Re: [問題] 虎航買票明碼傳輸信用卡資料沒問題?
※ 引述《tzujan (無)》之銘言:
基本上你對於明碼傳輸 (明文傳輸) 的認知是錯誤的。
明文傳輸指的是,你使用的協定沒有做加密
讓第三者竊聽後可以直接看到資料來:
客戶 -> 網路線路 -> 伺服器
|
--> Bob
假設 Bob 在途中獲得了你的封包,如果是明文的,
他就能夠直接得到裏面的資料 (對,就是你的信用卡資料)
封包 -> {"cvv": "123", "nameOfCard": "null", ...}
但是如果是加密過的,他還是可以拿到你的封包,
但是因為加密的關係,他沒有辦法解出明文來:
封包 -> \x00\x11\x019\xav\xb1\x19\x19\x11....
因為加密的關係,讓只有 key 的人才有辦法解出來,也就是伺服器:
封包 -> 正確的 key -> {"cvv": "123", "nameOfCard": "null"...}
只要他設定是正確的,基本上 https 傳輸上不會出事。
: 買機票買到快腦溢血
: 到最後一關刷卡一直當
: 按F12看console
: 把整個信用卡的資料全部印出來
: 包括cvc
長這樣吧?
http://i.imgur.com/r88kNpP.png
左邊 4 個紅色 payment 代表嘗試連線請款了 4 次。
如果不懂資安,請至少看一個地方再來說嘴:
General -> Request URL 的部份,前面是不是 https,
虎航長這個樣子:
https://tiger-wkgk.matchbyte.net/wkapi/v1.0/payment
^^^^^^^^
基本上代表,你這包就算被攔截到了,別人也解不開。
: 如果他丟的資料是那一整包了話
是,丟一整包過去,包含你所有的資料。
accountNumber, cvv, dccAccepted, expiryMonth, expiryYear, nameOnCard.
沒有這些資料要怎麼請款啊啊啊啊啊啊啊。
: 沒有安全問題嗎???
這部份沒有。
: 好怕被盜刷
盜刷有什麼好怕的 = =?
: -----
: Sent from JPTT on my Asus ASUS_Z01HDA.
下次要找,請特別注意找這種的,台灣企業很會:
https://goo.gl/WnSouD
明碼把資料存在 javascript 裏面。
這才會有資安問題。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.122.206
※ 文章網址: https://www.ptt.cc/bbs/Japan_Travel/M.1503547369.A.B55.html
※ 編輯: grapherd (60.248.122.206), 08/24/2017 12:13:14
推
08/24 12:26, , 1F
08/24 12:26, 1F
推
08/24 13:23, , 2F
08/24 13:23, 2F
推
08/24 13:31, , 3F
08/24 13:31, 3F
推
08/24 14:17, , 4F
08/24 14:17, 4F
推
08/24 14:51, , 5F
08/24 14:51, 5F
推
08/24 15:52, , 6F
08/24 15:52, 6F
→
08/24 18:05, , 7F
08/24 18:05, 7F
推
08/24 19:47, , 8F
08/24 19:47, 8F
推
05/05 04:09, , 9F
05/05 04:09, 9F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):