Что делает «Вебвизор» на странице оплаты в Робокассе?

В сервисе Робокасса на стране ввода данных банковской карты присутствует сервис Вебвизор от Яндекс.Метрики.

Интересно, сколько посторонних людей (маркетологов, технарей и пр.) могут получить доступ к управлению картами наивных пользователей Робокассы?

Комментарий представителя компании

Добавить 41 комментарий

  • Ответить

    что значит «запоминать», он полный capture экрана делает если cvc при вводе закрыт звездочками, это решает часть проблемы, но это же по-любому нарушение приватности данных да и cvc может звездочками не закрываться — разные бывают ситуации в системных зоопарках юзеров да короче что тут обсуждать это адовый косячелло при любых ракладах: мою приватную информацию видят какие-то фиг знает какие сотрудники, имеющий пароль доступа к яндекс.метрике

  • Ответить
    Альтер Эго

    В любом случае, если это есть — это, вероятнее всего — серьезное нарушение правил PCI DSS.

  • Ответить
    Альтер Эго

    На тестовом магазине в полях имеется -metrika-nokeys, что позволяет указать Вебвизору не вести запись нажатий клавиш.

  • Ответить

    > В любом случае, если это есть — это, вероятнее всего — серьезное нарушение правил PCI DSS. Господа, вы, должно быть, перегрелись от жары. То, что вебвизору нельзя записывать всё, очевидно. И наверняка эту проблему десять раз уже предусмотрели и все проверили, чтобы личные данные не палились. Я специально зашел на свой сайт, нашел и просмотрел сессию пользователя, который регистрировался на форуме. Вижу, как он вводит логин, частично вижу его емейл, но пароль — нет. Ничего вообще похожего на пароль. Дальше он зарегался, логинится на форуме. Снова логин есть в записи нажатий клавиш, пароля нет. > что значит «запоминать», он полный capture экрана делает Какую нахрен capture экрана делает вебвизор? Вы вообще им когда-нибудь пользовались? Вебвизор записывает движения мышкой на посещенной странице, нажатия клавиш, переходы по страницам. Пишет размер окна, наверное, еще что-нибудь. Когда вы в вебвизоре просматриваете сессию пользователя, он не показывает вам страницу, какой видел ее пользователь. Он показывает страницу, какой вы видите ее прямо сейчас. То есть, когда я смотрю эту сессию логинившегося юзера, то вебвизор мне показывает, как будто это я сам захожу на эту страницу. Там наверху написан мой логин, непрочитанные сообщения подсвечены в соответствии с записью о сессии в моей куке на моем компьютере. Что видел пользователь, я не знаю. В этом ограничение вебвизора. Если у вас страница постоянно меняется, если на ней есть динамические элементы, то вы можете вообще не понять по вебвизору, что там происходило у юзера.

  • Ответить

    Добавлю: на моем форуме я ничего специально не настраивал. Нажатие клавиш пароля не записывается «из коробки». Я подозреваю, что метрика сама смотрит на свойства поля формы, видит там type="password" и не пишет клавиши.

  • Ответить

    > очевидно > наверное > Я подозреваю, что > Вы вообще им когда-нибудь пользовались? > Какую нахрен capture экрана делает вебвизор? > Вебвизор записывает движения мышкой на посещенной странице, нажатия клавиш, переходы по страницам. Пишет размер окна, наверное, еще что-нибудь. > движения мышкой на посещенной странице, нажатия клавиш > нажатия клавиш > нажатия клавиш > нажатия клавиш > Какую нахрен capture экрана делает вебвизор? > Господа, вы, должно быть, перегрелись от жары.

  • Ответить

    > В этом ограничение вебвизора. Если у вас страница постоянно меняется, если на ней есть динамические элементы, то вы можете вообще не понять по вебвизору, что там происходило у юзера. Это ограничение можно обойти, если использовать запись содержимого страниц — будет видно ровно то, что видел пользователь. Что не влияет на приватность: ввод данных в поля типа «password» и в поля, размеченные классом -metrika-nokeys все равно не записывается.

  • Ответить

    А имя, номер карты, экспирейшн дейт, это что, свободно разглашаемые данные? Приехали. Да и, повторяю, с полем password разные ситуации могут быть — у людей каких только плагинов и надстроек не понаставлено, которые могут наизнанку всё содержание страницы выворачивать.

  • Ответить

    значит, я лох ((когда последний раз серьезно пользовался вебвизором, этой фичи еще не было Ну и если верить хелпу в настройках счетчика, то вы не совсем правы, т.к. если пользователь залогинен, то «ровно то, что он видел» мне все равно не покажут, а покажут от анонимного юзера, вот цитата из подсказок (сорри, форматирование не сохранилось): Загрузка страниц в плеер: От вашего имени В плеер будет загружаться такая же страница, какую вы увидели бы сами, посетив сайт. Если вы авторизованы на сайте, эта авторизация будет действовать и в плеере. Если на сайте есть корзина и вы положили в нее товары, вы будете видеть при воспроизведении содержимое вашей корзины, а не корзины посетителя, визит которого просматриваете. От имени анонимного пользователя В плеер будет загружаться такая же страница, какую увидел бы новый посетитель, впервые пришедший на сайт. Если на сайте есть авторизация, в плеер загрузится версия страницы, которую видят неавторизованные посетители. Рекомендуем пользоваться этим методом, если воспроизведение плеером действий посетителей сопровождается нежелательными эффектами, например в вашу собственную корзину каждый раз добавляются новые товары.

  • Ответить

    > А имя, номер карты, экспирейшн дейт, это что, свободно разглашаемые данные? Данные, которые вы вводите в форму, проезжают через: — вашего локального провайдера — инфраструктуру Интернета — инфраструктуру хостера — сайт владельца формы — сайт процессингового центра — инфраструктуру эмитента карты — оседают на диске у хостера/процессиногового центра/эмитента — копируются по пути следования в множественные бэкапы и логи На каждом их этих этапов теоретически вполне возможно подсмотреть номер карты. Вас это не смущает?

  • Ответить

    > Данные, которые вы вводите в форму, проезжают через: > — вашего локального провайдера Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — инфраструктуру Интернета Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — инфраструктуру хостера Нет, они зашифрованы https, ключ подтвержден ssl-регистратором > — сайт владельца формы Нет, данные карт заполняются на процессинговом сайте > — сайт процессингового центра Сертифицирован на безопасность > — инфраструктуру эмитента карты Сертифицирован на безопасность > — оседают на диске у хостера/процессиногового центра/эмитента Нет, это запрещено, центр не пройдёт сертификацию с такими нарушениями > — копируются по пути следования в множественные бэкапы и логи Нет, не копируются > На каждом их этих этапов теоретически вполне возможно подсмотреть номер карты. Вас это не смущает?

  • Ответить

    Артур, вы сейчас переводите административную плоскость в техническую. Для всех этих этапов есть свои административные решения, которые не всегда совершенны, но которые а) они есть б) я могу о них прочитать, если заинтересуюсь в) они несовершенны, но, поскольку они существуют, они могут становиться лучше г) они являются общим местом, отраслевым стандартом Например, если браузер не может обеспечить мне защищенную предачу данных, он передаёт мне решение о том, как поступить, и делает это в явном виде и информирует о рисках. Это не идеальная процедура, но она есть, она предлагает решение и она может быть улучшена. В данном же случае возможный доступ к персональным данным любо не защищен никак, либо мы не знаем, как он защищен. Даже если фактической угрозы не так много, как может показаться (хотя недавний случай с утеканием денег с карты у моей знакомой был именно через Робокассу), само наличие такой ситуации недопустимо для сервиса, который обрабатывает пользовательские данные, да еще и связанные с деньгами. И я не понимаю как этого можно не понимать.

  • Ответить

    Алексей, у Метрики есть Пользовательское соглашение, в котором явным образом написано, что Яндекс обязуется не разглашать собранную информацию третьим лицам — это ести говорить об административной плоскости. Во-вторых, доступ к этим данным имеет не кто попало, а владелец сайта, через который эти данные и без того проходят В-третьих, у владельца сайта есть возможность принять дополнительные меры безопасности, запретив запись данных в полях — что в данном случае и сделала Робокасса. Поэтому я не понимаю, о какой «недопустимой ситуации» идет речь.

  • Ответить

    А если пользователь ввел пароль в другое поле (случайно, специально, для лулзов)? Владельцы сайтов точно честные люди? А если за плечом честного владельца сайта стоит его нечестный знакомый (не владелец сайта)? Как можно однозначно определить, что сайт использует «вебвизор»? Какой процент пользователей знают об этом? Изменится ли их отношение к сервису, если они узнают о сути «вебвизора»?

  • Ответить

    > у Метрики есть Пользовательское соглашение, А вам кто-то хоть слово про Метрику сказал? Всё прекрасно у Метрики, речь не о ней вообще. > через который эти данные и без того проходят Вы как будто не понимаете или не хотите понимать: в том случае они проходят НЕ КАК ПОПАЛО. В случае с доступом к статистике они проходят КАК ПОПАЛО. > запретив запись данных в полях Ну, это размечается в CSS. Вам это кажется достаточной степенью защиты?

  • Ответить

    Bubble buddy: Ничего не мешает пользователю написать свой пароль, например, на заборе — для лулзов. Также ничего не мешает нечестному владельцу сайта использовать данные, которые оставили посетители у него на сайте, в нечестных целях. Только при чем здесь Вебвизор?

  • Ответить

    Чего объяснили-то? «Все ок, мы поставили ключ -metrika-nokeys, не волнуйтесь?» А если завтра у Вебвизора появится баг, из-за которого этот ключ перестанет работать? (скажем, совершенно случайно у программиста найдется знакомый, работающий в Робокассе) Ставить на финансовые страницы сторонние скрипты (по крайней мере, не сделанные специально для этой цели) — верх безответственности.

  • Ответить

    Еще раз, у Робокассы уже есть эти данные, без дополнительных знакомств с программистами. Ввод происходит в форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Вебвизор не добавляет к данным ничего нового, он всего лишь показывает процесс заполнения формы.

  • Ответить

    Артур, нас не хотят услышать…. Какие-то высокие слова, безответственность и прочие оценочные суждения. А если прилетят инопланетяне… А если не прилетят? :) Еще к Яндексу, слава Богу, относятся с пиететом, а о нас, хоть миллион транзакций в сутки обработай, все равно пишут, что «скрипт Робокассы» сделан на коленке программистами-фрилансерами и т.п:) Так что я устраняюсь от спора. Если бы оппоненты хоть подписывались, я бы понимал компетенцию и уровень… а так — слова в воздух:(2 Crio — есть 100% способ защитить Ваши данные от злой Робокассы — пришлите мне емайл, который указываете на нашей платежной странице, я поставлю его в blacklist:) P.P.S Коллеги, займитесь делом!

  • Ответить

    Вы так говорите, как будто Робокасса — это один человек, ну, может, два (я, вообще-то не в курсе, может, так и есть). Но если персонала там больше, чем две единицы, то я готов спорить, что доступ к базе, куда попадают данные форм, и доступ к данным Вебвизора имеют разные люди. Да, и кстати, разве Вебвизор данные на месте хранит? Не в Яндекс сливает? (я им никогда не пользовался, так что извините за глупые вопросы)

  • Ответить

    2Oleg Pokrovsky: Спасибо за предложение, мне пока как-то не случалось воспользоваться вашим сервисом. Пожалуй, с таким вашим отношением я воздержусь и другим не посоветую.

  • Ответить

    я почему-то так и подумал, что Вы так безапелляционно судите потому, что предмета разговора, собственно, в глаза не видели. Не расстраивайтесь, так многие поступают, это сейчас считается нормальным. Спасибо за внимание к нашему сервису! :) С уважением.

  • Ответить

    Я вот не считаю нормальным говорить потенциальному клиенту за критику, давайте мы вас в блэк лист внесем. С партнерами так же общаетесь? Не нравится, валите?

  • Ответить
    Альтер Эго

    >Ввод происходит в форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Разве? Вроде как хранить они их не могут, иначе не пройдут сертификацию.

  • Ответить

    Александр, с ПАРТНЕРАМИ мы с удовольствием разговариваем:) С анонимными пустобрёхами — без удовольствия, но тоже разговариваем. В том всё и дело, что не было ни грамма критики. Ничего дельного. «ПО МОЕМУ МНЕНИЮ всё не так». Ну, а по моему — так:) где тут критика? Добро бы человек представился и написал — я специалист по безопасности данных, работаю там-то, выполнил такие-то и такие-то проекты и по таким-то причинам считаю, что вам надо что-то поменять. Можно было бы вести диалог. А иначе я выступаю от своего имени и от своего проекта, а в ответ в меня некто из-за кустов пуляет «оценочными суждениями»:) Ну, а про blacklist это я так пошутить хотел, если что:) С уважением.

  • Ответить
    Альтер Эго

    Пост Олега Покровского про «не нравится — валите» надо вынести наверх. Пользователи должны знать своих героев. Артуру Суилину: > Еще раз, у Робокассы уже есть эти данные, без дополнительных знакомств с программистами. Ввод происходит в > форму, расположенную на сайте Робокассы, Робокасса дальше может делать с этими данными все, что угодно. Это не так. Платежные данные не должны сохраняться на сайте. Они должны отправляться в зашифрованном виде в процессинговый центр, откуда приходит ответ — одобрена транзакция или нет.

  • Ответить

    Добро бы человек представился и написал — я специалист по безопасности данных, работаю там-то, выполнил такие-то и такие-то проекты и по таким-то причинам считаю, что вам надо что-то поменять. Можно было бы вести диалог. Какой вы гордый, желаете услышать что 2×2=4 непременно из уст академика, не меньше? Ну, бог в помощь. Надеюсь только, что пока вы здесь ведете рекламную кампанию своего сервиса, вменяемые технари уже все поправили.

  • Ответить

    > Это не так. Платежные данные не должны сохраняться на сайте. Они должны отправляться в зашифрованном виде в процессинговый центр, откуда приходит ответ — одобрена транзакция или нет. Скорее всего, они так и делают. Где вы видите проблему? Весь тред посвящен обсуждению того, что Вебвизор НЕ ЗАПИСЫВАЕТ номера кредитных карт и Робокасса НЕ ВОРУЕТ эти данные. Забавно.

  • Ответить

    Артур, Crio пытается сказать, что нужно соблюдать не только букву PCI DSS, но и дух. Подключение ЛЮБОГО скрипта, содержимое которого платежный шлюз не контролирует — это плохо, что бы этот скрипт не делал. Сейчас у Метрики есть ключ, запрещающий отслеживание нажатий, завтра вы его может отменить или переименовать. Сейчас не было громких историй о взломе Яндекса и подмене скриптов, а если кто-то решит взломать и именно метрику — Робокасса будет оплачивать своим клиентам принесенный размещением скрипта Метрики вред?

  • Ответить

    > Сейчас у Метрики есть ключ, запрещающий отслеживание нажатий, завтра вы его может отменить или переименовать Давайте не будем использовать сослагательное наклонение, в противном случае можно придти к очень странным выводам. Сейчас вы писали этот пост, а завтра у вас что то перещелкнет в голове и вы разместите здесь номер своей кредитной карты. Означает ли это, что надо немедленно отобрать у вас кредитную карту, пока не началось? Запретить кредитные карты? Закрыть Roem?

  • Ответить

    > Давайте не будем использовать сослагательное наклонение Давайте не будем. Робокасса допустила серьезную брешь в защите своей страницы, подключив скрипт с неподконтрольного ей web-сервера. Давайте тогда заодно не будем про репутацию Яндекса, про «ничего плохого от Метрики не может быть» и т. д. Просто сухие факты. С точки зрения службы безопасности не должно быть различий между подключением на платежную страницу скрипта с сервиса Яндекса и подключением на платежную страницу скрипта с персонального сайта Васи Пупкина, у которого стоит WordPress не первой свежести. Я не против использования Метрики как таковой, на свой фронтэнд Робокасса пусть ее ставит сколько хочет, но на страницах, где вводятся данные банковских карт, не место никаким подключаемым со сторонних серверов или передающим информацию на сторонние сервисы скриптам.

  • Ответить

    kemko: Веб сервер, на котором работает Робокасса, написан не Робокассой. Язык программированияи и все его библиотеки, на которых создан сайт Робокассы, тоже написаны не Робокассой. Браузер, с помощью которого пользователи вводят номера кредитных карт, написаны не Робокассой. Вирусы и кейлоггеры, в изобилии живущие на компьютерах этих пользователей, написаны тоже не Робокассой. Каналы связи, по которым передаются данные, тоже не контролируются Робокассой. Но если Робокасса уберет с сайта маленький скрипт, всем известный, работающий на изрядной части сайтов Рунета и написанный не Робокассой, наступит всеобщее счастье и вселенский уровень безопасности повысится с «alarm» на «safe». Что ж, я не против.

  • Ответить
    Альтер Эго

    >Веб сервер, на котором работает Робокасса, написан не Робокассой Как я понимаю, когда выдают сертификат PCI DSS, должен быть аудит, где все это окружение проверяют. Очевидно, что в кишках вебовизора, который имеет доступ к платежной форме, они не копались, и его не сертифицировали. Отличный повод отозвать сертификат, если они не дураки.

  • Ответить

    Что бы Робокасса прошла сертификацию — на ее страницах уже должен был стоять вебВизор. Если бы код страницы поменялся уже после сертификации — то сертификат был бы отозван. Очевидно, что сертифицирующий центр вебвизор видел, но не нашел в нем угрозы.

  • Ответить

    Я предлагаю подключить к холиварам наш любимый Островок.ру — на его странице ввода реквизитов карты тоже стоит метрика. и гугл аналитикс. и живосайт — мало ли, что записывает их js…