Kdysi jsem dostal dotaz, co si myslím o nové službě PaySec, což je nějaký úsměvný pokus o (mikro) platební systém na českém Internetu od ČSOB a Poštovní spořitelny.
Na ten v dotazu odkazovaný článek na Lupě - PaySec: prodejci zatím vyčkávají - jsem nereagoval, neboť mě odzbrojily informace, že PaySec je pouze předplacená služba, tzn. že uživatel musí nejprve převést nějaké peníze do ČSOB, aby mohl vůbec nějak platit:
"Obchodníci se neshodnou, jestli je předplacený princip služby výhodou či nevýhodou. Někteří prodejci nesouhlasí s ČSOB, že systém je vhodný i pro makroplatby, a objevila se i poněkud ostřejší kritika poplatků."
Dále jsem byl úplně v šoku, když jsem se dozvěděl, že "Platba kartou se v ČR zatím bohužel moc neuchytila, zejména proto, že není zákazníky považována za bezpečnou." Jak teda všichni na Internetu platí? Dobírkou? Bankovním převodem? To snad ne!?
Každopádně, dnešní pokračování na Lupě - PaySec po třech měsících - si už komentář zaslouží, neboť informace o současném zabezpečení a "ochraně" mě docela pobavila. Co to jako má být, nějaký vtip? Také docela pěkné využítí PaySec systému zmiňuje projektový manažer z ČSOB, kdy maminky prý dělají největší business :-)
"Největší množství plateb dělají nyní mezi sebou maminky, které si vzájemně prodávají oblečení a hračky na mimibazar.cz a obecně uživatelé internetových aukcí..."
Proč Češi neplatí na Internetu kartou?
Neprovozuji žádný český e-Shop, tak s tím nemám ty pravé české obchodnické zkušenosti, ale tohle mě neskutečně zaráží. Proboha, proč se více neplatí kartou? Já osobně jsem nikdy jinak než kartou neplatil, možná několikrát jsem ještě u ověřených obchodů využil platební bránu eBanky, což je možná ještě rychlejší jak přes kartu.
Vůbec ale tu malou českou obavu z plateb kartou na Internetu nechápu. Jak pak lidi nakupují v zahraničních e-Shopech? Aha, na to nemají jazykové znalosti ;-)
Každopádně se docela "bavím", když se český národ bojí platit na Internetu kartami, ale v zahraničí klidně dají všichni kartu číšnikovi v hospodě, který s ní zmizí někam za bar, příp. u benzinky jim vůbec nevadí, že nějaký brigádník s ní odkráčí dozadu si ji okopírovat.
Zajímavé, že nikomu také nevadí ty nezabezpečené SMS zprávy, které posílá každá banka, kdy všechny takové zprávy jsou dostupné všem administrátorům, vývojářům (i externístům) u mobilních operátorů. Tohle, samozřejmě, neplatí pro eBanku, tj. pro jedinou banku na trhu, která má náležitě a příkladně zabezpečené své internetové bankovnictví i šifrované bankovní SMSky, dostupné přes extra BPin, takže se nemůže nic stát ani když ztratíte mobil.
Proč Češi stále vymýšlejí již dávno vymyšlené?
Tohle platí asi ve všech oborech v ČR, ať se to týká soudnictví, policie, podpory zahraničních investic, investice do vědy a školství, zavádění Internetu do škol nebo do státní správy...
Místo toho, abychom se poučili z již fungujících systémů v zahraničí a převzali to nejlepší, tak si malý čecháček musí opět vymyslet nějakou tu malou a přízemní cestu. Hlavně, aby se vlk nažral a někdo dostal patřičnou provizi.
Podobně na mě totiž působí i ten PaySec platební systém od ČSOB. Co to má jako být? Proč tady největší banka na trhu nabízí takové hloupé a omezené řešení? Copak české obchody nepotřebují více stabilní a světové řešení založené na platbách kartou přes Internet? Copak české obchody jsou navždy odsouzené prodávat své zboží jen v Čechách? Co mají dělat cizinci, kteří by si chtěli něco koupit v českých e-Shopech? Proč tohle vůbec ČSOB nabízí?
Ty stovky vyhozených miliónů na vývoj, implementaci a propagaci na vymyšlených blog stránkách by měly minimálně stát někoho odpovědného za takový "nápad" v ČSOB místo!
Má současný obchodník na Internetu integrovat PaySec?
Napadá mě jediná základní otázka: Proč by to nějaký e-Shop v ČR dělal? Existují nějaké skryté výhody, o kterých se nemluví a které nejsou známé? Zatím jsou "známé" jen podmínky, které nejsou veřejně dostupné. Prý mají být šity na míru konkrétním obchodům.
Dostane alespoň případný obchodník reklamní tričko s nápisem např. "ČSOB Forever" nebo poukaz na thajskou masáž? Asi ne, že?
Pro srovnání, když si na svém Webu zprovozníte celosvětový platební systém Google Checkout, tak dostanete od Google alespoň "$50 in free AdWords advertising" :-)
Google Checkout
"Find it with Google. Buy it with Google Checkout. Want a faster, safer and more convenient way to shop online?"
Krátké video - Google Checkout Overview:
To nemluvím ani o tom, že Google nabízí naprostou ochranu soukromí, kdy vaše credit card number není viditelné obchodníkovi a příp. ani emailová adresa mu nebude známá, když to budete vyžadovat.
Viz seznam e-Shopů, co Google Checkout využívají jako hlavní nebo alternativní metodu placení. (Používá to i John ve svém XYZbikes.com e-Shopu.)
Proč obchodníci v ČR více nepoužívají jedinečný PayPal?
Tohle nechápu skoro vůbec a svědčí to jen o malém českém písečku, kdy svět je daleko před námi i v takové hlouposti, jakou jsou platby po Internetu. Kdysi jsem na českou podporu PayPal čekal jako na spasení, než jsem si raději zřídil firmu a bankovní účet v USA.
Copak nestačí to, že Paypal má více jak 160 miliónů uživatelů po celém světě, že je dostupný ve 190 zemích, podporuje 17 měn a je lokalizován asi do 12 jazyků (dokonce i Poláci již mají svou jazykovou verzi)?
Kdo chce na svých stránkách akceptovat platbu kartou za výrobky, služby, či reklamu, tak PayPal by měl být první a základní platební způsob integrovaný na Web stránky, když nejde použít přímou akceptaci platebních karet napojením na MUZO, či v cizině na skoro jakoukoliv banku.
PayPal's online money transfer
"PayPal is the safer, easier way to pay and get paid online. The service allows anyone to pay in any way they prefer, including through credit cards, bank accounts, buyer credit or account balances, without sharing financial information."
Má cenu vymýšlet v ČR nějaký nový platební systém?
Ale jistě, vždy se někdo nechá nalákat na něco typicky českého, co se nepoužívá nikde jinde na světě. To platí snad o všech službách na Internetu, které u nás vznikají okopírováním světových systémů. Mně je jen líto, že nějaký vývojář tím ztrácí čas a nechá se uspojit pár tisícovkami uživatelů v ČR, kteří nic světového neznají, kdy někdy je snad ještě dáván za příklad úspěšného podnikatele. Nebudu jmenovat, však ten konkrétní ví ;-)
PaySec jistě může patřit mezi výjimky a pod záštitou ČSOB by se mohl stát dobrou platební variantou na českém Webu. Musel by ale v první řadě zlepšit zabezpečení podobně, jako všechny české banky (neplatí pro eBanku), musel by umět provázat PaySec účet online s jakýmkoliv bankovním účtem nebo jakoukoliv platební kartou, třeba i AMEX, musel by nabídnout jazykové mutace a umožňovat platby cizincům přímo platebními kartami.
Hlavně by se ale muselo zrušit to hloupé "nabíjení". Copak nejde ten PaySec účet online provázat podobně, jak to dělá PayPal?
Každopádně, to docela chápu, české banky nechtějí v žádném případě nést nějakou odpovědnost za něco, což je typické pro celé internetové bankovnictví a také pro všechny operace s platebními kartami v ČR.
Někdo vychvaloval kdesi rychlost plateb jako jednu z výhod PaySec služby (poté, co trvá 2 dny nabití účtu převodem z nějakého jiného účtu). To snad není ani možno komentovat, když normálně platím na Internetu kartou nebo přes PayPal.
Však rychlost PayPal plateb si může kdokoliv vyzkoušet zaplacením linku vpravo v sekci Are You In My TopSpots :-)
Rada na závěr pro začínající podnikatele na Internetu:
Chcete-li podnikat na Internetu a neomezovat se jen na český trh, založte si firmu v cizině a to nejlépe v USA, state Delaware, když už ne přímo v nějaké offshore zemi jako Cayman Islands :-)
Založte si účet v zahraniční bance, která umožňuje přímou integraci platebních karet pro váš e-Shop a která vám vydá opravdu bezpečné platební karty. Doplňte platby přes Paypal, Google Checkout, stránky lokalizujte do světových jazyků a uvidíte ten obrat!
Poznámka: O zneužívání a zabezpečení platebních karet jsem se nechtěl zmiňovat, to je na extra článek. Co mi ale vadí u českých bank, tak je právě ta nemožnost reklamace plateb.
Pro příklad, když někde platím kartou American Express (AMEX) a na výpise zjistím nějakou neznámou nebo podivnou platbu, tak zavolám na hot-line a platba je okamžitě stornována, peníze vráceny na účet a AMEX se stará sama o ověření dané položky, kdy kontaktuje obchodníka a zjišťuje oprávněnost transakce.
U nás v ČR? Bez komentáře.
Jak PaySec a kočička vymýšleli nový platební systém na českém Internetu
Zapsal: Cayman at 7:43
Skupina: Foto a Video , Google , Hodnota peněz , Marketing , Nápady a zamyšlení , Podnikání
28 comments :
Nevím, proč neplatí Češi kartou, ale lze vytušit, proč se eshopy moc nehrnou do aktivace platebních bran. Když má eshop marži 10% a banka chce za transakci 4%, tak je prostě pro podnikatele výhodnější přijímat platby dobírkou - platí ji klient (tuším 90 Kč) a je to považováno za normální. Pokud byste ale k platbám kartou přidávali přirážku 4%, tak to nikdo akceptovat nebude.
Musím jen souhlasit. Situace v ČR v oblasti plateb (karty, bankovní účty) mi přijde postavená na hlavu. Prosté "objevovaní Ameriky", které je už k smíchu.
Já si myslím že se v ČR neplatí na netu kartama protože neexistuje rozumná platební brána. Znám spoustu lidí co by klidně kartou v ČR zaplatilo ale málokterý eshop to umožňuje. Důvody jsou už uvedeny výše, poplatky za transakce. České banky jsou chamtivé, a to je ta brzda pro platby kartou (tak jako kdysi brzdil Telecom rozvoj internetu vysokou cenou). Ono je asi jednoduší strašit lidi, že platby kartou jsou rizikové. Docela by mě zajímalo, kolik zákazníci eshopů zbytečně zaplatí za dobírky a provozovatelé eshopů za vrácené zboží. Celkově pro celou ČR to bude asi číslo s mnoha nulami.
Kredittky
Sam jsem si jeste nedavno plet kreditku s debetni kartou. Cirka rok mam kreditku a nejvice ji vyuzivam k platbam na internetu. Jak jiz nekdo zminil na zacatku souhlasim s nazorem, ze hlavni pricina jsou banky. Znam nekolik (kamennych)obchodu v Praze, kde dokonce neakceptuji zadne karty a to si tam napr. jdete pokazde koupit boty za 2tis.
Bigdrobek
Jelikoz trosku za oponu vidim tak bych rad uvedl sve postrehy.
1 - PaySec je kravina. Vetsina lidi to nebude pouzivat pac je to na ne moc slozite. Cast obchodniku to bude mit hlavne ti co chteji byt IN. Ikdyz to nikdo realne nebude pouzivat budou trendy a marketingove odd. jiste bude vedet jak s tim nalozit viz. napr i-legalne.cz
2 - Dobirka. V ceskych podminkach ci obchodnik bez dobirky neskrtne. Lidi nejenom ze se boji platit pres internet, ale nechteji platit dopredu za neco co fyzicky nevideli ( byt z baliku na poste poznaji houby tak je uklidnuje ze proste balik uz prisel )
3 - PayPal atd.. Jsou to sice hezke sluzby, ale diky nelokalizaci ( fuj to je slovo ) pro drtivou vetsinu eshopu nepouzitelne. Bezny zakaznik jakmile uvidi neco anglicky tak to stornuje protoze proste tomu neduveruje. Ano, jde treba prelozit cast platebniho templatu u PayPal ale vse tam mit cesky nebudete a to je proste kamen urazu. Mimo jine lidi jsou masirovany varovnyma kampanema ze na nic anglickyho neklikat zvlast kdyz to chce cislo kreditky. Coz je v principu samozrejmne spravne, ale tu to proste skodi.
Co jsem napsal tak nemyslim pausalne je precejenom rozdil ve skladbe zakazniku u eshopu s knizkama a eshopu s mobilama, ale statistiky a me zkusenosti odpovidaji tomu co sem napsal vyse.
Dle meho toto nase specifikum ( a bratru slovaku ) jentak nevymizi. Ikdyz se bude treba podil dobirky zmensovat stale bude po mnoho dalsich let tvorit minimalne 50proc objednavek. Ja bych to prirovnal k sekum. Ikdyz jsou dnes ve statech mnohem lepsi moznosti plateb stale mnoho americanu ten sek proste poziva a dlouho pouzivat bude. ( neberte me doslovne )
Vidím, že se všichni shodujeme v tom, že chamtivé české banky s těmi jejich podmínkami na platební brány to tady pěkně drží zkrátka ;-)
Přesně, jak zmínil MacInek, je to stejné, jak byl monopol Telecomu na internet. Asi to chce nějakou pořádnou konkurenci podobně, jak tady s třeba s poplatky pěkně zatočila mBank.
Mirek ro pěkně shrnul, docela se pod to podepisuji a napadá mě jen, proč třeba Poláci už mají lokalizovaný PayPal?
Proč Seznam nebo Vodafon, či kdo ještě, chtějí zavádět vlastní platební systém, když by "jen" stačilo nabídnout PayPalu zdarma lokalizaci do češtiny?
Stačilo by, aby někdo, kdo má čas, sepsal pořádný návrh pro management PayPalu, vysvětlil, proč se jejich systém u nás moc nepoužívá a že by ho plno firem v ČR nasadilo, kdyby měli českou verzi. K tomu by stačilo připojit překlad textů obrazovek, ať PayPal chalani vidí, že to je vážně míněná nabídka a už vidím ty titulky v tisku:
ČESKÁ verze PayPalu konečně v ČR! Firma XYZ oficiální zástupce firmy PayPal zavádí světový systém v češtině s lepšími podmínkami pro obchodníky, jak má ČSOB :-)
Nebojím se platit kartou, ale bojím se, že zboží zaplacené dopředu kartou nedostanu. Tudíž objednávám na dobírku, mám jistotu, že si to nikdo nevyzvedne, protože určitě nebude chtít platit. I když jsou zásilkové služby spolehlivé.
Stačí přece nakupovat u zaběhlých a prověřených obchodů a s platbou kartou nebo přes platební bránu předem nejsou žádné problémy. Dobrý způsob třeba u prvního nákupu je také platba při dodání zboží PPL nebo kurýrovi.
Je to všechno mnohem rychlejší. Dobírka je pomalá, musí se chodit na poštu, vystát frontu atd.
Často nakupujeme spotřební materiál (tonery, papír do tiskárny) a vůbec si neumím představit, že bych si to měl nechat zasílat na dobírku. Jak jsem psal, stačí mít pár ověřených obchodů a nehledat pořád dokola nejlevnější zboží u různých pofiderních firem.
Třeba Profi balík od Pošty je docela rychlý, a na poštu nemusím, přivezou mi to před dům, stejně jako zásilková služba. A občas prostě potřebuji nakoupit hodně levně a ještě se mi nikdy nestalo, že by mi zboží nedošlo i od těch nejlevnějších.
Cayman: ty hele ale to vůbec není špatný nápad stát se takovou firmou XYZ. Já bych do toho klidně šel.. firmu bych měl, počeštění by nebyl žádný problém a pokecat s PayPalákama taky ne. Ani bych neviděl potřebu nějakých velkých počátečních investic..
Měl bys zájem tudle tvou myšlenku nějak hlouběji rozvinout a podílet se na její realizaci? Kdyžtak mne kontaktuj na mail (udc at seznam cz)
Zdar Cayman. My sme este nemali tu cest. Citam ta nejaky cas, nie vzdy s tebou suhlasim, ale vacsinou si nepisal nic take, co by ma donutilo sa vyjadrit. Tento clanok je vsak iny pripad.
To ze je PaySec sprostost vieme vsetci. To ze je PayPal sprostost viem asi len ja, mam taky pocit. Nie je to tak davno, co som objavil velmi zavaznu bezpecnostnu chybu, ktoru PayPal nevie odstranit ani radovo v tyzdnoch. Aby som ti ukazal, ze je PayPal nebezpecny, "zaplatil" som si u teba link !Hacked!.
Co sa tyka eBanky, vobec nemas pravdu. Na niektorych miestach mala svoje bezpecnostne chyby, ktore samozrejme odstranili po serii reportov. Celkovo banky na Slovensku a v Cechach su na tom s bezpecnostou velmi zle. Staci si pozriet pristup http://www.etrend.sk/technologie/telekom-a-internet/ako-sa-dostat-do-internet-bankingu-csob/140603.html csob k bezpecnostnemu certifikatu.
A nakoniec platobne karty. Spominany AMEX je jediny, ktory nevracia! peniaze ani poskodenym obchodnikom. Kazdy, kto chce spracovavat platby musi mat PCI DSS, co u nas nema nikto. Karty bezpecne nie su ani zdaleka, ale suhlasim s tebou, bolo by fajn, keby to u nas fungovalo. Problem je hlavne v tom, ze banky pytaju neuveritelne poplatky a je k nemu minimalna podpora.
Bohuzial nemam momentalne cas ti tu napisat esej na temu bezpecnosti platobnych systemov, ak mas zaujem, napis mi privatne, rad si pokecam o danych veciach.
Mno, k tomu AMEXu, to, ze ti stornuji platbu a penize vrati zpet je sice hezke, ale AMEX je AMEX a pro evropske ucely se zrovna 2x nehodi. Ziju nejaky cas v UK, mam duo kreditku (Mastercard a AMEX) a zhruba na 70% mist ji primo odmitli vzit.
Zaroven k tomu se taky stahuje dalsi vec...osobne si nedovedu predstavit nakupovat nekde bez karty, ikdyz pokud jde o tohle, tak co se tyce e-shopu radsi preferuju, pokud sluzbu/produkt nabizi vic shopu, tak vybiram ten, na kterem jde platit pres paypal (min tukani, rychlejsi a hlavne neni videt primo udaje o karte; radsi preziju bezpecnostni problemy paypalu (jelikoz je podle mne mensi sance, ze nekdo zneuzije primo muj paypal ucet (nehlede na to, prodleva mezi zaplacenim a strzenim z uctu je zhruba 3 dny, takze je dost casu zablokovat odchozi platbu) nez abych nekde natukal primo cislo karty a ostatni udaje.
Na druhou stranu, pokud se CR tyce, tak jsem vzdy preferoval vyzvednuti zbozi osobne a placeni na miste (k pobocce napr. cybexu jsem to mel par minut), da se tam zbozi primo otevrit a zjistit jestli je vse OK a pokud ne, tak ho rovnou prodejci omlatit o hlavu bez nutnosti posilani zpet, hulakani do telefonu a posilani vyhruznych e-mailu ;) - Zkratka, neverim zatim zadnemu ceskemu e-shopu kde je mozno platit primo kartou prave pro tuto nejednotnost a nepruhlednost platebniho systemu a kdyz uz, tak dokonce ani nedostupnost paypalu (jako pomerne jednoducheho reseni)
Teda, ehmo, jak jsi prolomil ten PayPal? Ta bezpečnostní díra vypadá dosti závažně. Schválně ten tvůj link v TopSpots nezruším a nechám ho na prvním místě :-)
Nechceš o tom něco více napsat? (Ne jako návod, ale jako případnou ochranu.) Chceš tím také říci, že jsi to PayPalu hlásil a oni nijak nereagovali? To mě teda podrž!
Jinak, díky za ten článek na eTrend.sk, je vidět, že jsi jeden z mála, který problematice opravdu rozumí.
Kdybys mi poslal nějaké delší zamyšlení na dané téma, tak ho zde, když dovolíš a budeš mít zájem, klidně publikuji s odkazem na tvé stránky a s doporučením na vývojového experta.
Měj se a ať se daří!
2udc: Na tu lokalizaci - zastoupení PayPal v ČR, bohužel, nemám čas, jinak bych se na to už dávno vrhnul :-) Ale jestli půjdeš do toho, tak o tvém úspěchu velmi rád napíšu. S chutí do toho, jsem přesvědčen, že by to mohlo být úspěšné.
2Andre: Chápu tě, jestli máš s poštou dobré zkušenosti a fungují už dneska jako zásilkové služby, tak proč ne.
2y|b: Zajímavé, AMEX i MC karty v UK běžně používám a nikdy nebyly problémy. Dokonce s AMEXkou platím běžně i v taxíku, příp. pivka v hospodě, když nemám drobné. Ale je fakt, že v moc hospodách ji nebrali, proto pak musím vytáhnout MC. Se situací v ČR máš plnou pravdu.
Cayman: nuz, PayPal sa ozval spolu s prislubom zaloby. to je ich predstava bezpecnosti. aj keby som velmi rad napisal o tomto clanok, nemozem si to dovolit. pravne nasledky by ma zrujnovali. kazdopadne mi ver, paypal skutocne nepatri medzi dobre a bezpecne systemy. nie ze by k tomu patrili banky, ale su na tom o nieco lepsie.
mozno sa mi raz podari dat von tieto a podobne informacie, lenze to tak skoro urcite nebude.
inak pozor na scratchback, maju velke bezpecnostne problemy a nejak sa im nechce so mnou uzavriet dohodu. cize by som bol opatrny pri nasadzovani tohoto systemu
ehmo: Mohl bys to popsat anonymně a já to pak budu citovat jako neověřenou zprávu z Marsu od anonymního čtenáře, který navíc tlumočí, co viděl ve snu nebo co mu vyprávěla kočka v útulku.
PayPal pak může žalovat třeba tu kočku a nějaký útulek pro opuštěné zvířata bude mít pěknou reklamu :-)
Každopádně, díky za upozornění. Nedělám si iluze o jakékoliv bezpečnosti čehokoliv.
Cayman: nechcem to urobit uz z toho titulu, ze bojujem za zvysenie bezpecnosti a povedomia. toto by bol krok spat. mna mrzi, ze vacsina spolocnosti nema nejaky zaujem so svojou bezpecnostou aj urobit. pekny priklad je napriklad box.net, ktory sa hrde pisi ze sa jedna o najbezpecnejsiu moznost ukladania dat na webe, ale ja som tam nasiel pekne vela sialenosti. urobil som videa, napisal im zoznam vsetkych bezpecnostnych chyb, oni ich opravili a teraz ma natahuju. ak to uverejnim, podaju zaloby. popravde, nebojim sa ich ani trosku, ale uz zmenili retoriku a chcu sa dohodnut, uvidime, dam im este trosku casu.
ono je to vlastne problem vsetkych internetovych projektov a hlavne tych web 2.0. uplne pozabudli na bezpecnost, ktora je v dnesnej dobe klucova. bez nej nie je mozne existovat. teda mozne to je, ale na 99% na to dotycni doplatia
To nechápu, místo toho, aby tě ta firma nosila na rukách a zaplatili ti odměnu, že jsi jim pomohl odhalit bezpečnostní díry, tak oni ta natahuju? Divný svět.
"Dále jsem byl úplně v šoku, když jsem se dozvěděl, že "Platba kartou se v ČR zatím bohužel moc neuchytila, zejména proto, že není zákazníky považována za bezpečnou." Jak teda všichni na Internetu platí? Dobírkou? Bankovním převodem? To snad ne!?"
Co je spatneho na platbe prevodem? Me prijde pohodlny dost, zejmena s eBankou, kdy staci kliknout a potvrdit, kdyz tam obchodnik da prislusny link.
Navic bud si jist, ze vetsina populace vubec neumi s zadnou formou internetoveho bankovnictvi. Opravdu. Taky me to prekvapilo, ale je to tak.
"Zajímavé, že nikomu také nevadí ty nezabezpečené SMS zprávy, které posílá každá banka, kdy všechny takové zprávy jsou dostupné všem administrátorům, vývojářům (i externístům) u mobilních operátorů. Tohle, samozřejmě, neplatí pro eBanku, tj. pro jedinou banku na trhu, která má náležitě a příkladně zabezpečené své internetové bankovnictví i šifrované bankovní SMSky, dostupné přes extra BPin, takže se nemůže nic stát ani když ztratíte mobil."
Nevis, zda i mBank?
"To nechápu, místo toho, aby tě ta firma nosila na rukách a zaplatili ti odměnu, že jsi jim pomohl odhalit bezpečnostní díry, tak oni ta natahuju? Divný svět."
Ze by ceska firma :) ?
2Botanicus: Měl jsem na mysli normální bankovní převody, které trvají 1-2 dny, To rozhranní eBanky taky někdy používám, neboť je to snad rychlejší jak platba kartou.
S tou neznalostí internetového bankovnictví máš pravdu. Vždy jsem v šoku, když někdy musím na poštu a tam lidi zdržují ostatní, když platí složenky nebo si tam vybírají hotovost. Chápal bych to u důchodců, ale mnohdy jsou to i docela mladí lidé.
S mBank nemám zatím žádné zkušenosti, ale chystám se je prověřit :-)
Cayman: mali by, a pritom sa mi stava velmi casto toto http://forum.synopsi.com/info/securityworld-cz-t208.html. Podotykam ze ten report dostali zdarma!
Inak nielen neexistujuca eBanka pouziva zabezpecene sim karty. Tusim ceska sporitelna pouziva 3DES pre sifrovanie kariet. U nas sa takato vec nerobi vobec, ludom je to totalne jedno
emho: neříkej "neexistující eBanka", vždyť se přeci jenom sloučila s Raiffeisenbank. Že přestal pouze existovat název nemá žádný vliv na služby, které eBanka poskytovala, včetně oněch šifrovaných SMSek. To je mimochodem velmi dobrá služba a za těch 7 let, co jsem zákazníkem eBanky, si neumím představit to nepoužívat. Na mobil mi chodí informace o všech příchozích i odchozích platbách včetně inkasa a karetních blokací (navíc sám i některé převody realizuji přímo z mobilu) a představa, že by todle všechno jakožto nešifrované SMSky mohl jednoduše číst mobilní operátor a plno dalších subjektů by se mi fakt moc nelíbila. Nevím, jak to strpí lidi, co používají SMS komunikaci u jiných bank..
Jinak je pravdou, že chování některých československých firem je nepochopitelné. Ono to plyne z toho přiblblého čecháčkovství, které v článku zmínil Cayman.
Lidská hloupost je na celém světě jediná věc, o které si i Einstein byl jistý, že je nekonečná.. U nás se jí bohužel daří extra dobře :-( Nevím, jestli i za todle můžou komunisti nebo to je prostě jen nějak geneticky zakódované v naší národní povaze..
Shodou okolností mám internetový obchod (prodávám software; pro lidi ve světě, nikoliv u nás), jako platební metodu používám PayPal. Žádný problém nemám, no přemýšlel jsem to rozšířit (nebo nahradit) "nativní" implementací 3D-Secure (PayMUZO) od eBanky, ale odrazuje mne to papírování a smlouvy a možná i nějaký zřizovací poplatek. S PayPalem nic z toho nebylo, lze to začít používat v podstatě okamžitě.
Ale proč to zmiňuji - také jsem narazil tehdy na PayPay. Je to v podstatě horší slovenská obdoba PayPal, no řekl jsem si "proč ne, můžu mít dva rovnocenné platební kanály". Jaké ale bylo moje překvapení, když jsem zjistil, že ti chytráci v PayPay by chtěli nejdříve nějak posuzovat a schvalovat mé stránky než by mi milostivě na nich dovolili přijímat platby platební kartou. Chápe to někdo? Nějaká trdla někde "z garáže" by si chtěla dovolovat něco, co si ani PayPal nedovolí.
Navíc je to zcela nesmyslné, protože bych jim klidně mohl předhodit nějaké "vzorové" stránky a až by je milostivě schválili, hned bych je změnil na ty své. Nebo by snad oni chtěli ty stránky znovu-schvalovat po každé jejich změně? :-) No tak výsledek byl, že jsem na ten přiblblý PayPay okamžitě zapomněl a nikdy už jejich služby nevyužiju a stejně tak to doporučuju ostatním. Přitom by skutečně mohli být zajímavou alternativou k PayPal, nebýt té demence.
Btw, poslední dobou uvažuji o prodeji přes SWREG, zejména kvůli jejich integrované podpoře affiliate sales. Nemá s nimi náhodou někdo zkušenosti?
2udc: Pěkně jsi to vystihl :-) To, že lidí používají ty obyčejné SMS je pouze z neznalosti, kdy banky jim navykládají výmysly o "bezpečnosti" a mnohdy tomu ani ti odborníci v bance nerozumí.
S eBankou nemám žádné problémy už taky pár let a jen se směju, když se někdo pokouší přihlásit do Spořky nebo do jiných ústavů a řeší jejich problémy se zabezpečením, o "úrovni" jejich služeb ani nemluvě - viz ty jejich metody osobních návštěv, když někdo potřebuje něco změnit.
PayPal je zatím opravdu jednička. Možná kdysi měli problémy, ale jak je koupila eBay, tak je vše lepší a lepší. Jen je potřeba dávat pozor na ten celosvětový spam, co chodí a láká přihlášení na účet.
Zajímavé, o SWREG jsem taky kdysi uvažoval jako o možnosti prodeje shareware. Používá to plno známých v cizině právě kvůli tomu affiliate programu. Dokonce tam mám i nějaký starý účet. Ale nedokopal jsem se k realizaci :-)
udc: ja som nikdy nepovedal, ze sa eBanka nezlucila. eBanka vsak uz dnes neexistuje, nema to ziadny vplyv na sluzby. Proste sa vola inak. neviem co ti na tom prekaza.
co sa tyka PayPal, svoj nazor som na to uz povedal (a snad aj dokazal).
a co sa tyka SWREG, no, popravde, poznam tri metody, ako si odtial "kupit" cokolvek. Ak teda uz chces ist do toho, nikdy! nerob automatizovane orders, vzdy radsej manualne kontroluj. Inak potom odporucam vyuzit nieco svoje, zabezpecene niekym, kto platobnym systemom a ich bezpecnosti skutocne rozumie. Muzo je podla mna (rovnako ako cele 3D secure vysmech), ale to sa len velmi tazko vysvetluje bez informacii, ktore by si k tomu potreboval. Este fajn metoda je moneybookers. Ti su tak pototo z hrozby money launderingu, ze kontroluju aj $5 transakcie. Tam je skor problem so zriadovanim bezneho uctu, ktory trva niekolko dni, kedze posielaju overovaci mail (list) na adresu ziadatela. ale zas je to fajn a bezpecne (relativne).
ak by si mal zaujem, daj vediet, mozno ti pomozem orientovat sa v sluzbach. inak ak predavas autodownload softver, pozri sa na http://www.digitalriver.com/. Nie je bezpecny, ale z existujucich nie je ani jeden. Najviac je asi http://shareit.com/, ale aj tam poznam nejake tie finticky. proste, fraudu sa dnes nevyhnes.
emho: tak mi teda přijde docela velký rozdíl mezi slovy "neexistující eBanka" a "eBanka sloučená s Raiffeisenbank", no ale chápu, že někomu to může připadat jako totéž ;-) (peace)
Hm, no nevím, jestli to tvoje "kupit" je to samé, co já chápu jako "kupit". Automatizované orders mám a musím je mít.
Momentálně to u mne přes PayPal funguje takhle:
1) zákazník si u mne vybere
2) přesměruje ho to na PayPal bránu, kde zaplatí
3) PayPal mi odešle e-mail o příchozí platbě a dále provede IPN, což znamená, že pomocí POSTu na mou "speciální" URL na mém serveru, jejíž součástí je "skrytý" parametr, předá info o platbě
4) skript na mém serveru ověří onen skrytý parametr a dále předané informace o orderu (hlavně, jestli sedí cena a kód zboží)
5) když je vše ok, vygeneruje přístup v db (můj software se při každém spuštění autentizuje online vůči mému auth serveru, jinak se nespustí) a odešle e-mail s auth informacemi zákazníkovi, mi kopii
6) zákazník zadá auth informace do softwaru, který si předtím volně stáhl z mých stránek
7) zákazník je happy, já jsem happy
Pokud pominu možnost "jednoduchého" vyblokování online autentizace v mém softwaru (bavíme se o bezpečnosti PayPal, nikoliv mého softwaru), pak abys todle obešel, musel bys znát onu mou "speciální" URL včetně toho "skrytého" parametru. O ničem jiném to vlastně není. Takže chceš říct, že todle bys nějak jako uměl zjistil?
A pokud bys to dokázal a "zaplatil" mi přes PayPal aniž bys ve skutečnosti zaplatil, to by mi i přišel od PayPalu ten e-mail s oznámením o příchozí platbě?
Protože mi pokaždé, když si někdo ode mne nakoupí, přijdou rychle zasebou 2 maily: info o příchozí platbě z PayPalu a pak kopie mého automaticky generovaného mailu s auth informacemi zákazníkovi. Kdyby mi přišel jen jeden z nich, tak zbystřím, kouknu, co se děje a případně ten auth záznam v db vymažu a není co řešit.
A i kdyby mi přišly oba maily, tak při příštím přihlášení do PayPalu (pravidelně si posílám peníze domů na firemní účet) bych stejně zjistil, že mám méně peněz než kolik se vytvořilo přístupů, a zase ten fake vymažu.
Jako já jednoduše jen potřebuju, aby zákazník mohl jednoduše nakoupit, přičemž jednoduše dnes ve světě znamená pomocí platební karty, to je vše.
Když nějak obejdeš ten platební mechanismus, tak mi stejně žádnou škodu neuděláš, jen porušuješ zákon. Když si toho všimnu, tak vymažu ten záznam v db a dál mne to nezajímá. Když crackneš ten software a budeš ho používat neprávněně, tak mi opět žádnou škodu neuděláš, protože se to koneckonců ani nedozvím, tudíž mne to opět nezajímá, a ty opět jen budeš porušovat zákon.
Vím, že nelze udělat 100% zabezpečení, takže čemu nemohu zabránit, to neřeším ani mne to nezajímá.
(krátké OT zamyšlení na závěr)
Nakonec možná díky tvému ilegálnímu používání mého softwaru o něm třeba řekneš někomu (čili uděláš mi reklamu zadarmo), kdo si ho třeba koupí. Kdyby měl software Microsoftu od začátku nějakou brutální ochranu, copak by se tak hodně rozšířil jako je teď? A kdo na tom v důsledku vydělal? Piráti si myslí, že oni, ale ve skutečnosti to byl a je Microsoft. Piráti jsou jen loutky. Když mám takovou velkou uživatelskou základnu (a je naprosto jedno, jestli to jsou platící uživatelé nebo zloději), tak roste moje moc, můžu si určovat pravidla, vytvářet vlastní standardy, chovat se monopolně. Když "nechám" lidi užívat můj software zdarma, v podstatě tím vytlačuju konkurenci. Všichni na Microsoft nadávají, ale všichni ho používají, ať už legálně nebo nelegálně. Cui bono?
Digital River jsem neznal, na to se podívám, dík za tip.
Jen tak pro zajimavost poslat email z jakekoliv adresy na jakoukoliv adresu zvladne kazdy kdo zna PHP funkci sendmail :)
udc: citas sa? ja ja ja mne ja ja ja. toto predsa nie len o tebe. tento system vyuziva obrovska masa ludi, ktora je nachylna na mnozstvo utokov. takto mozu velmi rychlo prist k "urazu". samozrejme, ak chces, rad ti to ukazem, daj url. pride ti vsetko ako ma, akurat ze peniaze proste nedostanes. that's all. ked to zrusis, nuz, tvoj produkt uz niekto ma. v tvojom pripade softver, ktory ked niekto crackne este ti aj urobi reklamu. v inom pripade mozno nejaku televiziu, etc. proste musis mysliet vo vacsich rozmeroch.
ehmo: já se čtu, ale nevím, jestli se čteš dobře ty.
Reagoval jsem na tvou radu, kterou jsi adresoval konkrétně mě, o to, že pokud už teda chci jít do SWREG, tak nikdy nemám dělat automatizované orders. Čili nemluvil jsi o žádné obrovské mase lidí, ale konkrétně o mě, a nemluvil jsi o prodeji nějakých televizí, ale konkrétně o prodeji softwaru.
Pokusil jsem se ti vysvětlit, že v případě prodeje softwaru jsou nějaké bezpečností chyby PayPalu nebo SWREGu zcela bezpředmětné a nemají ani nemohou mít prakticky žádný dopad. Pokud někdo bude chtít ukrást a nebo šířit komerční software, tak to udělá bez ohledu na nějakou tajuplnou chybu nějaké třetí strany. Koneckonců zcela běžný postup kradení a šíření software je, že na začátku se daný software (resp. licence na jeho užití) korektně za peníze koupí, pak se software případně crackne, pokud to je potřeba, a nakonec "normálně" šíří. To je standardní jev a žádný prodejce softwaru tomu nemůže zabránit a nějaká chyba nějakého PayPalu, SWREGu či kohokoliv jiného na tento fakt nemá naprosto žádný vliv.
Pokud však chceš myslet "ve větších rozměrech" (btw nevím, jak lze porovnávat "rozměry" nehmotného softwaru a nějakého fyzického zboží), čili pravděpodobně v souvislosti s fyzickými produkty, mohl bych ti sice jednoduše odpovědět tvým stylem typu "já jsem neřekl, že PayPal nevyužívají obrovské masy lidí, které by takto nemohly velmi rychle přijít k úrazu", ale raději věcně:
Ani zde situace není taková dramatická, jak se ji snažíš vyvolat, protože pokud nějaký obchodník odešle fyzické zboží aniž by měl jistotu, že má peníze, pak je zkrátka idiot a patří mu nedostat zaplaceno. Mít jistotu, že mám penize, u mne znamená, že jsou peníze na mém bankovním účtu. Standardní doby fyzického dodání (doručení po světě) jsou většinou 1-2 týdny, převod peněz z PayPalu na bankovní účet v ČR trvá 2-3 dny (PayPal konkrétně má pro posílání peněz do ČR svůj účet přímo v ČR (tuším v CS), takže jde o vnitrostátní převod, nicméně i zahraniční platební styk netrvá zpravidla déle než 2 dny; někdy mi to přijde i rychlejší).
Čili pokud bych chtěl mít jistotu, tak si nejdříve ty peníze pošlu "domů" a pak teprve odešlu fyzicky zboží. Pokud nebudu chtít čekat těch pár dnů a budu věřit tomu, co uvidím na stránkách PayPalu, tak odešlu zboží hned po kontrole na stránkách PayPalu, to už je věcí každého. V takovém případě (když chci odesílat zboží co nejdříve) by ale bylo lepší si na svém bankovním účtu v ČR zřídit onu akceptaci platebních karet (3D-Secure apod.), nic tomu nebrání a jsou tam v podstatě stejné poplatky jako v případě PayPalu.
Nicméně to, co se tady snažíš evokovat ty, tedy že obchodník odesílá zboží automatizovaně jen na základě toho, že mu na jeho server udělá někdo nějaký POST http(s) dotaz, to je zcela zcestné a takový obchodník si nezaslouží nic jiného než zkrachovat. Doby, kdy obchodníci odesílali zboží jen na základě objednávek a nechávali si proplácet faktury až po dodání zboží, je snad už proboha za náma. Takové nesmysly se tu předváděly na počátku 90. let a leckdo taky kvůli tomu zkrachoval.
Naprosto standardní postup v dnešní době, a to jak v ČR, tak i v celém světě, přeci je, že NIKDO soudný ti nepošle žádné fyzické zboží dříve než má jistotu, že má od tebe peníze. Takže jestli je na nějakém PayPalu nějaká chyba je v praktickém důsledku irelevantní.
Mimochodem to je přeci očekávatelné, že na PayPalu je a bude vždycky nějaká chyba, stejně jako na jakémkoliv jiném řešení. Každý přeci ví, že žádné zabezpečení není 100%, takže čemu se divíš? Co je tak omračujícího zrovna na té chybě, kterou tu prezentuješ? Určitě je tam i plno jiných chyb a vždy bude, na tom není nic zvláštního a každý soudný člověk s tím přeci musí počítat. Že o tom ty firmy nemluví nebo to přímo popírají? No bodějť, kdo by o tom taky mluvil!
Pokud se rozhodnu používat nějakého prostředníka pro příjem peněz, tak se přeci jako zcela první věc musím zabývat otázkou "co když se tam něco stane?". Analýzu rizik, ať už v té či oné podobě, si přeci dělá každý podnikatel, je to součást vyrovnání se s celkovým podnikatelským rizikem. Pokud ne, pokud nějaký "podnikatel" skutečně věří, že v tomto světě je všechno dokonalé a neexistuje žádný zločin, pak znovu opakuji, že takový člověk je idiot a ve světě byznysu nemá co dělat.
Takže jestli jsi myslel, abych uvažoval "ve větších rozměrech" hlouposti, tak to máš pravdu, že v takových rozměrech skutečně neuvažuji a ani mne lidí s takovým uvažováním, a jejich problémy, nezajímají.
Napadá mne takový zajímavý příměr - ty se v podstatě snažíš lidem říct, aby mysleli na to, že ne každý den bude svítit sluníčko, ale někdy může i pršet, a podporuješ své tvrzení praktickou demonstrací, že ty umíš vyvolat déšť. No, to je sice nesmírně zajímavé a pro tebe asi i zřejmě velice vzrušující, jenže je to i hlavně zcela zbytečné, protože každý normální člověk na celém světě (i bez těch tvých demonstrací přeci ví, že prostě prostě čas od času prší.
Čili - doporučuji ti trochu se zklidnit a nešířit paniku. Nejdříve z naprosto normální a fungující banky uděláš banku neexistující a pak tady děláš z komára velblouda.
What happened to you? You used to be fun :-) (citace z The Simpsons)