говнокод: https://visa.qiwi.com/

ССЗБ тут только ты.

любопытно, в чем?

вот это

забываю включить ява-скрипт

нужно читать так

Я сунул яйца в дверную щель и закрыл дверь. Теперь я без яиц и в этом виновата дверь.

Мля, а причем здесь JS? Такие данные должны ходить через POST

Система должна определять отсутствие жабаскрипта и ругаться матом. Отказываться работать. Или уметь работать секурно без жабаскрипта. Но не ТАК.

Всё правильно они сделали, чтобы жестоко наказывать таких «хакиров» без жабаскрипта.

нужно читать так

Я сунул яйца в дверную щель и закрыл дверь. Теперь я без яиц и в этом виновата дверь.

Нет, совсем наоборот. Пока не сунешь яйца в дверную щель, с тобой работать не хотят. А как попытаешься вытащить, сразу прищемляют. За такую писанину надо пальцы программистам отламывать. Нет возможности не передать пароль - не работай вообще.

Это ты так тонко шутишь?

Недавно где-то читал про виндовый вирус, устанавливающийся в качестве прокси и собирающий такие запросы.

А вообще, qiwi => ССЗБ, отключил JS => СЗЗБ^2.

За такую писанину надо пальцы программистам отламывать.

небольшая поправка — не программисту, а тому, кто проводил security audit (или visa qiwi аудит вообще не проводила?)

а так в целом согласен

Как страшно жить.

magic people, voodoo people (c)

А какая разница? Не будет видно пароля или в чём дело?

Там же https. Как такое через прокси собрать?

Носакин Дмитрий Александрович Начальник отдела развития карточных проектов КИВИ Банк (ЗАО) e-mail: d.nosakin@qiwi.ru Тел.:+7 (495) 231-36-45/46 (доб. 4331) Moб.:+7 (965) 296-85-80 http://www.bank.qiwi.ru

туда пиши

А вообще, qiwi => ССЗБ, отключил JS => СЗЗБ^2.

ну а что есть из нормальных платежных систем тут в сами знаете какой рашке? чтобы карты умела в валюте и класть деньги почти в каждом ларьке?

JS мог не загрузится или глюкануть из-за ад-блока, особенностей браузера, кривизны рук разрабов и ещё по миллиону причин. Но это должно приводить к сохранению пароля в хистори.

Тут явный быдлокод, ибо сабмит, радикально влияющий на состояние сессии юзера оформлен в виде GET-запроса. За такое надо руки отпиливать ржавой пилой.

там партнеры visa qiwi, вставляющие свои картинки и считалки, получают мой пароль реферером

Реферер не передается третьим сторонам при использовании https.
Алсо, man RefControl.

Там же https. Как такое через прокси собрать?

Не знаю. Мопед не мой. Да и там, возможно, немного другой запрос к qiwi был.

Но это должно приводить к сохранению пароля в хистори.

А разве такое сохраняется в history? Я просто не в курсе. Думал, что там сохраняется только то, что сам ввёл.

P.S. Я не пытаюсь спорить с тем, что такие вещи надо делать через POST.

s/должно/не должно/

Все правильно. Отключающие JavaScript должны страдать.

Миссия сайта - коммерция или воспитание подрастающего поколения?

Сабжевая ссылка ложится в хистори браузера как посещенная ссылка. Потом пароль можно считать с любого сайта, если подсунуть юзеру скрипт, который брутфорсит посещенные ссылки браузера и замеряет цвет ссылок. По типу evercookie или https://news.ycombinator.com/item?id=617546

UPD: И да, подсказывают, что URL link color security flaw уже не прокатывает в ряде браузеров.

платежные системы обычно пишут тупые ублюдки которые даже не знают такие понятия как транзакция и примари кей

В использовании QIWI же!

Я хоть и противник всяческих «защит от дурака» в софте, ибо дураки должны страдать, но таки можно было и получше сделать в данном случае, на случай глюков в говнобраузерах.

У них явно неадекваты работают. На просьбы людей убрать пароль на мобильный киви кошелек, отвечают что это для нашей же безопасности и им виднее что лучше.

Там же https.

Кстати, а ведь в https реферере виден только домен, не?

не надо грязи. киви классный сервис. по оплате всяких мелочевок.

Но зачем?

всякие там партнеры visa qiwi, вставляющие свои картинки и считалки, получают мой пароль реферером

Скрипты у тебя всё равно отключены, а в большинстве случаев всё это встраивается скриптами, расположенными на сторонних серверах. Ну и вообще, раз отключил скрипты, то и картинки отключи. Или как вариант, загружай только с текущего сайта (у ImgLikeOpera есть такой режим).

Да, сервис просто обалдеть какой классный. Особенно если каждый второй магазин предлагает заплатить комиссию 2% при оплате через qiwi. Не, не нужно вторых яндекс-денег, закопайте обратно.

Реферер не передается третьим сторонам при использовании https.

ну это как-то успокаивает... а ссылку можно? на rfc или еще что-то?

Алсо, man RefControl.

тоже хорошая вещь

Скрипты у тебя всё равно отключены, а в большинстве случаев всё это встраивается скриптами, расположенными на сторонних серверах.

Яндекс-метрика, гугол-аналитика и тысяча других шарашек давно осилили тег <noscript> с ссылкой на картинку или на пустую страницу в коде встраивания.

Ну и вообще, раз отключил скрипты, то и картинки отключи.

без картинок не было видно на какую кнопку я тыкаю — то ли «заплатить», то ли «отменить»

а еще фаерфокс раньше не постил в кое-каких случаях форму, если на кнопке нет картинки

ну это как-то успокаивает... а ссылку можно? на rfc или еще что-то?

Ссыль не дам, ибо попадался на каких-то форумах несколько раз на вопли людей, которые недополучают рефереры по https, если обе страницы открыты по https, но в разных доменах. RFC вроде это дело не оговаривает. Можно погуглить на тему https referer — много подобных ссылок выпадает.

Я в реферерах с Гугля вижу только домен, если там https.

Хех, какой же это говнокод. Просто в ТЗ на разработку нового сайта вполне могло быть указано, чтобы авторизация работала с отключёнными скриптами и зарезанными POST-параметрами на корпоративной проксе.

Верное решение только одно: не использовать данный сервис, если считаешь, что он не безопасен и, если уж совсем небезразлична судьба его пользователей, то ещё можно написать владельцам, а не ныть на ЛОРе о том, какие они там все криворукие.

Просто в ТЗ на разработку нового сайта вполне могло быть указано, чтобы авторизация работала с отключёнными скриптами

авторизация с отключенными скриптами у меня не работала

но страничку с таким адресом выкидывает

сейчас проверять не хочу, ибо я после каждого такого случая меняю пароль

Верное решение только одно: не использовать данный сервис, если считаешь, что он не безопасен

мне конечно будет очень жалко потерять аж 150 баксов, которые там бывают в редкие моменты, но, думаю, я как-нибудь переживу этот удар

и, если уж совсем небезразлична судьба его пользователей, то ещё можно написать владельцам, а не ныть на ЛОРе о том, какие они там все криворукие

бесплатно улучшать их сервис? не-не, уж лучше бесплатно обосрать их на лоре

Особенно если каждый второй магазин предлагает заплатить комиссию 2% при оплате через qiwi

У тебя какой-то неправильный Qiwi.

и зарезанными POST-параметрами на корпоративной проксе.

ммм... а при httpS-запросе у прокси есть возможность разобрать, где там начинается POST? вообще-то, вроде, это требует man-in-the-middle, и тогда какой смысл эти POST-запросы удалять, если их можно все равно логгировать?

Или неправильный юлмарт.

referer на https по-умолчанию не передается

С https на https посылается, же.

Вот потому и существует биткоин, потому как фиатные деньги не умеют быть надежно представлены в сети.

А почему бы не совместить приятное с полезным =)

За воспитание денег не платят. А, по-хорошему, можно наоборот чего-нибудь в суде огрести, если попадется злой клиент.