[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento
Tiago Peczenyj
tiago.peczenyj em gmail.com
Terça Julho 19 10:10:40 PDT 2011
Pra esse tipo de coisa q a documentação precisa começar com um aviso
em caps lock fonte 50 em vermelho (+ blink se der, ou marquee)
avisando q tem q conferir tudo direitinho senão não tem almo;co gratis
2011/7/19 Eden Cardim <edencardim em gmail.com>:
>>>>>> "Marcos" == Marcos Machado <listas em istf.com.br> writes:
>
> Marcos> Tecnicamente acho que isso nem poderia ser considerado um
> Marcos> bug. É apenas um projeto ruim com erros conceituais. Esse
> Marcos> problema existe desde o início dos tempos. Há pelo menos 4
> Marcos> anos enviei um e-mail ao PagSeguro sobre esse problema, que
> Marcos> descobri quando estava pesquisando meios de pagamento para
> Marcos> montar uma loja virtual para minha esposa.
>
> Marcos> Acho que na época ainda se chamava BRPay.
>
> Marcos> Vi que o valor repassado ao site era facilmente adulterado
> Marcos> quando testei através dessa ferramenta:
> Marcos> http://portswigger.net/burp/proxy.html (muito mais fácil do
> Marcos> que salvar o html e alterar, o que pode dar problema com o a
> Marcos> var referer)
>
> Marcos> Agora, esse problema não existe também para pagamentos com
> Marcos> boletos bancários? Eu não poderia pagar um valor abaixo do
> Marcos> informado, cabendo ao lojista conferir o resultado?
>
> Exatamente, eu também não consideraria isso um "bug", é um problema da
> arquitetura "facilitada". Pra ter conferência automática no pagseguro,
> você teria que registrar o valor de todos os produtos junto ao
> serviço. E não para por aí, tem descontos, multas, frete e outras taxas
> variáveis que são aplicáveisetc. então não é tão
> simples assim. Prum consumidor de serviço que não sabe fazer integração
> de sistemas, seria uma puta dor de cabeça de implementar se fosse tão
> burocrático. Do jeito que está agora, qualquer pessoa monta rapidamente
> uma cobrança online e usa o website do pagseguro pra conferir
> manualmente.
>
> É bem mais simples o consumidor do serviço fazer a conferência do lado
> dele, até porque se você está realmente preocupado com esse tipo de
> coisa, você deveria estar contabilizando se o PagSeguro realmente está
> te repassando os valores corretos invés de confiar cegamente nos valores
> deles.
>
> --
> Eden Cardim Need help with your Catalyst or DBIx::Class project?
> Code Monkey http://www.shadowcat.co.uk/catalyst/
> Shadowcat Systems Ltd. Want a managed development or deployment platform?
> http://blog.edencardim.com/ http://www.shadowcat.co.uk/servers/
> http://twitter.com/#!/edenc
> _______________________________________________
> Rio-pm mailing list
> Rio-pm em pm.org
> http://mail.pm.org/mailman/listinfo/rio-pm
>
--
Tiago B. Peczenyj
Linux User #405772
http://pacman.blog.br
Mais detalhes sobre a lista de discussão Rio-pm