По идее, подтверждением валидности карты является трёх или четырёхзначное число, что написано на обороте кредитки. Как-то он там, CIN, что ли называется.

По поводу ЗЫ - см. мой жж - там мой слой, что я сделал, пребывая на платном аккаунте. Он у меня остался, но редактировать его я не могу. По поводу остальных фичек - кури жжшный фак, там напейсано.

Это именно что подтверждение валидности карты, но не владельца. А меня беспокоит, что по валидной карте (моей!) кто-то другой может сделать платёж...

... можно использовать это для того, чтобы оплатить с этой кредитки какую-нибудь услугу?!

Увы, можно. Ты всё правильно понял. Применительно к интернету, кредитки действительно практически не защищены. ("verificztion code" не тянет не только на хороший замок, но и до проволочного крючка на калитке не дотягивает, имхо.)

Поэтому лично я в интернете использую только специально предназначенную для этого Master Card Virtual от Альфабанка. У меня на ней крупных сумм не бывает ($200 - это ведь не крупная сумма, да?), так что в случае чего мошенникам поживиться не удастся.

Но "нормальная" моя карточка от этого более защищённой не стала: достаточно чтобы недобросовестный кассир переписал номер карточки и этот самый верификейшн код - "и делай с ней что хошь".

У кого зряплата 500, тому и 200 деньги:)

Дело не в "деньги/неденьги", а в том, что на спец-карточке, которая для интернета, не появляется таких сумм, потеря которых сильно расстроила бы. (На "главной"-то карточке обычно накапливаются довольно значительные суммы.)

Как обычно, когда разрабатывали - думали чем угодно, но не тем, чем обычно думают.

Рассмотрим проблему поближе :-)

Верификация пользователя - это проверка чего-то такого, чего нет в явном виде на карте, и что "хорошо прикреплено" к пользователю. Отбосив "биометрию" (отпечатки пальцев, подписи и прочее) как сложноверифицируемое через интернет, останется "пароль" в том или ином виде. Собственно, PIN карты - это и есть несложный пароль.

Защита транзакций - вопрос доверия, то есть - вопрос того, кто кому доверяет и кто кого в результате этого может "кинуть".

Когда банк принимает от продавца заявку на списание денег с карты покупателя исключительно по "легкодобываемой" информации - он доверяет продавцу и тем самым "подставляет" покупателя. Это, на мой взгляд, неудовлетворительно.

Если банк потребует продавца подтвердить заявку "паролем" покупателя (пин-кодом), то продавец будет вынужден потребовать пин-код у покупателя... и получится что теперь покупатель доверяет продавцу свой пин-код - а продавцы они всякие бывают. То есть, опять получается фигня: на этот раз покупателя может "кинуть" продавец, списавши не столько сколько нужно. Это, опять же, неудовлетворительно.

Но почему не реализовать другую процедуру?
Продавец принимает заявку "хочу купить" и параметры карточки от покупателя. Продавец формирует запрос на списание денег в банк, и перекидывает клиента на сервер банка для подтверждения транзакции. Банк получает запрос от продавца, показывает покупателю что запросил продавец ("оплата огнетушителей unzippo в коробках по 100 штук, одна коробка"), сумму списания, и просит покупателя подтвердить себя, набрав пин-код.
Получивши верный пин - банк производит списание денег, и отравляет продавцу подтверждение транзакции. Продавец пишет "спасибо за покупку" и высылает покупателю коробку огнетушителей unzippo.

Преимущества:
- пин-код передается только банку, но не "третьим лицам".
- в банке остается не просто запись "перечислено $20 на счет такой-то", но "перечислено $20 на счет такой-то в оплату того-то", что опять же может помочь в случае недобросовестного продавца.
Недостатки:
- пока не вижу.

А вопрос всё тот же: что, правда что ли что все дураки и один я умный, а если нет - то почему всё так, как есть а не иначе?

Я так понимаю, что один из вариантов fishing - узнать любым способом номер кредитки. "Впишите номер своей кредитки и за 5 центов будет вам Счастье!". А в указанной схеме наверное лучше заменить перебрасывание продавцом на сайт банка самостоятельным заходом клиента на сайт банка и подтверждением предложенных транзакций, поскольку "копий сайта банка может быть".

Почему сделано так - наверное потому что организацию системы оплачивали продавцы, а большая часть покупателей согласна пользоваться, потому что легко и удобно, пока гром не грянул. Объем фишинга оценивается вроде то ли в сотни миллионов в год, то ли в миллиарды.

Ты можешь опротестовать списание средств, но насколько успешно - зависит от того, что написано в договоре об обслуживании кредитной карты.

Твой пост повергает меня в ужас!!! Если ещё учесть, что у каждого 1го встречного сейчас телефон с "глазом".
Нет уж, лучше я пока поюзаю кэш в тряпочке!

как-то тоже платила карточкой по нету, пришла к той же мысли и постаралась ее забыть, как страшный сон. а ты вот напомнил... нда.

Для оплаты даже никаких подтверждений не надо. Как-то раз у меня сэкспайрилась карточка (VISA Classic), я пошел в банк, написал заявление, ушел ждать неделю. Через неделю приспичило мне срочно оплатить в инете картой, я рванул в отделение, благо не далеко, дайте мне, говорю, новую карту, срочно, бегом ! Они мне -- а вы старую карту сдали ? Я говорю, что в жизни старых карт не сдавал, у меня дома их уже мешок скопился, если надо завтра их хоть все принесу, только дайте ! Не положено, говорят. Я уж и так, и эдак, ни в какую, девушка принципиальная попалась. Инструкция. Ну ладно, говорю, можно мне с конверта [sic !] карты циферки перепсать ? Ну, она там с кем-то посоветовалась, говорит -- можно. Даже сама и переписала номер (только номер, без доп. кода, который на конверте не пишут). Ладно, пошел, ввел номер, имя-фамилию (совпадает с загранпаспортом) угадал дату окончания (а чего, ровно +1 год), нажал OK. Платеж прошел.