Czy automatyczne wypełnianie numerów kart kredytowych w Chrome jest bezpieczne? Czy bezpiecznie przechowuje informacje o karcie kredytowej? O ile rozumiem, pokazuje tylko wartości gwiazdki, ale po kliknięciu ujawnia numery kart kredytowych:
Mam kilka pytań:
-
Czy możliwe jest włamanie do przeglądarki Google Chrome i zabranie danych mojej karty kredytowej?
-
Zgodnie z moim rozumieniem numer karty kredytowej nie jest przechowywany z żadnym rodzajem szyfrowania, więc czy przechowywanie danych autouzupełniania jest naprawdę bezpieczne?
Jak Chrome radzi sobie z tego typu dane? Zgadzam się, że przechowywanie i wypełnianie danych karty kredytowej jest dobre pod względem użyteczności, ale wątpię, czy nie jest to dobre pod względem bezpieczeństwa.
Komentarze
- Możesz włączyć szyfrowanie po stronie klienta w przeglądarce Chrome, ustawiając hasło w opcjach synchronizacji. To zabezpieczy hasło podczas przesyłania i na serwerze. Wciąż narażony na atak na kliencie.
- Obawiam się jakie warunki wyzwalają automatyczne uzupełnianie, ponieważ jeśli witryna ma niewidoczne " cc " i " cvs ", może zostać automatycznie wypełniony i przesłany do innej witryny internetowej przy użyciu JavaScript (XSS) bez wiedzy użytkownika.
Odpowiedź
Czy możliwe jest włamanie do Google Chrome i pobranie informacji o mojej karcie kredytowej?
Tak.
Jeśli Chrome może używać Twojego numeru do automatycznego uzupełniania, musi to być p możliwe, aby Chrome mógł uzyskać do niego dostęp. Jeśli jeden program na twoim komputerze może to zrobić, inny program lub przynajmniej ludzie też mogą to zrobić.
nie jest przechowywany z żadnym rodzajem szyfrowania
Nawet z szyfrowanie, obowiązuje powyższe stwierdzenie. Chrome potrzebowałby klucza, a ten klucz musi znajdować się gdzieś na komputerze, aby Chrome mógł go używać.
Dopóki ktoś może fizycznie uzyskać dostęp do Twojego komputera, niewiele rzeczy pomocy. Zaszyfrowanie całego dysku twardego i zabranie klucza ze sobą to jedna z możliwości. Wada 1: Uciążliwe jest włożenie dysku flash i hasła za każdym razem, aby go włączyć. Wada 2: Jeśli ktoś zdobędzie komputer podczas jest włączony , wszystko znowu jest daremne.
Jeśli chcesz tylko chronić się przed atakami z internetu, jest to znacznie lepsze, ale nie ma 100% ochrony. Jedynym niezawodnym sposobem jest niepodanie numeru karty (ani żadnych poufnych danych) w komputerze.
Komentarze
- Mogą zaszyfrować informacje i zamiast tego wymagać hasła, aby uzyskać do nich dostęp o f przechowywanie klucza lokalnie. Wpisanie hasła jest nadal łatwiejsze i szybsze niż odczytanie numeru karty kredytowej, daty ważności itp.
- Czy masz jakieś techniczne dowody potwierdzające to, co mówisz, czy też ta odpowiedź jest czystą hipotezą? Widzę sposoby implementacji bezpiecznego przechowywania CC poza komputerem, gdy przeglądarka żąda informacji z serwera w sposób zaszyfrowany. Nie jestem pewien, czy to działa w ten sposób, ale nie ' nie spekulowałbym w żaden sposób.
- @Seb It ' to nie spekulacje, ale zdrowy rozsądek i wiedza o komputerach. … Zasadniczo funkcja polega na zapisaniu (zwykłego, czytelnego) numeru danych karty kredytowej w formularzu HTML, kiedy użytkownik tego chce. Dopóki ten numer nie ' się nie zmienił, jak możesz kiedykolwiek ukryć ten numer w Chrome (a wraz z nim, dostęp po stronie klienta)? … Jasne, można powiedzieć serwerowi A, aby zapytał serwer B o numer, ale to ' to coś innego (i nie jest to ' t obsługiwane przez standardy, przeglądarki, serwery itp., i oznaczałoby ogromne problemy z prywatnością itp.)
- @deviantfan Jak sugerowałem, dane mogą być przechowywane w Google ', żądane w razie potrzeby. To nie ' nie oznacza, że ' jest zapisywane lokalnie. Myślę, że źle zinterpretowałeś moją sugestię. Martwi mnie, że przyjęta odpowiedź nie ma żadnych dowodów na poparcie jej stwierdzeń, a jedynie " trochę wiedzy o komputerach " i przypuszczeniach.
- @Seb I denerwuje mnie, że nie ' nie zrozumiałeś mojego ostatniego komentarza. ' mówię o lokalnym autouzupełnianiu, z którego korzysta Chrome (kropka). Jeśli inne rozwiązanie jest lepsze, to nie ' t problem. Aby uzyskać dowody, przeczytaj kod Chromes. Mógłbyś też wysłać mi komputer, a ja wyciągnę z niego liczby, czy to byłby wystarczający dowód? … Przy okazji, nie, przechowywanie danych karty kredytowej na serwerach Google nie jest ani lepsze, ani dozwolone.Jeśli potrzebujesz dowodów, przeczytaj o PCIDSS
Odpowiedź
1) Tak, możliwe jest włamanie do Google Chrome . Nawet przy szyfrowaniu byłoby gdzieś hasło lub klucz prywatny.
2) Nie jest to bezpieczne, ponieważ nie używa się autouzupełniania, jednak nie wpisujesz autouzupełniania kodu CVV, który jest potrzebny do udana operacja z kartą. Więcej informacji na temat CVV można znaleźć tutaj: https://www.cvvnumber.com/
Komentarze
- CVV nie zawsze jest potrzebne (wypróbuj na przykład Amazon).
Odpowiedź
Zacząłem automatycznie uzupełniać dane mojej karty kredytowej w przeglądarce Chrome na moim tablecie z Androidem. Mógłbym wejść do ustawień Chrome i wyłączyć tę funkcję, ale gdyby ktoś zdobył mój tablet, miałby dostęp do informacji o karcie, po prostu włączając ponownie autouzupełnianie. Jedynym sposobem na pozbycie się tych informacji wyświetlanych na moim tablecie było wejście na moje konto Google i usunięcie informacji o mojej karcie. Co za ból!
Komentarze
- Tak, o ile Twoje DW jest połączone z Portfelem Google, będzie dostępne do autouzupełniania za pomocą tej opcji włączania / wyłączania w Chrome ' s ustawienia.