Joaca cu cardul

Zilele acestea am fost pus într-o situație mai… ciudată. Trebuia să cumpăr un produs (aer condiționat), să îl plătesc, dar să fac în așa fel încât să fie livrat în altă parte (la Ploiești, mai exact).

Zic – nu-i problemă! Fac comanda online, la un magazin care are reprezentanță și în Ploiești. Plătesc online, cu cardul, și le spun să-l livreze acolo.

Restricțiile de mai sus (și online, și posibilitate de plată cu card, și reprezentanță în Ploiești) mi-au limitat drastic magazinele disponibile. Până la urmă m-am oprit la Domo. De la care am mai cumpărat, și care până acum mi-a făcut o impresie foarte bună (mai ales prin prezența online impecabilă pe care o aveau).

Fac comanda. Sunt redirectat pentru plată către site-ul procesatorului de plăți. Site care era „secure11gw.ro” (????? – foarte descriptiv, băieți!). Oricum, site securizat, SSL, certificat semnat de Equifax, totul părea OK. Introduc datele cardului, dau click pe „approve”, și… îmi pică fața! Deși pagina era criptată, POST-ul (trimiterea datelor) se făcea peste o conexiune NEcriptată. Adică totul la vedere.

Aici sunt banii dumneavoastra

Nici nu știu cine ar merita palmele – Domo, pentru că și-a ales neinspirat procesatorul de plăți? Romcard, pentru că n-au fost în stare să facă pagina cum trebuie?

Eu i-am contactat pe amândoi. Cel care mi-a răspuns la telefon de la Domo nu avea nici un fel de idee despre plățile online (nu știa nici măcar cine este procesatorul lor de plăți). Acum aștept un răspuns la e-mail-ul trimis către Romcard.

[LE: Am primit răspunsul de la Romcard. Îl redau în întregime mai jos.

Buna ziua,

Pagina www.secure1gw.ro este portalul de plati online gestionat de RomCard. Este singurul portal din Romania care este certificat 3DSecure de catre Visa si MasterCard.
Dupa cum bine ati observat pagina este securizata cu ajutorul unui certificat digital furnizat de Verisign.
Din datele pe care ni le furnizati dvs, deducem ca nu aveti un card inrolat in sistemul 3DSecure. In aceasta situatie, datele de card introduse pe pagina securizata sunt trimise catre sistemul privat (VPN) de tranzactionare online proprietar Visa sau MasterCard. Datele ajung in mod securizat la banca emitenta a cardului care raspunde la cererea de autorizare.
Raspunsul ajunge inapoi in portalul de plati online www.secure1gw.ro (pe acelasi traseu VPN) si de aici este directionat catre magazinul virtual.
Desi catre magazinul virtual nu sunt trimise date sensibile (date referitoare la card) ci doar informatii despre rezultatul platii, browserul dvs sesizeaza faptul ca se trece de pe o conexiune securizata (https) catre una nesecurizata (http). Va rugam ca in cazul in care mai intalniti aceasta situatie sa nu alegeti varianta de oprire a tranzactionarii, deoarece in acest caz magazinul virtual nu va stii ce raspuns a da banca emitenta si nu va livra produsele comandate.

Concluzia celor detaliate mai sus este:
a) site-ul secure1gw.ro este corect
b) datele trimise catre magazinul virtual pot circula pe o conexiune necriptata, deoarece nu contin informatii sensibile, ci doar raspunsul bancii emitente.

Pentru mai multe informatii nu ezitati sa ne contactati.

Sunt 2 probleme cu răspunsul:
1) Certificatul pe care l-am văzut eu era semnat de Equifax, nu Verisign.
2) Eu am fost redirecționat spre secure11gw.ro, nu secure1gw.ro (notice the difference?). Aștept acum să aflu dacă și secure11 e al lor (nu, nu mă las până nu aflu ce-i pe-acolo >:) )

În altă ordine de idei – tare aș mai face o comandă, doar ca să pun un wireshark pe sârmă și să văd EXACT ce se plimbă pe acolo. Dar mi-e jenă de cei de la Domo, că am mai făcut o comandă ca să fac screenshot-ul. Și m-au sunat, și a trebuit să le spun să o anuleze… 😐
]

[LE2: A venit și al doilea răspuns. Și secure11gw.ro e tot al lor. Până la urmă, se pare că e OK. DAR tot aș pune un wireshark pe conexiunea aia! Nu de alta, dar „the information you entered will be sent over an unencrypted connection” m-a făcut tare curios! ]

15 Comments »

  1. Strainu Said,

    July 10, 2008 @ 17:22

    Mai au (multe) situri de forma asta. Daca esti inrolat ca mine in 3D Secure, indiferent cine e procesatorul magazinului tot dai o tura pe la secure*gw.ro ca sa-ti bagi parola. Eu unul nimeresc intotdeauna pe secure2gw.ro, pana acum credeam ca asta e singurul 🙂

  2. bogd Said,

    July 10, 2008 @ 17:26

    Mda – mă uitam pe specificaţiile de la SecurePay (presupun că şi RomCard are un sistem asemănător, doar că nu le-am găsit pe nicăieri documentaţia 🙂 ), şi într-adevăr vina pare să fie a DOMO. Care nu are https pe URL-urile de ACCEPT/REJECT. Şi ca urmare, după cum mi-au spus şi cei de la Romcard, când trec înapoi de la ei pe URL-ul de “felicitări, ţi-am luat banii!” primesc warning-ul de mai sus.

    Din păcate, cardul meu nu este înrolat în 3D Secure (şi nici nu ştiu dacă este posibil – e un Taifun emis de BancPost, iar dacă mă duc la ghişeu să întreb de 3D Secure se vor uita toate^H^H^H^H toţi la mine ca la un extraterestru mic şi verde).

  3. gik Said,

    August 15, 2008 @ 20:48

    Asa iti trebuie daca folosesti Firefox. >:) IE nu ti-ar fi aratat acea fereastra :P.

  4. alb Said,

    March 23, 2009 @ 12:07

    la secure11gw.ro ajung clientii de la tranzila.eu, adica niste hoti. Am implementat tranzila asta pe alb.ro si TOTI banii pe care i-au incasat de la clienti i-au pastrat, nu mi i-au mai bagat in cont de aproape 6 luni. La e-mail-uri nu raspund iar la tel raspunde doar robotul. O sa scriu despre ei pe toate forumurile. 🙁 Acum urmeaza partea legala… 😀

  5. Ciprian Said,

    November 30, 2009 @ 14:47

    Am ajuns la acest post avand aceeasi problema cu Romcard… Tot in Google am gasit si link-ul acesta https://www.secure11gw.ro/public/lista_com_activi.php?order=merch_url&ordertype=ASC
    Oare e ok sa fie la vedere?

  6. X-ulescu Said,

    December 22, 2009 @ 17:57

    Daca va uitati mai atent, in codul sursa al paginii https://www.secure11gw.ro/public/lista_com_activi.php?order=merch_url&ordertype=ASC veti gasi si numere de telefon, si daca sunt activi, iar daca sunt inactivi si data cand au renuntat la acest serviciu.

  7. marcel Said,

    January 26, 2011 @ 13:02

    eu tot caut site-uri care folosesc procesatorul asta si nu gasesc… asta asa ca sa le dau un warn despre el

  8. Marian Said,

    March 14, 2011 @ 8:15

    Electrica (efts.ro) foloseste secure11gw.ro

  9. DANA Said,

    August 1, 2011 @ 13:36

    Am implementat la firma sistemul de incasare prin Tranzila. In momentul in care trebuia sa ne faca plata au incetat colaborarea cu noi. Nu raspund nici macar la mail-uri, dar sa ne mai transfer banii ce i-am incasat prin ei in conturile noastre. A mai patit cineva asa? A reusit sa rezolve ceva? Noi asteptam banii din februarie si pana acum numic. Sunt o firma serioasa?

  10. Ciprian Said,

    March 23, 2012 @ 17:38

    Aceeasi problema – site-ul pe care am platit eu e noumax.ro. E intr-adevar destul de nasol sa vezi notice-ul ala cu conexiune nesecurizata. Eu stau si tin cardul la ciorap si ei il trimit fara sa imi asigure putina privacy. Niste porci domn’le, niste porci!

  11. gigi Said,

    April 29, 2012 @ 22:31

    Sunteti pe langa. Avertizarea vine cand faci plata pe un site securizat cu https si o parasesti pentru una fara https adica pe magazinul pe care l-ai acessat.

  12. bogd Said,

    May 14, 2012 @ 23:08

    Absolut de acord. Si exact acelasi lucru mi-a zis si Romcard, si nu am nici un motiv sa nu il cred.

    Din pacate, avertizarea vine FIX in momentul in care eu (clientul) dau “submit” pe datele cardului. Moment in care nu am de unde sa imi mai dau seama cum pleaca datele mele.

    Cum a fost prima (si singura) data cand am avut astfel de probleme, inseamna ca nu este “ceva normal”. Si daca nu ma insel eu, solutia este ca pagina de intoarcere (apartinand DOMO) sa fie tot HTTPS.

    Then again, nu sunt programator web, nu cunosc detalii. Sunt doar un client surprins 😛

  13. matzipan Said,

    November 5, 2012 @ 19:20

    Nu e chiar asa. Toate mesajele au un key numit P_SIGN care este criptat folosind cheile cunoscute doar de partile care comunica. Daca P_SIGN nu se potriveste cu mesajul, inseamna ca cineva se joaca cu focul. Nu e nevoie neaparat de HTTPS pentru o astfel de comunicare. Cheile sunt destul de lungi cat sa faca greu de spart.

  14. bogd Said,

    November 5, 2012 @ 19:37

    @matzipan: Sunt primul care sa recunoasca faptul ca nu stiu detaliile de implementare ale sistemului. Totusi, cred ca orice sistem de tip hash/semnatura nu poate face altceva decat sa previna modificarea mesajului in tranzit (integrity/authentication).

    Nu zic nu, partea respectivă este și ea importantă. Dar pe mine ca și client, atunci când dau date confidențiale, mă ustură în primul rând partea de confidentiality – vreau ca datele respective să nu poată fi citite de cineva care „se întâmplă” să asculte pe sârmă. Și din câte știu eu, așa ceva nu se poate asigura decât prin criptare.

  15. EugenF Said,

    January 13, 2016 @ 10:54

    Si magazinul dubios stereoplanet.ro foloseste secure11gw.ro.
    Am avut probleme din cauza lui.

RSS feed for comments on this post · TrackBack URI

Leave a Comment