Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×
  • Какого хрена Monobank?

    Сам УБКИ заявлял неоднократно, что на рейтинг такие запросы не влияют, только факт выделения кредита где либо.

    Підтримали: Loria Bellwyd, Bohdan Pomazan
  • Гідна альтернатива приватбанку

    Сразу видно фундаментального человека, который судит про команду по слухам от уволенного сотрудника из 1 команды, которых в проекте 2 десятка (мобильных разработчиков 15% от всей команды разработчиков). По этому когда вы говорите — это лишь приложение, я говорю — вы ничего в банках не понимаете. Да, бренд монобанк не является отдельным банком с отдельной лицензией, но это лишь вопрос времени когда универсалбанк переименуют в монобанк, но это вообще не меняет то, что все процессы в моно выстроены отдельно, начиная от сотрудников поддержки, заканчивая коллекторами. Все познается в сравнении, я могу точно утверждать что качество софта в монобанке лучше большинства топовых украинских банков, т.к. работал за свою жизнь с софтом более 50 банков. «Текучка» даже в команде мобильной разработки, как вы говорите, вымышленная, больше половины команды не менялась, но есть постоянный поиск новых людей, т.к. задачи у команды постоянно увеличиваются и нужны новые кадры, которые поработают месяц и на выход идут, т.к. понтов много, а мозгов мало. И вот они уже и формируют ложное понимание как работает команда. А в ряде команд за 2 года ушло 0 человек, только набирали новых.

  • Уязвимость Монобанка 3D Secure

    Это не мой пост, я просто скопировал текст для тех, кто не из группы фейсбук.

    Підтримав: Alexandr Sova
  • Уязвимость Монобанка 3D Secure

    Даю тоже бесплатный совет, не нужно рассказывать другим людям что и где делать, а тем более говорить «закрыть рот» (это очень оскорбляет), и управляйте только вашими поступками и поступками ваших подчиненных. Автор по незнанию ряда моментов сделал поспешные выводы и кстати, уже с ним пообщались по деталям работы 3дс и он согласился что не знал некоторых моментов. Никто автора не оскорблял (тут в коментах только 2 человека связаны с банком) и как раз по вашему варианту, когда на человека набрасывается СБ и юристы никто идти не собирался. Как писал автор, он выложил свои аргументы, мы свои. Я надеюсь мы его убедили и еще ряд людей, которые не предвзято относятся к информации.

    Підтримали: Sergiy Voznyak, anonymous
  • Уязвимость Монобанка 3D Secure

    Если хотите, можете публиковать его, я не про его ответ, мнение оператора, тем более в ночное время нельзя классифицировать как официальный ответ банка, там тоже люди и они могут ошибаться. Корректность ответа это отдельная тема, я лишь говорил про тайминги.

    Підтримав: Sergiy Voznyak
  • Уязвимость Монобанка 3D Secure

    Если где-то возникло мнение что я воспринимаю вас как врага, то могу заверить, что это не так. С врагами мы не ведем диалоги, а поступаем с ними как с террористами. Но и молчать же тоже нельзя, когда кто-то на твое творение (может не везде идеальное, но твое) без суда и следствия навешивает неприятные ярлыки, которых по нашему мнению нет. Цель нашего диалога исключительно для разбора инцидента, а не для того что-бы вас как-то очернить. На самом деле проблем в платежной системе намного больше чем кажется, технически я могу украсть ваши деньги зная только номер карты (мне даже не нужен срок действия в ряде случаев, не то что 3дс пароль), но механизмов защиты от этого и компенсаций сейчас достаточно, хотя некоторые новые правила пугают. Так например по новым правилам 3дс, 85% платежей должны проходить без дополнительных вводов кодов и прочих верификаций и это проблема, на которую потом вы же будете нас тыкать и говорить что как же так мы без 3дс проверки провели платеж, а МПС требует и все. Но в любом случае предлагаю прекратить эту дискуссию, с этой статьей делайте что хотите, у меня не было цели как-то ее изменить или тем более удалить я лишь хотел пообщаться в первую очередь с вами и представить свои аргументы.

    Підтримав: Sergiy Voznyak
  • Уязвимость Монобанка 3D Secure

    Оператор и так все передал в 8 утра, вы обратились в поддержку сегодня в 03:33:55 утра а уже в 9:45 была статья. Вам серьезно нужен был ответ? А теперь вы пишите в форме «а всего этого можно было бы избежать!!!» Так же не очень красиво, согласитесь.

    Підтримав: Sergiy Voznyak
  • Уязвимость Монобанка 3D Secure

    Даже не мечтайте о разрыве договора, только если сами захотите разорвать или совершите преступление. Критику мы всегда приветствуем, только я уже писал в чем именно ваша поспешность, в ультимативности суждения при недостатке теории, хотя могли выйти на компетентных людей и спросить как все устроено перед тем как оскорблять людей которые работают в банке и «не хотят закрывать свои уязвимости». Экранчик 3дс с кнопкой подтверждения имеет на порядок больше степеней защиты чем код из смс, и его нельзя подделать даже перехватывая трафик между телефоном с сервером банка, в отличии от смс подтверждения. Я за пару лет работы в банке разговаривал с сотней разных клиентов и не только, которые считали что есть -то уязвимости и 2 раза они действительно были, за что отблагодарили людей. Тем кто ошибался спокойно пояснил что и как и если проблемы, то рассказал о компенсаторных методах (т.к. не все можно поменять в этой жизни и есть вещи которые зависят не от нас) . И вы не описали главного, в чем уязвимость. То что можно подсунуть п2п платеж вместо покупки? Так это описали, что не можем знать по протоколу 1.0. Или что, после подтверждения платежа его можно совершить? Так это уже не важно, мы получили добро от клиента на списание конкретной суммы и конкретному продавцу. Конечно есть проблема с серыми эквайерами, но она не в рамках 3дс, а в рамках всей платежной системы. Но если какой-то эквайер будет чудить — его оштрафуют и деньги по мошенническим операциям вернут (что происходит регулярно во всем мире). А рекламируете вы себя, и не нужно выкручиваться, что затеяли этот перфоманс ради спасения душ всех, а не ради собственного пиара. Если хотите продолжить диалог где либо, меня можно найти как в facebook так и через сопровождение можно получить мои контакты.

  • Уязвимость Монобанка 3D Secure

    Проблем на стороне банка нет, которые можно решить на стороне банка. Вы просто захотели хайпануть на банке и накинули говна на вентилятор, ваша формулировка была не в формате «поясните почему» а в стиле «я бог и судья безопасности и я утверждаю что уязвимость есть, и банк ее игнорирует» По этому я дал информацию подтверждающую, что по сути никаких уязвимостей нет, а не пошел оскорблять вас. Причем тут же притянули PCI DSS в которой почти никто не разбирается (кроме того что номер карты светить нельзя где-то там) и еще куча терминов, которые как бы придали научности вашему трактату.

    Підтримали: Sergiy Voznyak, anonymous
  • Уязвимость Монобанка 3D Secure

    Забыл что группа закрытая, продублирую для тех кто не в бета группе
    т.к. ссылка ведет на закрытую группу тестировщиков Моно, напишем пост в ответ на это сообщение :
    Доброго времени суток, т.к. #monobank честный и открытый банк, и идет на встречу своим клиентам и тестировщикам в первую очередь, я постараюсь объяснить причину с технической точки зрения почему все банки в мире не показывают комиссии в интернете «ДО» самой операции в смс или Push, и как можно такую комиссию увидеть клиенту.

    ЛайфХак, убрал из-за ошибок, как исправим сделаю дополнительную инструкцию. сорри

    Я постараюсь по максимуму опустить банковские термины, что б было больше понятных слов.

    Когда вы пытаетесь что либо совершить в интернете с банковской карточкой, банк даже не догадывается о ваших действиях.
    После того как вы что-то выбрали и решили сделать, обычно это интернет магазин или какие-то сервисы по переводу денег, магазин если сертифицирован на 3Ds, отправляет в банк запрос — звучит он так:

    Магазин : Это ваш клиент?
    Банк : Да\Нет
    Магазин : Ваш клиент хочет потратить 1000 грн, можно?
    Банк: Уважаемый Иван, вы хотите что-то приобрести в магазине на 1000 грн?
    Иван: Да конечно.
    Банк : Магазину — Да, можно.

    как это выглядит технически:
    1.0.2
    537********XXX
    529090 ME0141 UAPAY
    804

    MTUxMDMyMXXXXXX
    20171112 10:01:20
    1 0000.00
    100000
    980
    2

    900004/

    в момент когда банк ведет диалог с клиентом, он оперирует: магазином, суммой, временем операции и к какому из банков подключен данный магазин, у банка больше нет никакой информации о платеже.

    в 99% случаях эта операция покупка, т.е. обычная покупка как это б была покупка продуктов в магазине или одежды, тогда комиссии нет.
    Какой товар или услугу вы покупаете банку тоже не известно, магазин эту информацию банку не передает и не должен по стандарту 3Дс.
    Но магазин присылает операцию списания как Р2Р (Перевод средств, с атрибутами интернет перевода), т.к. данная операция относится к снятию наличных, на нее работают правила комиссий выдачи наличных ,т.е. 4% за кредитные средства.

    Если совсем кратко, то ситуация вот такая.

  • Уязвимость Монобанка 3D Secure

    На этапе 3ds проверки банку не передается назначение платежа и прочие детали по сути транзакции, и это проблема протокола, которую банк решить не может. В обычном банке по этому и присылают СМС со словами «подтвердите списание Х денег» без уточнения за что. Уже внедряется по всему миру 3ds версии 2.0, но пока ее начнут поддерживать все торговцы потребуется много времени. И давайте больше деталей людям, что вы обратились в банк в 3 ночи этого же дня и уже сделали заключение что банк не реагирует.. и тут же настрочили статью, где сказали что банк не реагирует. На счет того, что можно списать деньги, если клиент нажал на кнопку «Списать» вообще эпичная уязвимость. Коллеги уже расписывали технические детали www.facebook.com/...​rmalink/1351899571586246 Учите матчасть.

    Підтримали: Sergiy Voznyak, anonymous
  • Ищу работу Java Junior в Днепре

    А резюме как написано, хорошо, грамотно?