertelmes URL-re.
--
Blog | @hron84
Üzemeltető macik

Nem azt jelenti a private session, hogy nem tárol a munkamenet ideje alatt sütit, hanem azt, hogy ezt nem permanensen teszi. Amíg a privát session (ettől session) ablaka nyitva van, addig az abban keletkező sütik érvényesek - de nem tárolódnak el, csak a memóriában. Amint az ablakot bezárod, máris nem léteznek a sütik.

Nem azt mondtam, hogy nem tarol el sutit, azt mondtam, hogy ures a sutisbodon, vagyis nincs meg, nem orokiti at az elozoleg megnyitott ablakbol a sutiket, marpedig a visszairanyitasnal az eredeti bongeszo sutijeire lenne szukseg, hogy az oldalon inditott session helyrealljon.
--
Blog | @hron84
Üzemeltető macik

Azt nem értem hogy ilyen rendelésnél, ha valaki személyes átvételt akar, miért is kell megadni a lakcímet például?
Hiszen az online pénztárgép is pont emiatt lett kitalálva.
Hogy kiváltsa a kézzel írt nyugtát akkor, ha valaki csak 'blokkot ' akar.
Boltban se kérik a neved, címed ha veszel 1 kiló kenyeret

Ha megrendelsz egy árut, és előre ki is fizeted, akkor nem adhat csak nyugtát, kötelező számlát adnia.
Ugyanis előírás, hogy nyugtaadás csak akkor megengedett, hogyha a szolgáltatást/terméket a teljesítés idejével egyidejűleg fizeted meg. Minden más esetben számlát kiállítani kötelező.

Viszont ha csak számlát ad ki a cég, akkor de, muszáj megadnod az adataid a számlához. Nem azért, mert a cég tárolni akarja, hanem, mert a NAV kéri.

Hozzáteszem, ha bármi probléma van, az utólagos ügyintézés (pl. gari) is jóval egyszerűbb tud lenni, mintha egy nyugta van csak. (Számlához kötött raktári mozgások sorozatszámmal, az eredeti rendeléshez kötve, stb.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Értem a problémá(ka)t. A pluginnel kapcsolatosat is, de nem az zaklat. Hanem az, hogy akkor most kapod a cuccot, vagy nem? Ha "szőrén-szálán eltűnt" a megrendelés a webshopból, viszont a kártyádat beterhelték (ergo a lé átért nekik (vagy az is elveszett valahol?)), akkor visszadják, vagy mi lesz? Vagy én nem értem....

--
jAzz

Egyik kollega írta fentebb, hogy ahogy "timeoutol" a banki tranzakció, majd visszakapom szerinte.
Nekem ez a tranzakció nem zárolt tételként szerepel, hanem már levonták, tehát szerintem ez már az eladónál van.
Vagy refundolnak vagy összekapják a cumót és küldik. Remélem holnap sikerül választ adniuk rá. Ma még csak addig jutottunk, hogy a pontos összeg és nap megjelölése után a második telefonbeszélgetésünkkor kérték, hogy a banki tranzakciós adatsort erre a tételre vonatkozóan küldjem át, ezt ma 16-kor megtettem. Talán holnap ők is eldöntik mit szeretnének. Én várom a cuccot. Ha nem tőlük rendelem, akkor fillérre ugyanannyiért még két másik forgalmazó van, a szállítás itt volt a legolcsóbb.
Belföldi jogi személy, évek óta tőlük vásárolok, nem lesz itt gond. Csak a technika köpött bele a levesbe.

Mondjuk amint nem kaptál visszaigazoló e-mailt a webshoptól, már elkezdhettél volna érdeklődni, a várakozás helyett.

Egy német webshop ugyanúgy nem küldött semmit, sőt még a tracking sem működött - oda regisztráltam, de amikor másnap megkerestem őket telefonon azt mondták, hogy persze minden rendben, már berendelték a cuccot, én hiába nem látok semmit, amint bejön hozzájuk, látni fogom ha dispatchelik. Ez a német rendelés időre meg kellett érkezzen, ez a belföldi amin most nyűglődök, mint az érdeklődésem időpontja mutatja, nem volt annyira sietős, de most már reklamálnom kell, mivel hosszú ideig az ünnepi túlterheltség meg szabadságolások miatt véltem berekedtnek a rendelést. Nem zavar a késlekedés. Az zavar, hogy tőlem levették a pénzt, és valahogy ott lebeg az eladónál úgy, hogy nem tudnak róla, pedig nyilván a webshop által legenerált sztenderd tranzakciós azonosítóval érkezett be hozzájuk, de valahogy a webshop és a pénzügyi rendszer szerintem nem megfelelő összedolgozása miatt kell egyáltalán foglalkoznunk ezzel. Szerintem ez tervezési hiba, vagy a megrendelő spórolt, és azt mondta, hogy ez neki túl drága, ő megvan e nélkül. Még a közszférában is, ha megjelent valamilyen bejövő utalás, amiről elsőre nem tudták eldönteni, hogy micsoda, a pénzügyesek azonnal lázas telefonálgatásba/emailezésbe kezdtek, hogy itt van ez az automatikusan nem feldolgozható beérkező tétel, kié, és mi ez, és ha megjelent a delikvens akkor nem üveges szemmel néztek rá, hanem lenézően konstatálták, hogy ahá már erről levelezünk egy hete a kollegával, hogy ez meg micsoda, már majdnem visszautaltuk... Sok dolog nem működik a közszférában, de ez speciel működött. (nagy intézményi közös számla, ahol azonnal fel kell cimkézni minden beérkező tételt, hogy milyen jogcímen jött és melyik szervezeti egységé)

Nem értem azokat akik szerint (annak ellenére hogy informatikusak) normális hogy a webshop csak a redirect-re építi a logikát. A függő tranzakciókat (ha nem push-ban jön) le kell kérdezni és fel kell dolgozni. Ez benne van a apik dokumentációjában is, de a józan ész is ezt diktálja. 1000 oka lehet (és van is) hogy miért nem jut vissza a böngésző a banki oldalról, nem csak egy security plugin.

Arról nem beszélve, hogy a CIB-et még kérdezni sem kell, mert visszaszól az magától és csak azután redirectel a webshopra.

Egyébként nem az a legnagyobb baj, hogy redirectre épít, hanem, hogy nincs erre valami folyamat, hogy ilyenkor mit kezdjenek a rendeléssel.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

+1 A bolt másnap visszaigazolta, hogy megvan a zseton, NBD érkezett is a cucc. De mindehhez az kellett, hogy a vásárló, aki fizetett reklamáljon, tegyen két kört a CS-el, és szórakoztatták a pénzügyes és az informatikus kollegát (imho humán erőforrás pazarlás). A helyett, hogy vagy automatikusan végigfutott volna a rendelés a sikeres fizetés alapján, vagy a bolt oldalán a három közül bármelyiknek feldobta volna a hibaüzit, hogy van egy félbeszakadt rendelésünk, és/vagy van egy beérkező utalásunk ami nem tudjuk, hogy mi. A bolt korrekt volt, ahogy jeleztem, intézkedtek, a webshop engine múlta csak alul a várakozásaimat. Akinek nem inge ne vegye magára.