Kuten ketjussa on mainittu, niin tapa on edelleen vanha. Varmennosnumeroa ei välttämättä tarvita lähellekään kaikissa verkkokaupoissa. Suurin osa esim. visa-numeroista päätyy vääriin käsiin ihan vain siten, että päästään käsiksi verkkokaupan tietokantaan. Jos löydät tiesi löyhän tietoturvan vuoksi MySql/SQL-server/DB2 (lisää haluamasi tietokanta) - palvelimeen, niin avot! Saat kerättyä korttinumerot talteen.
Näitähän on sattunut vuosien varrella ja paljon! Yleensä nämä vain ovat asioita, joista ei hirveästi puhuta. Olisi hauska oikeasti tietää, kuinka paljon murtoyrityksia jne. tulee pankeille ja vastaaville rahaliikenteestä vastuussa oleville tahoille ihan päivittäin.
Tieto lisää tuskaa, ikävä kyllä. Case Sampo-pankin kautta tämä nyt vähän konkretisoitui niille, jotka eivät tietotekniikasta ole perillä / eivät halua ollakaan. Ihmiset niitä pankkien ja muiden isojen instanssien tietojärjestelmiä / ohjelmia suunnittelee. Kyllähän Nasakin on käyttänyt ulkopuolisia instansseja mm. sukkulan lähdöstä eteenpäin toimivan liikeradan laskemiseen. Noh, se tehtiin euroopassa ja Nasalla ei jaksettu/haluttu varmistaa miten muualla tuotettu koodi toimii. Siitäkun sitten mietit mitten meidän metrijärjestelmä (tai siis sentit tässä tapauksessa versus tuumat) heittää ja miten kävi sukkulalle? Hahaha..
Kyllä ne pääosin turvallisia on käyttää. Asiakkaan identifiointiin ja muuhen tunnistamiseen käytetään suomalaisissa verkkopankeissa esim. tunnus/salasana/muuttuva numerointi - yhdistelmiä ja tuon kun ihan perusjamppa arvaa lennosta, niin lottoa kannattaa lähteä tekemään.
Ongelma vain on se, että ei ne "nerot" niitä yhdistelmiä ala arvailemaan. Sisään mennään ihan eri kautta ja jos portit on auki siitä eteenpäin kun jotenkin esim. sisäverkkoon pääset (esim. joku pankin perustyöntekijä, jolla onkin liikaa oikeuksia johonkin paikkaan mihin ei pitäisi olla mutta kun oli, josta taas saa lisää tietoa tunnuksista joilla voisi päästä vähän eteenpäin) ja soppa on valmis.
- P
Edit: tuossa on hyvä esimerkki (kohta 5) MC Lifestylen tietoja siitä miten tällaiset asiat tulisi tehdä. Kaupan ylläpitäjällä ei ole mitään tarvetta tallentaan esim. luottokorttinumeroita omaan kantaansa. Hitto ihan oikeasti! Olen nähnyt semmoisia "opinnäytetyö" raapustuksia verkkokauppa"moottoreiksi" että ei mitään järkeä. Tässä jos ruvetaan tallentamaan asiakkaan luottokorttitiedot myös kantaan ja ei osata ottaa millään tavalla kantaa siihen, mitä on tietoturva ja miten se tulee ottaa huomioon tällä tasolla, niin soppa on taas valmis! Ketjussa oli muistaakseni mainittu, että jos sivut muutenkin näyttävät petolinnun perseeltä ja toimivat miten sattuu ja välillä eivät toimi ollenkaan, niin jättäisin ehkä väliin jos en olisi 100% varma että homma toimii ja on varma toimija.
Näitähän on sattunut vuosien varrella ja paljon! Yleensä nämä vain ovat asioita, joista ei hirveästi puhuta. Olisi hauska oikeasti tietää, kuinka paljon murtoyrityksia jne. tulee pankeille ja vastaaville rahaliikenteestä vastuussa oleville tahoille ihan päivittäin.
Tieto lisää tuskaa, ikävä kyllä. Case Sampo-pankin kautta tämä nyt vähän konkretisoitui niille, jotka eivät tietotekniikasta ole perillä / eivät halua ollakaan. Ihmiset niitä pankkien ja muiden isojen instanssien tietojärjestelmiä / ohjelmia suunnittelee. Kyllähän Nasakin on käyttänyt ulkopuolisia instansseja mm. sukkulan lähdöstä eteenpäin toimivan liikeradan laskemiseen. Noh, se tehtiin euroopassa ja Nasalla ei jaksettu/haluttu varmistaa miten muualla tuotettu koodi toimii. Siitäkun sitten mietit mitten meidän metrijärjestelmä (tai siis sentit tässä tapauksessa versus tuumat) heittää ja miten kävi sukkulalle? Hahaha..
Kyllä ne pääosin turvallisia on käyttää. Asiakkaan identifiointiin ja muuhen tunnistamiseen käytetään suomalaisissa verkkopankeissa esim. tunnus/salasana/muuttuva numerointi - yhdistelmiä ja tuon kun ihan perusjamppa arvaa lennosta, niin lottoa kannattaa lähteä tekemään.
Ongelma vain on se, että ei ne "nerot" niitä yhdistelmiä ala arvailemaan. Sisään mennään ihan eri kautta ja jos portit on auki siitä eteenpäin kun jotenkin esim. sisäverkkoon pääset (esim. joku pankin perustyöntekijä, jolla onkin liikaa oikeuksia johonkin paikkaan mihin ei pitäisi olla mutta kun oli, josta taas saa lisää tietoa tunnuksista joilla voisi päästä vähän eteenpäin) ja soppa on valmis.
- P
Edit: tuossa on hyvä esimerkki (kohta 5) MC Lifestylen tietoja siitä miten tällaiset asiat tulisi tehdä. Kaupan ylläpitäjällä ei ole mitään tarvetta tallentaan esim. luottokorttinumeroita omaan kantaansa. Hitto ihan oikeasti! Olen nähnyt semmoisia "opinnäytetyö" raapustuksia verkkokauppa"moottoreiksi" että ei mitään järkeä. Tässä jos ruvetaan tallentamaan asiakkaan luottokorttitiedot myös kantaan ja ei osata ottaa millään tavalla kantaa siihen, mitä on tietoturva ja miten se tulee ottaa huomioon tällä tasolla, niin soppa on taas valmis! Ketjussa oli muistaakseni mainittu, että jos sivut muutenkin näyttävät petolinnun perseeltä ja toimivat miten sattuu ja välillä eivät toimi ollenkaan, niin jättäisin ehkä väliin jos en olisi 100% varma että homma toimii ja on varma toimija.