web-dev-qa-db-ja.com

POLiインターネット決済技術のセキュリティ上の意味は何ですか?

POLi Paymentsはオーストラリアを拠点とするオンライン決済プロバイダーで、ニュージーランドでの取引を開始しています。これらは、ニュージーランド航空の一部の大規模eコマースWebサイト(Air New Zealand、JetStar、The Warehouseなど)での支払いオプションとしてサポートされています。

これは基本的に、顧客がインターネットバンキングファシリティから支払いを行ったことを確認できるため、ベンダーはすぐに取引を完了できます。

航空会社はPOLi(通常は10ドルから20ドルを占める)を使用するときに「支払い手数料」を請求しないため、非常に魅力的です。私はそれがどのようにしてこれを達成するのか心配しています。

ANZ銀行の顧客として、ニュージーランド航空のウェブサイトにアクセスした後、「POLi」支払いオプションを選択したところ、(まだニュージーランド航空のウェブサイトにいる間)インターネットバンキングのログインページが表示されました。つまり、明確にするために、アドレスバーには、「 https://nz00400.apac.paywithpoli.com/IBCS/pgLogin を指し示すiframeを持つ「airnewzealand.co.nz」が含まれていました。 = "。その後、インターネットバンキングへのログインが必要でした。その時点で、一部のフィールド(参照コード、金額など)が無効になっている、事前入力されたANZ銀行振込Webページが表示されました。

POLiサーバーがANZサーバーに銀行のWebサイトを要求し、HTMLをマッサージして、HTMLを私に渡していたのです。次に、フォームに記入します。これはPOLiサーバーに送信され、サーバーはその情報を再びANZに返します。これはすべてのページで繰り返されました。

このため、POLiは

  1. 参照コードや金額を間違えないように、支払いフォームに事前に入力してください
  2. 変更できないようにフィールドを無効にする
  3. トランザクションが続行できるように、支払いが完了したことを検証します。

この技術の技術的および社会保障上の意味は何ですか?

みんな、ありがとう

6
Adam

販売者が所有するインターフェースにインターネットバンキングの認証情報を入力しています。 iframeはPOLiから提供されますが、エンドユーザーがそれを確認する簡単な方法はなく、親ページでもフレームを変更する機会があります。

したがって、信頼できない場合は、このインターフェイスに資格情報を入力しないでください。

  • POLiは、提供する資格情報を保存または誤用しないでください。

  • 商人は、クリックジャッキングまたはフレームを他のソース(フィッシングスタイル)に向けることで、資格情報を盗み取らないでください。

  • 資格情報を盗むスクリプトコンテンツを挿入しないように販売者が使用するサードパーティのスクリプトプロバイダー(分析、広告など)。

  • マーチャントは、攻撃者が資格情報を盗み取る可能性のあるすべてのXSS脆弱性からWebサイト全体を保護します。

  • POLiには、他の当事者がiframeにインターフェイスを含め、クリックジャッキングを使用して情報を入手できるという脆弱性はありません。 (これは、インターフェースがiframingを許可する必要がある場合に完全に防ぐことは困難です。)

POLiはオンラインバンキングに対して効果的に中間者攻撃を行っており、予想通り 一部の銀行はそれについて動揺しています 。詐欺に苦しんでいる場合(POLiサービスの使用に関係なく)、銀行は、取引の資格情報以外のすべての人に銀行の資格情報を秘密にしておくための交渉の終わりを守らないことについて、あなたに何らかの責任があると主張することができます。バンク。

このアプローチを採用しているのはPOLiだけではありません。たとえば、ドイツのSofortüberweisungを参照してください。個人的には狂ったアイデアだと思いますが、金融の世界でキャッチする最初の狂ったアイデアではありません。

8
bobince

あなたが彼らのプライバシーに関する声明を読んだ場合、それは多かれ少なかれあなたがあなたにあなたの銀行口座への完全なアクセスとあなたがサービスを使うならあなたの完全な銀行取引履歴への権利を与えることを言う。個人的にはこれは受け入れられないことです。

さらに、彼らがあなたのアカウントにアクセスして支払いを処理することは全く必要ありません。

私が過去に行ったことは、提供された参照番号をコピーし、詳細をポリ参照番号を使用してトランザクションをニュージーランド航空に手動で送信するだけであり、ポリインターフェイスに詳細を入力していません。オーストラリアで使用されているB-Bayはこのように機能します。

ポリを使ったらすぐに変えます

4
poli

ポイントは、POLiシステムのセキュリティではなく、それを使用すると、すべてまたは一部の銀行のインターネットバンキング利用規約が無効になるかどうかです。一部の銀行は、そうすることで、オンライン詐欺補償の保証を無効にします。銀行がT&Cを解釈することを裁判所に覆させることは難しいでしょう。そのため、POLiに関するすべてのセキュリティ上の質問に対する最終的な答えは「警告の先手」です。

私は彼らの方法論の安全性について私自身の技術的意見を持っていますが、それはそのようなすべての評価と同様に、運用上は無関係です。

1
Will