Re: [請益] Google Pay 被盜加卡已刪文
你完全觀念搞錯了
這篇文講到兩個東西,完全不是合在一起的
1.Google 的 Google payment method.
1-1.調用 Google Pay 的 Google Pay API.
2.Browser 的 Autofill data (Creditcard).
2-1.Sync autofill data to Google Account.
2-2.W3C 的 Payment Request API.
2-3.欄位定義.
可以理解一般人或者沒有了解過相關 API 的開發者容易混淆
----
一、 Google Pay
所有你在 https://pay.google.com/gp/w/u/0/home/paymentmethods
網頁中可以看見的 payment methods,才能被 Google Pay 所存取運用。
這些 payment methods 包含了最常見的信用卡外,在台灣第二常見的是 DCB (電信代收)
台灣以外甚至還可綁銀行帳戶、PayPal、儲值卡。
Google Pay API
透過 Google Pay API,開發者可以在自己的 Android App 或者網頁中,
讓使用者一鍵點選「使用 G 付款」就快速結帳,使用 Google Pay 中的付款資訊。
這其中的加密過程使用 ECIES,主要的 Parameters 有:
-ECIES-KEM (NIST P-256)
-DEM2 (AES-256-CTR)
-HKDFwithSHA256
-HMAC_SHA256
完全並非明碼在 WAN 上裸奔,甚至到終點時大多數時候商家根本無法獲得現實卡片資訊。
若為在網頁在網頁上透過 JS 成功透過 Google Pay API 跟用戶終端結帳,
有幾個必要條件:
1.必須使用 TLS 以上的 https .
2.Client browser 要是一定版本以上的 Chrome,Firefox,safari,edge,UC.
3.Client 「必須」要至少有綁一個 Payment method.
4.通過 Google 審核,取得商家 ID,才能正式輸入並使用 Google Pay API.
二、 Autofill data on browser.
就以 Chrome 來舉例,
你的觀念認知「沒有經過同意,就自動信用卡資訊明碼儲存在 Google 帳戶中」。
你能夠在任何使用 Chromium 的瀏覽器設定中,找到 Autofill 區段,
其中包含三個設定:
-Passwords.
-Payment methods.
-Addresses and more.
這三項並非你在瀏覽器登入 Google 帳號後才會出現,它們始終都在。
這些資訊是儲存在你的 localhost 中,除非你去轉移這些儲存檔案,
否則他們只會靜靜趴在那,不會上雲端。
在 Autofill 的 Payment methods 設定中,
更有一個清楚的開關寫著:
「Save and fill payment methods」,當你把這個開關打開時,
才會自動將已儲存的 Google Payment method 幫你被動帶入瀏覽器中。
那有些傻傻的就會說,
我明明跨機都可以看到這些儲存且沒有綁入 Google Payment 的信用卡資訊,
怎麼會說不會上雲端,只會待在本機?
你在幫瀏覽器登入 Google 帳號前或後,請問到底有沒有看過你登入時開了什麼功能?
你可以在任何一個已登入 Google 帳號的 Chrome 中,找到你要在這個瀏覽器上,
透過 Google 帳號同步的瀏覽器,可以全開、全關或只打開特定幾個。
其中就有:
-Bookmarks
-History and open tabs
-Passwords
-Payment info
-Addresses, phone numbers and more
-Settings and preferences
你開了自然就會幫你存到你的 Google 帳號,你關了就不會幫你同步。
所以流程是:
A.你在瀏覽器存了信用卡資訊 > B.同步到自己的 Google 帳號 >
C.換瀏覽器 > D.登入 Google 帳號 > E.將信用卡資訊從 Google 帳號灌回瀏覽器
如果你不想要達成這整個流程,這其中有哪些事情你可以做:
A. 不要在瀏覽器存信用卡資訊,很簡單,不要記憶就好。
B. 把同步自動填入與付款方式的功能關閉。
E. 在新的瀏覽器不要開啟同步自動填入與付款方式。
只要一開始 A 都沒做了,根本就不會有後續的BDE。
至於存在瀏覽器的信用卡資訊,是不是明碼儲存?
不是明碼,但的確跟明碼沒啥區別,要看很簡單,
所以問題是:你為何要在瀏覽器存信用卡資訊?
你在本機留存了幾乎跟明碼差不多易滲透的信用卡、帳號、密碼等所有個人資訊,
這些檔案完全不用破解,幾乎無設防,你不擔心。
上述的你不擔心,
你擔心的是可以有密碼、2FA甚至實體解鎖器的 Google 帳號,
有些人甚至還把 2FA 因為嫌麻煩關掉。
然後你又提到,當你透過自動填入,「將這組信用卡資訊真實卡號交給購物網站」,
你認為很不安全。
沒錯,這當然不安全。
但請問你不明碼給這些需要手動輸入卡號資訊的購物網站,
你要怎麼給網站卡號資訊,是在哈囉?
這邊還是要重申一個概念,Google 在這個情況不會幫你 Autofill,
幫你 Autofill 的是瀏覽器阿!
請問你認為很不安全的:瀏覽器幫你自動填入16碼信用卡資訊
跟 你認為很安全的:你自己手動填入16碼信用卡資訊
這安全性差別到底是?????????
ㄍㄋㄋ,購物網站都是取得你所有的明碼資訊阿,是在阿囉哈?
不然你人類還能手動打出 256 bit 的雜湊值喔?
信用卡比 A4 還大張這樣?
甚至還很多人,直接把所有信用卡資訊存在購物網站中就不用提了。
什麼 Google 私心作祟,什麼偷偷存你信用卡資訊,
哈囉,哪一個步驟沒經過你同意,哪一個設定你不能關的?
不管使用任何帳號、網站或App,
麻煩登入前看一下你授權了什麼、同意了什麼或允許了什麼。
共勉之。
祝 一切順心
※ 引述《prussian (prussian)》之銘言:
: 在 Google 網站上
: https://pay.google.com/gp/w/home/paymentmethods
: 輸入卡號,把這張卡的「真實」卡號「直接」「儲存」在Google 帳號內
: 過程中完全沒有任何驗證,就跟用紙筆紀錄下來備忘是一樣的
: 只是抄下來的不是你本人,而是把卡號直接交給Google
: 你登入了Google 帳號,要在網站上結帳,
: Google 就再把這組「真實」卡號直接交給購物網站,
: 驗證保護方式就是信用卡原本的結帳時輸入CVC,
: 是最低科技的用卡號和驗證碼直接刷卡
: 沒有加密,沒有虛擬,就是16碼裸奔幫你輸入到購物網站而已
: 真實卡號是儲存在雲端帳號裡。
: 另一種
: B.
: 在手機上加卡操作的,一樣是輸入真實卡號,
: 經由銀行驗證你確實為持卡人,
: 但是「不」儲存真實卡號在手機上或雲端帳號上或任何地方
: 而是另外產生一組虛擬卡號,以供感應使用
: 刷卡的時候不用再輸入 CVC 或密碼,
: 保護方式是手機鎖,把手機當成一個安全容器。
: 虛擬卡號儲存在手機裡,沒有真實卡號。
: 這兩種現在都叫 Google Pay,或者叫 Pay With Google
: 到目前為止有跟上嗎?
: 混淆的地方在於,
: 1.
: 存在手機上的虛擬卡號,除了直接手機感應付款之外,
: 「也可以」在手機網站上,或是在App 內「網購」
: 一樣不需要輸入CVC或PIN碼之類,打得開手機鎖就能付款,
: 但只限於有支援手機API的網站。
: 但有時候沒支援的網站,還是可以用「Google Pay」在瀏覽器裡付款。
: 為什麼? 請往下看。
: 2.
: 在手機上加虛擬卡,名義上不需要儲存真實卡號,
: 但以前Google 私心作祟,一樣會把真實卡號另外「儲存」一份在 Google 帳號內,
: 「方便」你在電腦上,或是沒有支援手機API的網站,
: 一樣可以用「Google Pay」付款。
: 但這時的Google Pay, 就不是手機虛擬卡保護,而是同上儲存真實卡號的裸奔方式。
: 這時即使你是用手機要結帳,你用來付款的,
: 是存在Google 帳號裡的真實卡號,而不是手機上的虛擬卡號。
: 很久一陣子我在手機上加卡已經不再有這種情形,但其他人說還有,
: 詳細是誰理解有誤或我關了什麼「方便」的設定也不一定。
: 3.
: 上面 2. 是 Google 偷幫你複製卡號 手機->帳號
: 如 A. 你所說,在Google 網站上加入真實卡號到你的 Google 帳號內之後,
: 現在 Google 又會很「貼心」地「順便」把這組真實卡號直接傳到你的手機裡,
: 催促你輸入 CVC ,並完成虛擬卡片的 手機-銀行 認證過程,
: 開啟「另一種」付款方式,趕快用手機多花錢。
: 幫你作半套的 帳號->手機 流程
: 你說沒有很難懂,但你真的懂Google Pay嗎?
: 然後這次的霧社事件,天曉得 Google 又在作什麼「貼心」的事了~
--
動態網自由門 天安門 法輪功 李洪志 六四天安門大屠殺 反右派鬥爭 大躍進政策 文化
大革命 人權 民運 自由 獨立 多黨制 臺灣 中華民國 西藏 土伯特 唐古特 達賴喇嘛 法
輪功新疆維吾爾自治區 西藏自治區 諾貝爾和平獎劉暁波 民主 言論 思想 反共 反革命
抗議 運動 騷亂 暴亂 騷擾 擾亂 抗暴 平反 維權 示威游行 強制斷種 強制墮胎 民族淨
化 人體實驗 肅清 胡耀邦 趙紫陽
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 58.114.6.209 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1584636268.A.F8B.html
噓
03/20 00:55,
4年前
, 1F
03/20 00:55, 1F
→
03/20 00:56,
4年前
, 2F
03/20 00:56, 2F
推
03/20 01:20,
4年前
, 3F
03/20 01:20, 3F
推
03/20 02:04,
4年前
, 4F
03/20 02:04, 4F
推
03/20 06:19,
4年前
, 5F
03/20 06:19, 5F
推
03/20 07:08,
4年前
, 6F
03/20 07:08, 6F
→
03/20 07:08,
4年前
, 7F
03/20 07:08, 7F
→
03/20 07:08,
4年前
, 8F
03/20 07:08, 8F
推
03/20 07:13,
4年前
, 9F
03/20 07:13, 9F
→
03/20 07:13,
4年前
, 10F
03/20 07:13, 10F
→
03/20 07:13,
4年前
, 11F
03/20 07:13, 11F
→
03/20 07:13,
4年前
, 12F
03/20 07:13, 12F
→
03/20 07:22,
4年前
, 13F
03/20 07:22, 13F
→
03/20 07:22,
4年前
, 14F
03/20 07:22, 14F
→
03/20 07:22,
4年前
, 15F
03/20 07:22, 15F
→
03/20 07:22,
4年前
, 16F
03/20 07:22, 16F
推
03/20 12:28,
4年前
, 17F
03/20 12:28, 17F
→
03/20 12:28,
4年前
, 18F
03/20 12:28, 18F
推
03/20 12:47,
4年前
, 19F
03/20 12:47, 19F
推
03/21 12:05,
4年前
, 20F
03/21 12:05, 20F
→
03/21 12:06,
4年前
, 21F
03/21 12:06, 21F
→
03/21 12:06,
4年前
, 22F
03/21 12:06, 22F
→
03/21 12:06,
4年前
, 23F
03/21 12:06, 23F
推
03/22 12:28,
4年前
, 24F
03/22 12:28, 24F
討論串 (同標題文章)
