[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento

Tiago Peczenyj tiago.peczenyj em gmail.com
Terça Julho 19 10:10:40 PDT 2011 

Pra esse tipo de coisa q a documentação precisa começar com um aviso
em caps lock fonte 50 em vermelho (+ blink se der, ou marquee)
avisando q tem q conferir tudo direitinho senão não tem almo;co gratis

2011/7/19 Eden Cardim <edencardim em gmail.com>:
>>>>>> "Marcos" == Marcos Machado <listas em istf.com.br> writes:
>
>    Marcos> Tecnicamente acho que isso nem poderia ser considerado um
>    Marcos> bug. É apenas um projeto ruim com erros conceituais.  Esse
>    Marcos> problema existe desde o início dos tempos. Há pelo menos 4
>    Marcos> anos enviei um e-mail ao PagSeguro sobre esse problema, que
>    Marcos> descobri quando estava pesquisando meios de pagamento para
>    Marcos> montar uma loja virtual para minha esposa.
>
>    Marcos> Acho que na época ainda se chamava BRPay.
>
>    Marcos> Vi que o valor repassado ao site era facilmente adulterado
>    Marcos> quando testei através dessa ferramenta:
>    Marcos> http://portswigger.net/burp/proxy.html (muito mais fácil do
>    Marcos> que salvar o html e alterar, o que pode dar problema com o a
>    Marcos> var referer)
>
>    Marcos> Agora, esse problema não existe também para pagamentos com
>    Marcos> boletos bancários? Eu não poderia pagar um valor abaixo do
>    Marcos> informado, cabendo ao lojista conferir o resultado?
>
> Exatamente, eu também não consideraria isso um "bug", é um problema da
> arquitetura "facilitada". Pra ter conferência automática no pagseguro,
> você teria que registrar o valor de todos os produtos junto ao
> serviço. E não para por aí, tem descontos, multas, frete e outras taxas
> variáveis que são aplicáveisetc. então não é tão
> simples assim. Prum consumidor de serviço que não sabe fazer integração
> de sistemas, seria uma puta dor de cabeça de implementar se fosse tão
> burocrático. Do jeito que está agora, qualquer pessoa monta rapidamente
> uma cobrança online e usa o website do pagseguro pra conferir
> manualmente.
>
> É bem mais simples o consumidor do serviço fazer a conferência do lado
> dele, até porque se você está realmente preocupado com esse tipo de
> coisa, você deveria estar contabilizando se o PagSeguro realmente está
> te repassando os valores corretos invés de confiar cegamente nos valores
> deles.
>
> --
>   Eden Cardim       Need help with your Catalyst or DBIx::Class project?
>  Code Monkey                    http://www.shadowcat.co.uk/catalyst/
>  Shadowcat Systems Ltd.  Want a managed development or deployment platform?
> http://blog.edencardim.com/            http://www.shadowcat.co.uk/servers/
> http://twitter.com/#!/edenc
> _______________________________________________
> Rio-pm mailing list
> Rio-pm em pm.org
> http://mail.pm.org/mailman/listinfo/rio-pm
>



-- 
Tiago B. Peczenyj
Linux User #405772

http://pacman.blog.br

Mais detalhes sobre a lista de discussão Rio-pm