整理一下，我关于闪付不安全的评论

ahamard · 发表于 2012-5-9 22:57

awing 发表于 2012-5-9 22:53
算法就是设计出来的呀，协议等都是为整个支付算法服务的。这个算法并不复杂，公交卡都在用说明很成熟了， ...

协议是设计层的，算法是实现层的。比如说盖房子，你设计就有问题，重心是歪的，你用的砖再好有什么用？

我前面说过，银联的网络更复杂，公交卡相对简单。你可以用积木搭个小棚子，盖30层楼你试试？

ahamard · 发表于 2012-5-9 22:58

feng 发表于 2012-5-9 22:55
这不是跟EMV的拍卡风险是一样的吗？
所以，不管EMV，还是PBOC，都会设置离线支付限额。

完全不一样啊

emv根本不玩圈存，扣钱是在卡组织的服务器那里完成的，不需要写芯片

jeff18688 · 发表于 2012-5-9 23:00

围观。

awing · 发表于 2012-5-9 23:09

ahamard 发表于 2012-5-9 22:57
协议是设计层的，算法是实现层的。比如说盖房子，你设计就有问题，重心是歪的，你用的砖再好有什么用？
...

我晕，这是你的定义吧。就按你的理解，也是说他设计有问题。问题是这是很成熟的设计，不是什么创新的高精尖，公交卡到处都在用，为什么还会有这么大的问题？

ahamard · 发表于 2012-5-9 23:12

awing 发表于 2012-5-9 23:09
我晕，这是你的定义吧。就按你的理解，也是说他设计有问题。问题是这是很成熟的设计，不是什么创新的高精 ...

谁说银联是很成熟的设计？只是某些人为了政绩，一拍脑袋为了自主而自主弄出来的玩意

emv才是很成熟的设计，真正论证过的。

feng · 发表于 2012-5-9 23:12

我个人认为，PBOC的电子钱包的设计思路有些类似现金：
对于小额交易来说，
一般情况下，卖家位置相对固定，而买家交易完后的去向则很随机。
所以，如果买家多付了钱回来把钱要回的可行性，比买家少付了钱再被卖家追回的可行性要大很多。

当然，电子钱包跟现金也不完全一样。所以才会出现争议。
无外乎是不同的人，站在不同的立场上去看问题罢了。

feng · 发表于 2012-5-9 23:20

ahamard 发表于 2012-5-9 22:58
完全不一样啊

emv根本不玩圈存，扣钱是在卡组织的服务器那里完成的，不需要写芯片

风险都是转嫁给卡组织，怎么说完全不一样呢？

ahamard · 发表于 2012-5-9 23:20

feng 发表于 2012-5-9 23:12
我个人认为，PBOC的电子钱包的设计思路有些类似现金：
对于小额交易来说，
一般情况下，卖家位置相对固定 ...

你说的这些，emv做得更好

feng · 发表于 2012-5-9 23:26

ahamard 发表于 2012-5-9 23:20
你说的这些，emv做得更好

只能说二者的出发点不同，考虑问题的思路不同。
二者都有利弊，但安全性都应该是二者考虑的重点。
可以说哪个更安全，不能说哪个不安全。一棍子打死也是不对的。

feng · 发表于 2012-5-9 23:27

ahamard 发表于 2012-5-9 23:20
你说的这些，emv做得更好

只能说二者的出发点不同，考虑问题的思路不同。
二者都有利弊，但安全性都应该是二者考虑的重点。
可以说哪个更安全，不能说哪个不安全。一棍子打死也是不对的。

ahamard · 发表于 2012-5-9 23:27

feng 发表于 2012-5-9 23:20
风险都是转嫁给卡组织，怎么说完全不一样呢？

银联的设计，风险全是用户。

用户在交易之前已经把钱付了--圈存

卡组织基本无风险

ahamard · 发表于 2012-5-9 23:33

feng 发表于 2012-5-9 23:27
只能说二者的出发点不同，考虑问题的思路不同。
二者都有利弊，但安全性都应该是二者考虑的重点。
可以 ...

你这话说的

没有绝对的安全

但是一个有如此明显漏洞的标准，还能称得上安全？

feng · 发表于 2012-5-9 23:51

ahamard 发表于 2012-5-9 23:33
你这话说的

没有绝对的安全

漏洞明不明显，不是某个人说了算的。
试问EMV就没有漏洞了吗？
多大的漏洞才算是不明显的漏洞，多大的漏洞才算是明显的漏洞。

ahamard · 发表于 2012-5-9 23:55

feng 发表于 2012-5-9 23:51
漏洞明不明显，不是某个人说了算的。
试问EMV就没有漏洞了吗？
多大的漏洞才算是不明显的漏洞，多大的漏 ...

都出事了还不明显啊…………………………

任何一个设计，在没有开工之前就应该反复论证的

非要出轨死了人才叫漏洞明显？

feng · 发表于 2012-5-10 00:24

本帖最后由 feng 于 2012-5-10 00:29 编辑

ahamard 发表于 2012-5-9 23:55
都出事了还不明显啊…………………………

任何一个设计，在没有开工之前就应该反复论证的

任何一个设计，不管开工之前反复论证多少次，都不能保证没有漏洞。
就像你说的，列车的自动闭塞系统不能说不成熟，但怎么还会出轨死人？
EMV就没出过事？我不信。
难道非得是持卡人的利益损失了才叫出事，发卡方的利益损失叫活该。
况且，不管哪方的利益损失，都是有办法挽回的。
至少持卡人的利益损失后，能找到发卡方在哪。
而发卡方的利益损失，就不一定能找到人了。

ahamard · 发表于 2012-5-10 00:43

feng 发表于 2012-5-10 00:24
任何一个设计，不管开工之前反复论证多少次，都不能保证没有漏洞。
就像你说的，列车的自动闭塞系统不能 ...

说话怎么这么费劲呢

列车的系统很成熟，欧洲的高铁在上马之前反复论证过得

问题是我们的系统在设计阶段就有问题

技术是技术，设计是设计，不要混为一谈

emv是出过事情没错，但是没有这么明显的漏洞。
而且emv已经铺开了网络，pboc还是实验阶段，故障率明显不是一个数量级的

ahamard · 发表于 2012-5-10 00:51

feng 发表于 2012-5-10 00:24
任何一个设计，不管开工之前反复论证多少次，都不能保证没有漏洞。
就像你说的，列车的自动闭塞系统不能 ...

发卡方利益损失了找不到人？那卡奴都高兴了，刷完可以一走了之了。
相对来说，银联和银行比持卡人可强势得多。

我建议你去看看那些盗刷的实例，看看是不是都挽回损失了。

卡组织作为提供收费服务的一方，理应他来承担风险，尤其是他提供的服务有漏洞而产生的风险。
否则甲方乙方为什么要交手续费通过你卡组织这个第三方完成支付？

为什么v，m，jcb，ae要推进emv淘汰磁条卡？因为伪卡支付出现后用户担责很少。
为什么银联推进不积极？因为他是垄断机构，只用布线数钱就是了，交易中的风险他完全不用承担，为啥要多此一举？

ahamard · 发表于 2012-5-10 00:54

从国际惯例来看，
交易应该优先保护持卡人的利益，因为持卡人不仅仅是客户，他还是最弱势的一方。
其次是商户，应为他是客户，是上帝。

卡组织的利益应该是最后考虑的--没有金刚钻就不要揽瓷器活，你交易安全都保证不了，不如撞死得了。

		自动登录	找回密码
密码			加入玩卡网