web-dev-qa-db-ja.com

sofort.comのような「承認された」ダイレクトバンキングMITMサイトについてはどうすればよいですか?

ブリュッセル航空はいくつかの支払い方法を許可していますが、そのうち2つだけが無料です。MaestroおよびSofort Banking

Brussels Airlines payment methods

2番目のオプションは初めてでしたが、口座振替は通常、無料で実用的な支払い方法です。リクエストは銀行のWebサイトに転送され、ログインしているように詳細を入力すると、銀行から返送されます。確認済みのベンダーサイト。ただし、この場合sofort.comは私の銀行ログイン詳細をサイトに掲載することを望んでいました!ユーザー名、パスワード、ワンタイムパッド、すべて!

私たち全員が「ログインの詳細を、いかなる状況においても他人に開示しないでください」または銀行との契約に効果的に署名した後、これはどのようにして可能ですか? ウォレットで投票する以外にエンドユーザーができることはありますか?この場合、ブリュッセル航空のチケットは、たとえばスカイスキャナーから取得できます。 sofort.comを使用せず、さらに多くの種類のカードに無料で支払いますが、それが標準になった場合はどうなりますか?

参考までに、サイトは検証済みで有効な「強力な暗号化」証明書(少なくともFirefoxによる)を使用しています。

オーストリア航空に関するsofort.comを使用した別の記事

19
l0b0

私たち全員が「ログインの詳細をいかなる状況においても他人に開示しないでください」または銀行との契約に効果的に署名した後、これはどのようにして可能ですか?

ソフォートAGはドイツの会社なので、私はドイツに焦点を当てます: 反トラスト訴訟 があり、その結果、ほとんどの銀行はこれを許可するように契約条件を変更しました(少なくとも- Wikipediaによると )。手続きが実際に新しい法律をもたらしたようには見えません。

ヨーロッパ Payment Services Directive は現在更新されており、サードパーティの決済プロバイダー(TPP)もカバーするため、私が理解しているように regulateSofortüberweisung (このようなサービスの正しい名前は、Payment Initiation Servicesのようです)。 この解釈は英語 も参照してください。

ウォレットで投票する以外にエンドユーザーができることはありますか?

まあ、政治家にロビー活動をしたり、ニュース記事を書いたり、セキュリティの欠陥を探して公開したりできます。あるいは、有効な代替案があることを期待して代わりにそれらを使用することもできます。

セキュリティ

ここで暗黙の質問は、これが安全かどうかのようです。

  • 失敗する可能性のある会社が追加され、セキュリティが低下します(メリットがない、またはメリットが少ない)。
  • あなたは会社(この場合はSofort AG)を信頼する必要があります。彼らは望むならすべてのお金を受け取ることもできるからです(しかし、これは多くの支払いオプションの場合に当てはまります。たとえば、Paypalはどのショップでも許可しています ランダムな金額を引き出す )。
  • 経験の浅いユーザーが自分のパスワードを入力する意欲が高まり(「これは何度も行ったことがあり、以前に何か悪いことが起こったことは一度もありません」)、フィッシング攻撃の成功と量が増える可能性があります。
8
tim

Sofortのようなサービスの最大の問題は、銀行口座の詳細を入力したため、チャージバックや、トランザクションが詐欺であったというあらゆる種類の申し立てに対して補償されることです。彼らは詐欺(彼らが支払う責任がある)がないので、それは彼らのビジネスコストを下げます。ただし、詐欺の責任はお客様にあります。 Sofortを使用すると、他の従来の支払い方法を使用した場合の権利を放棄することになります。

計算する。リスクを冒す意思があるかどうかを判断します。オンラインでそれが間違っていると感じた場合...それは間違っています。

6
Bob Shaw

Timの答えはすばらしいですが、2017年にも関連がありますが、重要なことを1つ省略しています。プライバシーです。

会社(この場合はSofort AG)を信頼する必要があります。

リスクは存在しますが、おそらく低いです。そうしないと、ビジネスモデル全体が崩壊します。このリスクは、セキュリティを真剣に考えようとする深刻な動機となります。

私は実際に銀行(BNP Fortis Paribas)にOPと同じコメントでSofort(現在Klarna)について尋ねましたが、彼らは私にSofortの使用をやめさせませんでした、ログイン情報の共有を軽視しないでください。代わりに、Sofortに質問で連絡するように勧めます( この顧客が受け取った返信のように )。ティムの発言はその理由を十分に説明しています。

しかし、プライバシーを真剣に受け止めるには、Sofortも信頼する必要があります。

Sofortは、すべての口座の銀行残高、すべての取引(銀行のオンラインポータルで表示されるものと同じもの)に効果的にアクセスできます。これは、さまざまなバンクでの設定に依存しているようです。銀行からのAPIがない場合、データ保護ポリシーは次のように述べています。

「または、当社のシステムは、オンラインバンキングサービスのユーザーインターフェースを介して、自分でログオンした場合と同じように、自動的にデータを呼び出します。」.

つまり彼らはあなたが稼いだもの、あなたがあなたのお金を使う場所、あなたの現金燃焼率が何であるか、あなたの貯蓄や投資が何であるかを知ることができます。

情報はとても価値があると確信しています。

6か月に1回のSofortトランザクションを実行すると、少なくとも私の銀行では、すべての顧客の継続的なトランザクション履歴を収集できます。

彼らにとって私見の唯一のことは、ドイツのプライバシー法が世界で最も厳しいものの中にあることです...

彼らのプライバシーポリシーは、彼らが収集しているデータやそれを使って何をしているのかについては触れていません。ただし、より興味深い Data Protection UK/EN ポリシーはより具体的であり、上記で説明した使用法を除外しているようです。

それを超える個人データ、特に口座残高、取引データ、当座貸越限度額、口座リスト、オンラインバンキングのログインパスワード(個人識別番号など)、または取引認証番号などの確認コードは保存しません。

しかし、あなたのお金が盗まれたかどうかを監査するのは簡単です。会社がこのデータを収集しないという約束を遵守しているかどうかを確認するのは、まったく別のことです。だから、それはすべて信頼です。それらを信頼しないのですか?いくつかの€€€を使い、別の支払いプロバイダーを使用します。

5
Geehan

Sofortは、ユーザーログインの詳細を提供する必要があるため、ヨーロッパ全体で多くの懸念と論争を引き起こしています。 2013年にポーランドの金融監督委員会は、顧客の支払いの詳細をSofortやTrustlyなどのサードパーティに提供することについて 警告 (ポーランド語)を発行しましたが、状況はより微妙に見えます。

Sofortには presentation があり、ほとんどの非難に対応します-まず、彼らは、関連するあらゆる詐欺に対してすべての責任を負いますそのサービス(彼らは何もなかったと主張します)、彼らはそれらを主張します資格情報を保存しない代わりにそれらをリアルタイムで使用します。

私の意見では、彼らのビジネスモデルと議論は非常に理にかなっていますが、アカウントの残高を確認して支払いを注文するためだけにユーザーの資格情報を取得することは、桁違いに過剰です。このモデルは、情報セキュリティの最も基本的な原則の2つである、知る必要のある特権の最小原則に単純に違反しています。これは、同じ機能を適切な方法で実行できるようにするサードパーティのAPIと承認プロトコルを提供することはほとんどない、消費者向け銀行業界のビジネス上の制限を回避するための作業です。

PSD2 EU指令は、コンシューマーバンキングセクターに必須のAPIを導入し、ユーザー資格情報の保存を禁止しているため、このような回避策の必要性を排除する必要があります(Sofortによると、まだ実施されていません)。

4
kravietz