[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento
Eden Cardim
edencardim em gmail.com
Terça Julho 19 10:03:47 PDT 2011
>>>>> "Marcos" == Marcos Machado <listas em istf.com.br> writes:
Marcos> Tecnicamente acho que isso nem poderia ser considerado um
Marcos> bug. É apenas um projeto ruim com erros conceituais. Esse
Marcos> problema existe desde o início dos tempos. Há pelo menos 4
Marcos> anos enviei um e-mail ao PagSeguro sobre esse problema, que
Marcos> descobri quando estava pesquisando meios de pagamento para
Marcos> montar uma loja virtual para minha esposa.
Marcos> Acho que na época ainda se chamava BRPay.
Marcos> Vi que o valor repassado ao site era facilmente adulterado
Marcos> quando testei através dessa ferramenta:
Marcos> http://portswigger.net/burp/proxy.html (muito mais fácil do
Marcos> que salvar o html e alterar, o que pode dar problema com o a
Marcos> var referer)
Marcos> Agora, esse problema não existe também para pagamentos com
Marcos> boletos bancários? Eu não poderia pagar um valor abaixo do
Marcos> informado, cabendo ao lojista conferir o resultado?
Exatamente, eu também não consideraria isso um "bug", é um problema da
arquitetura "facilitada". Pra ter conferência automática no pagseguro,
você teria que registrar o valor de todos os produtos junto ao
serviço. E não para por aí, tem descontos, multas, frete e outras taxas
variáveis que são aplicáveisetc. então não é tão
simples assim. Prum consumidor de serviço que não sabe fazer integração
de sistemas, seria uma puta dor de cabeça de implementar se fosse tão
burocrático. Do jeito que está agora, qualquer pessoa monta rapidamente
uma cobrança online e usa o website do pagseguro pra conferir
manualmente.
É bem mais simples o consumidor do serviço fazer a conferência do lado
dele, até porque se você está realmente preocupado com esse tipo de
coisa, você deveria estar contabilizando se o PagSeguro realmente está
te repassando os valores corretos invés de confiar cegamente nos valores
deles.
--
Eden Cardim Need help with your Catalyst or DBIx::Class project?
Code Monkey http://www.shadowcat.co.uk/catalyst/
Shadowcat Systems Ltd. Want a managed development or deployment platform?
http://blog.edencardim.com/ http://www.shadowcat.co.uk/servers/
http://twitter.com/#!/edenc
Mais detalhes sobre a lista de discussão Rio-pm