News Paypal: Transaktionen bald direkt auf Händler-Webseite
- Ersteller mischaef
- Erstellt am
- Zur News: Paypal: Transaktionen bald direkt auf Händler-Webseite
riDDi
Admiral
- Registriert
- Aug. 2004
- Beiträge
- 7.557
Yuuri schrieb:
Es muss nichts verändert werden. Vmtl. wird das Paypal-Fenster in einem Iframe geladen (prinzipiell egal, falls das nicht der Fall, ist ist es noch einfacher).
- Die angreifende/kompromittierte Seite nennt mir einen sehr günstigen Preis, wegen dem ich zuschlage.
- Der Angreifer fordert von Paypal in meinem Namen eine bedeutend höhere Summe an
- Paypal zeigt dieses Fenster an.
- Der Angreifer schätzt wo sich der Preis befindet verdeckt ihn mit einem DIV, das den viel günstigeren Preis enthält.
Zuletzt bearbeitet:
S
Syrell
Gast
mehr chancen für missbrauch und stuerhinterziehung
BxB
Lieutenant
- Registriert
- Apr. 2005
- Beiträge
- 789
Uh, da sehe ich sehr kritisch.
XSS - Cross Site Scripting, Phishing mit präparierten Seiten und so ... das wird böse.
Auch verschlüsselte Seiten mit https-Verschlüsselungen können da Schindluder treiben und wehe wenn mal die Server gehackt werden für modified Zugriff.
Auf https-paypal-seite kann man sich auf die integrität des browsers verlassen, dass die zertifikate über die zertifikatsstellen gültig sind und die kommunikation rein mit denen verschlüsselt erfolgt.
bei der anderen seite weiss ich nicht, was die von der verschlüsselung mit für sich selbst nutzen.
wer ist nicht an acc+pw von paypal konten interessiert, wenn es keiner weiss? wer gibt mir die schuld, wenn ich eh korrupt bin und die dann weiter verhöker ganz still und heimlich ...
Ich sehe das sehr kritisch und ich bin da eh skeptisch beim bisherhigen. ich möchte eine mögliche trennung in "BLITZ-PAYPAL 1 CLICK" wie dort beschrieben und "klassisch paypal" wie bisher mit eigener seite und Auftrag per Parameter übertragen.
XSS - Cross Site Scripting, Phishing mit präparierten Seiten und so ... das wird böse.
Auch verschlüsselte Seiten mit https-Verschlüsselungen können da Schindluder treiben und wehe wenn mal die Server gehackt werden für modified Zugriff.
Auf https-paypal-seite kann man sich auf die integrität des browsers verlassen, dass die zertifikate über die zertifikatsstellen gültig sind und die kommunikation rein mit denen verschlüsselt erfolgt.
bei der anderen seite weiss ich nicht, was die von der verschlüsselung mit für sich selbst nutzen.
wer ist nicht an acc+pw von paypal konten interessiert, wenn es keiner weiss? wer gibt mir die schuld, wenn ich eh korrupt bin und die dann weiter verhöker ganz still und heimlich ...
Ich sehe das sehr kritisch und ich bin da eh skeptisch beim bisherhigen. ich möchte eine mögliche trennung in "BLITZ-PAYPAL 1 CLICK" wie dort beschrieben und "klassisch paypal" wie bisher mit eigener seite und Auftrag per Parameter übertragen.
WhiteShark
Admiral
- Registriert
- Mai 2002
- Beiträge
- 9.949
Also meine Bank-Logindaten gebe ich grundsätzlich nur auf der echten Bankseite ein (weswegen Sofortüberweisung für mich nicht nutzbar ist).
Genauso werde ich auch mit Paypal verfahren. Sobald ich meinen Paypal-Login eingeben soll und in der Adressleiste steht nicht paypal.com, werde ich den Vorgang abbrechen.
Denn sowas lässt sich immer manipulieren.
Genauso werde ich auch mit Paypal verfahren. Sobald ich meinen Paypal-Login eingeben soll und in der Adressleiste steht nicht paypal.com, werde ich den Vorgang abbrechen.
Denn sowas lässt sich immer manipulieren.
Kontrollfreak
Ensign
- Registriert
- Mai 2013
- Beiträge
- 165
riDDi schrieb:
Ganz genau. Ich bin sehr gespannt, wie PayPal dieses Problem gelöst haben will.
Selbst wenn die Authentifizierung (Anmeldung) immer noch über eine externe PayPal-Seite ablaufen sollte und die Zugangsdaten somit sicher (relativ) vor Missbrauch sind, nützt das in diesem Fall gar nichts. In dem Glauben, ein Schnäppchen zu machen, segnet der Kunde die gefälschte Transaktion ab.
drago-museweni
Admiral
- Registriert
- März 2004
- Beiträge
- 9.169
Habe da auch Sicherheitsbedenken auch wenn ich das Geld zurückbuchen kann von der Bank hat man erstmal Ärger wenn das was falsch läuft, mir wäre es lieber wenn auswählen kann, da würde ich lieber wie bisher über die originale Seite gehen, gerade wo das Böse überall lauert muss man da schon sehr aufpassen und immer alles überprüfen das nervt.
Ich hasse diesen Popup-Schrott... schon schlimm genug dass man bei Android bei Apps die das WebView nutzen nicht sieht wo man sich da eigentlich einlogged... nun macht PayPal das auch noch.
Wozu haben Browserhersteller eigentlich extra Zertifikatsinfos in die Adresszeile gebaut wenn dieser Phishingschutz mittlerweile schon von den Anbietern selbst durch irgendwelche eingebetetteten Sachen ausgehebelt wird!?
Wozu haben Browserhersteller eigentlich extra Zertifikatsinfos in die Adresszeile gebaut wenn dieser Phishingschutz mittlerweile schon von den Anbietern selbst durch irgendwelche eingebetetteten Sachen ausgehebelt wird!?
Euphoria
Admiral
- Registriert
- Apr. 2007
- Beiträge
- 9.123
Naja noch schlimmer und einfacher wäre es die Daten nicht zu manipulieren, sondern nur die Zugangsdaten abzugreifen. Das zu bauen wäre kein Ding, ich erinnere an 1:1 Kopien von Steam, die auch die Daten ordnungsgemäß an Steam weiterleiten, aber halt auch zwischenspeichern.
Damit können die dann noch mehr anrichten, als durch eine Manipulation des Preises.
Damit können die dann noch mehr anrichten, als durch eine Manipulation des Preises.
Don Luigie
Ensign
- Registriert
- Dez. 2006
- Beiträge
- 132
Was wäre das für ein OnlineShop, der nur PayPal als Bezahlsystem anbietet. Somit ist es jedem überlassen welchen Dienst er nutzen möchte.
CPU-Bastler schrieb:
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.550
HTTPS Zertifikat funktioniert aber eben nur, wenn es ein IFrame ist. Und selbst dann ist es unnötig umständlich zu prüfen.
Wie wird das mit PayPal eigentlich bei Apps, z.B. Lieferservice-Apps, geregelt? Muss man sich da etwa tatsächlich aufgutglück in dem WebView einloggen (bei dem ich es ein Unding von Google finde, dass die dem immernoch keine Adresszeile o.ä. geben)?
Ich finde sowas kann man nur negativ bewerten: Für die sicherheitsbewussten ist es ein Sicherheits- bzw. Komfortverlust und die unbedarften Benutzer werden noch weiter dazu erzogen, nicht auf die Sicherheit zu achten. Gleichzeitig ist der Komfortgewinn auch für die User die Zertifikat nicht checken IMO minimal. Das mindeste ist, dass man das in seinem PayPal-Account abschalten können muss.
Wie wird das mit PayPal eigentlich bei Apps, z.B. Lieferservice-Apps, geregelt? Muss man sich da etwa tatsächlich aufgutglück in dem WebView einloggen (bei dem ich es ein Unding von Google finde, dass die dem immernoch keine Adresszeile o.ä. geben)?
Ich finde sowas kann man nur negativ bewerten: Für die sicherheitsbewussten ist es ein Sicherheits- bzw. Komfortverlust und die unbedarften Benutzer werden noch weiter dazu erzogen, nicht auf die Sicherheit zu achten. Gleichzeitig ist der Komfortgewinn auch für die User die Zertifikat nicht checken IMO minimal. Das mindeste ist, dass man das in seinem PayPal-Account abschalten können muss.
Zuletzt bearbeitet:
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.550
Violinho
Cadet 4th Year
- Registriert
- Dez. 2013
- Beiträge
- 77
Selbst wenn alles ordnungsgemäß abläuft wird ja mein LogIn beim Händler gespeichert. Ich fand es immer sehr praktisch, dass ich auf die Paypalseite weitergeleitet worden bin. Wenn jetzt jeder Händler bei dem ich einkaufe meinen LogIn speichert, ist für mich die Gefahr viel größer dass meine Daten irgendwann in Umlauf kommen. Gerade kleine Händler werden keine großen Sicherheitsvorkehrungen haben. Ich werde es mir ganz genau genau überlegen ob ich dann überhaupt noch mit Paypal zahlen möchte.
Niceshice
Ensign
- Registriert
- Apr. 2008
- Beiträge
- 255
Paypal ist so ein undurchsichtiges Unternehmen. Paypal soll sich erstmal in Deutschland anmelden und Steuern bezahlen!!!! VORHER SOLLTEN die hier gar nicht agieren dürfen. Sowieso eine Zahlart wo ich nicht mal mal mein Handy aus der Tasche nehmen muss, kann doch nur schiefgehen.. Wie soll das sicher funktionieren wenn ich die Zahlung nicht mal bestätigen muss?
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.550
TheRealSuperman schrieb:
Nach deiner Logik müsste sich das Unternehmen also in jedem Land der Welt anmelden und einen Sitz haben und natürlich überall Steuern zahlen? Da könnten sie gleich ein e.V. gründen...
Zudem warum sollte PayPal in Deutschland Steuern zahlen? Nur weil diese Geldweiterleiten? Aber ja hauptsache mal Stammtisch Niveau erreicht!
Dario
Captain
- Registriert
- Mai 2008
- Beiträge
- 3.290
Cool Master schrieb:
Paypal agiert nicht altruistisch, von daher ist das ein Unternehmen wie jedes andere auch und verdient in Deutschland sicherlich auch gutes Geld! Ich fänd das jetzt nicht ungerecht, wenn diese in Deutschland auf Ihre Einnahmen auch Steuern zahlen müssten!
