[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento

Eden Cardim edencardim em gmail.com
Terça Julho 19 10:03:47 PDT 2011 

>>>>> "Marcos" == Marcos Machado <listas em istf.com.br> writes:

    Marcos> Tecnicamente acho que isso nem poderia ser considerado um
    Marcos> bug. É apenas um projeto ruim com erros conceituais.  Esse
    Marcos> problema existe desde o início dos tempos. Há pelo menos 4
    Marcos> anos enviei um e-mail ao PagSeguro sobre esse problema, que
    Marcos> descobri quando estava pesquisando meios de pagamento para
    Marcos> montar uma loja virtual para minha esposa.

    Marcos> Acho que na época ainda se chamava BRPay.

    Marcos> Vi que o valor repassado ao site era facilmente adulterado
    Marcos> quando testei através dessa ferramenta:
    Marcos> http://portswigger.net/burp/proxy.html (muito mais fácil do
    Marcos> que salvar o html e alterar, o que pode dar problema com o a
    Marcos> var referer)

    Marcos> Agora, esse problema não existe também para pagamentos com
    Marcos> boletos bancários? Eu não poderia pagar um valor abaixo do
    Marcos> informado, cabendo ao lojista conferir o resultado?

Exatamente, eu também não consideraria isso um "bug", é um problema da
arquitetura "facilitada". Pra ter conferência automática no pagseguro,
você teria que registrar o valor de todos os produtos junto ao
serviço. E não para por aí, tem descontos, multas, frete e outras taxas
variáveis que são aplicáveisetc. então não é tão
simples assim. Prum consumidor de serviço que não sabe fazer integração
de sistemas, seria uma puta dor de cabeça de implementar se fosse tão
burocrático. Do jeito que está agora, qualquer pessoa monta rapidamente
uma cobrança online e usa o website do pagseguro pra conferir
manualmente.

É bem mais simples o consumidor do serviço fazer a conferência do lado
dele, até porque se você está realmente preocupado com esse tipo de
coisa, você deveria estar contabilizando se o PagSeguro realmente está
te repassando os valores corretos invés de confiar cegamente nos valores
deles.

-- 
   Eden Cardim       Need help with your Catalyst or DBIx::Class project?
  Code Monkey                    http://www.shadowcat.co.uk/catalyst/
 Shadowcat Systems Ltd.  Want a managed development or deployment platform?
http://blog.edencardim.com/            http://www.shadowcat.co.uk/servers/
http://twitter.com/#!/edenc

Mais detalhes sobre a lista de discussão Rio-pm