¿Cuáles son las implicaciones de seguridad de la técnica de pagos por Internet de POLi?

Está ingresando sus credenciales de banca por Internet en una interfaz que es propiedad de un comerciante. El iframe proviene de POLi, pero no hay una manera fácil para que un usuario final lo verifique, y la página principal aún tendrá la oportunidad de meterse con el marco.

Por lo tanto, no debe ingresar sus credenciales en esta interfaz a menos que confíe en:

• POLi no almacena ni utiliza mal las credenciales que les está dando;

• el comerciante no debe robar las credenciales, a través de clickjacking o simplemente apuntando el marco a alguna otra fuente (estilo de phishing);

• cualquier proveedor de secuencias de comandos de terceros utilizado por el comerciante (por ejemplo, análisis, publicidad) no inyecta el contenido de la secuencia de comandos que robaría las credenciales;

• el comerciante mantendrá su sitio web completo a salvo de todas las vulnerabilidades de XSS que podrían permitir que un atacante robe las credenciales.

• POLi no tiene ninguna vulnerabilidad en la que otras partes puedan obtener información al incluir su interfaz en un iframe y usar el clickjacking. (Esto es difícil de evitar completamente cuando su interfaz debe permitir iframing).

POLi está efectivamente realizando un ataque de hombre en el medio en su banca en línea y previsiblemente algunos bancos están molestos por eso . Si sufre de fraude (ya sea relacionado o no con el uso del servicio POLi), su banco podría argumentar que tiene alguna responsabilidad, por no mantener su parte del trato para mantener sus credenciales bancarias en secreto para todos excepto para banco.

POLi no es la única parte que adopta este enfoque; consulte, por ejemplo, la Sofortüberweisung de Alemania. Personalmente, considero que es una idea insana, pero no es la primera idea descabellada para aprovechar el mundo financiero.

Si lees su declaración de privacidad, más o menos dice que les das acceso completo a tu cuenta bancaria y los derechos a tu historial de transacciones bancarias completas si utilizas el servicio. Personalmente me parece inaceptable.

Además, es totalmente innecesario para ellos acceder a su cuenta y procesar un pago.

Lo que he hecho en el pasado es simplemente copiar el número de referencia proporcionado y enviar la transacción manualmente a Air New Zealand con el número de referencia de poli en los detalles y no ingresar mis detalles en la interfaz de poli. B-Bay que se usa en Australia funciona de esta manera.

Te cambiaría inmediatamente después de usar poli

El punto no es la seguridad del sistema POLi, es si su uso invalida todos o algunos de los bancos de los términos de servicio de la Banca por Internet. Algunos bancos dicen que sí y, por lo tanto, también anulan sus garantías de recompensa por fraude en línea. Sería difícil conseguir que un tribunal anule la interpretación de los bancos de sus propias T & Cs, por lo que la respuesta definitiva a todas y cualquier pregunta de seguridad con respecto a POLi es "advertencia".

Tengo mi propia opinión técnica sobre la seguridad de su metodología, pero es, como todas esas evaluaciones, irrelevante operativamente.

Estas declaraciones son en gran parte maliciosas de sí mismas ya que ignoran completamente los riesgos de seguridad inherentes en toda la plataforma de Internet. Las declaraciones ignoran la realidad de la experiencia POLi y los procesos de seguridad aparentes en los sistemas POLi (que observo en otros artículos pueden ser auditados por cualquier banco en cualquier momento). Estos argumentos teóricos se sacan de vez en cuando sin evidencia de ningún problema creado por POLi. Los contribuyentes ignoran el riesgo en todas las formas de pago (incluso en efectivo) que deben ponderarse en función de la conveniencia. Al parecer, según las pruebas disponibles, POLi es un sistema mucho más seguro que los sistemas Scheme, es decir, las tarjetas de crédito / débito provistas por los propios bancos.