Frage:
Alle Nullen (Nullen) im CVC-Code einer Bankkarte
Vlad Nikiforov
2018-12-23 02:30:54 UTC
view on stackexchange narkive permalink

Meine Bankkarte ist kürzlich abgelaufen. Ich habe einen neuen bekommen und dieser hat sich als "glücklich" herausgestellt: Sein CVC-Code war 000 .

CVC code is 000

Einige Monate lang habe ich es sowohl online als auch offline ohne Schwierigkeiten ausgiebig genutzt - bis zu dem Tag, an dem ich meine Kartendaten auf Booking.com eingegeben habe. Ich habe das Formular ausgefüllt, auf "Senden" geklickt - nur um zu sehen, dass die Seite den Wert im CVC-Feld verwirft und die erneute Eingabe verlangt.

Ich habe den Support kontaktiert. Sie bestätigten, dass der CVC-Code "000" nicht akzeptabel ist, da er als nicht sicher genug angesehen wird (leider kein genaues Zitat, da das Gespräch auf Estnisch geführt wurde), und sie schlugen vor, dass ich eine neue Bankkarte bestelle, bei der der CVC-Code anders wäre von "000".

Das hat mich verwirrt. Als ehemaliger Tester bin ich an Situationen gewöhnt, in denen ich glaube, einen Fehler zu melden, und dann wird mir gesagt, dass es sich tatsächlich um eine Funktion handelt, aber diesmal war es etwas gegen den gesunden Menschenverstand. Meine aktuelle Arbeit bezieht sich auch auf die Informationssicherheit und ich kann mir drei Gründe vorstellen, aus denen ihre Behauptung keinen Sinn ergibt:

  1. CVC ist nicht nur eine Zufallszahl, es gibt einen bestimmten Algorithmus es zu generieren. Dies bedeutet wiederum, dass alle Werte gleich wahrscheinlich sind und einige bestimmte Zahlen nicht einfach davon ausgeschlossen werden können.
  2. Ich habe diese Karte bereits mit einer Reihe anderer Onlinedienste verwendet, einschließlich Amazon Web Services , dessen Sicherheit zweifelsfrei ist.
  3. Ich verstehe nicht ganz, was "nicht sicher genug" bedeutet. Sind "111" oder "999" sicher genug? Wenn nicht, wie wäre es mit "123" oder "234"? Wieder ist es nicht etwas, das ich selbst auswähle, es ist etwas, das mir von einer Bank gegeben wird, und wenn die Bank glaubt, dass es sicher ist, muss es als solches behandelt werden.
    4. ol>

    Ihre Antwort war sehr höflich, aber nicht sehr hilfreich: " Wir verstehen Ihre Frustration vollkommen und es tut uns wirklich leid, dass wir Ihnen Unannehmlichkeiten bereitet haben. Wir haben Ihre Argumentation unserem Management übergeben - sie antworteten, dass 000 als ungültig angesehen wird, und Auf diese Weise geben Banken auch an, dass es sich bei der Karte um eine Fälschung handelt. ".

    Ich leitete die Postkette an meine Bank weiter und bat sie um Rat. Sie sagten mir, sie würden kostenlos eine neue Karte ausstellen, was das Problem für mich löste.

    Ich frage mich jedoch immer noch:

    1. Gibt es offizielle Vorschriften / Vorschriften? (von Visa / MC oder anderswo) oder Best Practices in Bezug auf "All-Zero" -CCC / CVV-Codes? Besonders das bisschen über Banken, die angeblich 000 als Hinweis auf eine Fälschung verwenden - klingt für mich nach völligem Unsinn. Ich habe versucht zu googeln, konnte aber nichts finden.
    2. Wie praktisch ist es aus praktischer Sicht, "000" als unsicher abzulehnen? Ich habe meine Bedenken oben aufgelistet, aber vielleicht fehlt mir etwas?
      3. ol>

      Update : Schwierige Wahl, welche Antwort ich akzeptieren möchte ... Ich mochte die Antwort von Alexander O'Mara viel - es ist detailliert und auf den Punkt. Die letzte Überarbeitung von Harpers Antwort erscheint ebenfalls sehr vernünftig. Schließlich habe ich mich entschlossen, die Antwort von Zoey zu akzeptieren - sie scheint die relevanteste zu sein, da sie neben allem anderen auch die Interna des Hotelgeschäfts beleuchtet.

      Danke Jeder für Ihre Antworten und Kommentare! Was ich jetzt tun werde, ist, den Booking.com-Support erneut zu kontaktieren und darauf zu bestehen, dass dies behoben wird. Informiert Sie über das Ergebnis.

      Update 2 : Nachdem ich mehrere Monate lang versucht habe, den Support von Booking.com zu kontaktieren, gebe ich offiziell auf. Ich bin nicht weiter gegangen als unzählige Support-Tickets, die nicht einmal bestätigt wurden, ganz zu schweigen von der Reaktion und ein paar Telefonanrufe, bei denen ich die Situation erklärte und nur eine E-Mail in Dosen erhielt. "Wir versuchen es sehr schwer, Ihr Problem zu lösen ". Fazit: Der Support von Booking.com funktioniert nicht - es sei denn, Ihr Problem ist sehr normal, es wird weder gelöst noch an ein höheres Management weitergeleitet.

      Der Fehler besteht weiterhin. Ich bin mir jetzt sicher, dass es sich nur um einen Softwarefehler handelt, da CVC "000" beim Hinzufügen einer neuen Karte vollkommen akzeptiert wird, aber nicht funktioniert, wenn Sie versuchen, Aktualisieren Sie eine abgelaufene (oder anderweitig ungültige Karte). Hier sind die Repro-Schritte:

      1. Erstellen Sie eine neue Buchung, für die eine sofortige Zahlung erforderlich ist.
      2. Geben Sie eine ungültige Karte ein (abgelaufen oder gesperrt) Das System sendet eine Benachrichtigung, dass die Karte nicht verarbeitet werden kann. Wählen Sie "Kartendetails aktualisieren" und geben Sie die Details einer gültigen Karte mit dem CVC-Code 000 ein.
        3. ol>

        Erwartetes Ergebnis: Die Kartendaten werden akzeptiert zur weiteren Verarbeitung.

        Tatsächliches Ergebnis: Der eingegebene CVC-Code wird verworfen und das Dialogfenster beschwert sich, dass kein CVC-Code eingegeben wurde.

Ihre Argumentation ist völlig richtig, das ist das Lange und Kurze.Es sieht so aus, als ob `booking.com` einige Idiotenmanager beschäftigt (ich wette, dies war keine technische Entscheidung).
"Sie antworteten, dass 000 als ungültig angesehen wird, und dies ist auch eine Möglichkeit, wie Banken angeben, dass die Karte eine Fälschung ist." Ich würde gerne wissen, warum eine Bank eine gefälschte Karte mit 000 darauf herstellen würde
@MikeCaron Während eine Bank keine gefälschte Karte herstellen würde, könnten sie Grund haben, eine absichtlich ungültige zu erstellen, genau wie Filme absichtlich ungültige Telefonnummern benötigen.
Das ist in Ordnung und für das Zitat, auf das ich geantwortet habe, völlig irrelevant.Beispielkarten (wie Sie vorschlagen) sind nicht dasselbe wie Fälschungen.Die Person, die behauptet, "die Bank hat es getan", schlägt vor, dass die Bank die Karte irgendwie mit 000 für ihren CVV versehen kann, was unmöglich wäre, wenn die Bank die Karte nicht auch vorlegen würde.Vielleicht fälschen sie die Karten anderer Banken ...
@Jérôme, ich könnte (die Karte wurde bei erneuter Ausgabe deaktiviert), aber ich bin gespannt, was genau Sie auf der anderen Seite erwarten :)
Als wilde Spekulation hatte booking.com einen Fehler, bei dem der Code den Unterschied zwischen jemandem, der 000 eingibt, und jemandem, der das Feld leer lässt, nicht erkennen konnte.Anstatt es richtig zu reparieren, lehnen sie 000 als CVC ab.Der Programmierer sollte ausgelöst werden, aber Sie haben diese Option nicht.Aus meiner Sicht können Sie entweder einen anderen Anbieter für Hotels verwenden oder Ihre Bank anrufen und die Karte für verloren / gestohlen erklären.Sie werden eine neue Karte mit einer neuen Nummer ausstellen.Mit etwas Glück wird der CVC nicht 000 sein
Für das, was es wert ist, "eine Art und Weise, wie Banken anzeigen, dass die Karte eine Fälschung ist" * könnte * eine verstümmelte / schlecht formulierte Form sein, um auszudrücken, dass Banken * einige * Fälschungen erkennen (die faul genug sind, sich nicht darum zu kümmern)eine weniger speziell aussehende Zahl erzeugen).
Ich hasse es zu sagen, aber die Antwort von @Harper's ist wahrscheinlich die richtige.Occams Rasiermesser sollte hier gelten;Die Antworten von Zoey und Alexander sind plausibel, aber letztendlich übertragen sie nur erfundene Logik auf einen einfachen Softwarefehler.Dies wird durch die Tatsache verschärft, dass niemand, mit dem Sie jemals über eine Kundendienstleitung sprechen könnten, etwas über das Back-End-Design des Systems wissen würde und auch nicht hoffen könnte, jemanden im Webentwicklungsteam zu erreichen, selbst wenn er dies wollte.
kleiner Trottel: Die Tatsache, dass CVC mit einem deterministischen Algorithmus berechnet wird, reicht nicht aus, um zu zeigen, dass alle Werte möglich und gleich wahrscheinlich sind.
@WesSayeed, Ich stimme zu, dass dies wahrscheinlich ein Fehler ist, der durch hartnäckiges und faules Management zu einer Funktion geworden ist.Deshalb werde ich es noch einmal versuchen und darauf bestehen, dies zu beheben.
@VladNikiforov Wenn sie nicht bereit sind, das Problem zu beheben, schreiben Sie diese Geschichte einfach auf eine geeignete Website (z. B. medium.com) und teilen Sie sie dann in geeigneten sozialen Medien (z. B. / r / Programmierung auf reddit).Die Menge an Scham, die booking.com für ihre Inkompetenz erhält, zwingt sie, das Problem zu beheben.
* Amazon, dessen Sicherheit zweifelsfrei ist * - wut?Und Sie arbeiten in diesem Bereich?
@Mazura, Ich hätte wahrscheinlich genauer sein sollen - ich meinte AWS.Ich habe keine Erfahrung mit dem Rest von Amazon, aber AWS hat nie Zweifel geweckt.
CVC wird ähnlich wie die PIN als vertraulich betrachtet.Da Sie es hier geteilt haben, stellen Sie bitte sicher, dass Sie ein neues erhalten.
Einige neue Karten haben ein dynamisches CVV (DCV), das sich etwa jede halbe Stunde ändert. Wenn Sie eine solche Karte haben und 000 angezeigt werden, warten Sie einfach, bis das nächste CVV angezeigt wird.
Wenden Sie sich an Ihr Kartennetzwerk (Visa / Mastercard) und reichen Sie eine Beschwerde ein, dass die Website die Annahme Ihrer gültigen Karte in böswilliger Absicht ablehnt.Visa hat Argumente, die groß genug sind, um ihren Code zu korrigieren.Die Website zeigt das Logo unter bestimmten Verträgen an, und eine grundlose Ablehnung verstößt wahrscheinlich dagegen.
@Luc Oder schlimmer noch, dies war die Entscheidung eines faulen / unfähigen Ingenieurs.
Bedeutet dies, dass booking.com 1 von 1000 gültigen Kreditkarten ablehnt - vorausgesetzt, alle CVCs sind gleich wahrscheinlich?
Unter der Annahme, dass die Sicherheit von Amazon nicht zu bezweifeln ist, geht Amazon Risiken durch den Einsatz von Versicherungen und die Tatsache ein, dass sie Betrug in gewissem Umfang akzeptieren können, solange die meisten Kunden zufrieden sind.Amazon verwendet sogar Nicht-ACID-DB, um mit Stok umzugehen, da sie eventuelle Bestandsfehler beheben können, indem sie ihren Kunden etwas zurückerstatten oder etwas anderes anbieten.
Bei der Entwicklung der Enigma-Maschinen haben die Deutschen verhindert, dass Permutationen verwendet werden, in denen ein Brief auf sich selbst abgebildet wurde, da dies nicht * sicher * aussah.Dies gab alliierten Kryptographen eine einfache Möglichkeit, eine große Anzahl von Kandidatenschlüsseln schnell auszuschließen.Wenn die Permutationen, die * unsicher * aussahen, erlaubt gewesen wären, wäre Enigma möglicherweise niemals gebrochen worden.Das einzige, was 000 verbietet, ist, Angreifern einen kleineren Satz zu geben, von dem sie raten können.
@MrWhite Der Beitrag wurde aktualisiert, um speziell auf AWS zu verweisen, nicht nur auf Amazon.Es tut mir leid, dass ich dies überhaupt nicht klargestellt habe.
@Colin'tHart - es ist wahrscheinlich, dass booking.com noch mehr ablehnt, da Hotelbuchungen ein sehr hoher Betrugsbereich sind und ihre Betrugserkennung wahrscheinlich eine nicht zu vernachlässigende Anzahl von Fehlalarmen aufweist.Es ist jedoch auch möglich, dass einige Kreditkartenaussteller absichtlich keine Karten mit 000 als CVV ausgeben, sodass es möglicherweise nicht der Fall ist, dass 1 von 1000 Karten 000 als CVV hat.
@Luc Ich wäre absolut schockiert, wenn dies keine schlechte technische Entscheidung / ein schlechter technischer Fehler wäre, den ein Manager später missverstanden oder belogen hat.Es gibt zweifellos viele Sites, die die Eingabe als Ganzzahl anstelle einer Zeichenfolge behandeln und "000" als "0" betrachten und "0" als ungültig oder als Standard behandeln, der nichts darstellt, was eingegeben wird.
Ich habe das nur gegoogelt, als ich am Ende dieser Situation bin.Unser Zahlungsabwickler, der Transaktionen abwickelt, lehnt die Transaktion automatisch als ungültigen Sicherheitscode ab. Dies ist ein wichtiger Zahlungsabwickler.Ich habe das Gleiche argumentiert, den Code für die Karte, der überprüft werden kann, aber es ist eine automatische Ablehnung.
Sieben antworten:
Zoey
2018-12-23 07:21:42 UTC
view on stackexchange narkive permalink

Alexander O'Mara gab eine richtige Antwort, aber nachdem ich in einem Hotel gearbeitet habe, das booking.com verwendet hat, kann ich meiner Meinung nach zusätzliche Informationen über den Grund liefern, warum CVV abgelehnt wurde.

Jeden Tag erhielt das Hotel, in dem ich arbeitete, ungefähr 50 Buchungen, ein Viertel dieser Buchungen verwendete gefälschte Kreditkartendaten, und ungefähr 90% der Leute, die gefälschte Kreditkartendaten verwendeten, tauchten nicht auf.

Dies führte zu vielen Vermutungen bei der Zuweisung von Räumen. Wir versuchten oft zu erraten, ob die Person nur anhand ihrer Kreditkartendaten auftaucht, und berücksichtigten manchmal auch den Namen, den Ort und das Wie Viele Tage bleiben sie usw. Wir würden auch versuchen, am Vortag anzurufen, um Buchungen zu bestätigen, damit diese gefälschten Buchungen zu einer minimalen Unterbrechung des Geschäfts führen.

Das Blockieren von CVV 000 ist nur eine Buchung. coms fauler Versuch, die Anzahl gefälschter Buchungen zu reduzieren. Einige andere CVVs sind ebenfalls gesperrt.

Der Grund, warum booking.com den CVV blockiert und andere Websites nicht, liegt darin, dass andere Websites im Allgemeinen versuchen, die Kreditkarte sofort zu belasten, während booking.com nur Informationen an weiterleitet die Hotels, die die Kreditkarte am Tag der Ankunft belasten.

Warum um alles in der Welt autorisieren Hotels die Kreditkarte nicht vor?Sie könnten so wenig wie 1 US-Dollar tun (wie es für die kostenlose Testversion verwendet wird) und dieses Problem sofort beenden - und das würde nicht den Nebeneffekt verursachen, dass Low-Limit- oder Debitkarten maximal genutzt werden.
@aidanh010 kleinere Hotels kümmern sich oft nicht darum, entweder weil sie mit dem Prozess nicht vertraut sind oder weil sie annehmen, dass es zu viel Aufwand für wenig Nutzen ist
Wollen Sie damit sagen, dass eine erfolgreiche Online-Plattform wie booking.com die Vorauthentifizierung für ihre zahlenden Kunden (auch bekannt als Hotels) nicht übernimmt?
Eigentlich scheint es optional zu sein: https://partnerhelp.booking.com/hc/en-gb/articles/115003200353?utm_source=checkin&utm_medium=link&utm_content=preauthorisation
Aber wenn Sie diesen Kommentar lesen, warum um alles in der Welt würde Ihnen ein Betrüger 000 als CVV geben?Verwenden Sie 472 als CVV oder eine der anderen 999 möglichen Nummern, da es nicht über "000 sieht verdächtig aus" überprüft wird.
Diese Erklärung zum Umgang von booking.com mit Kreditkartendaten wirft für mich die Frage auf, ob ihr Prozess tatsächlich PCI DSS-konform ist oder gegen diesen verstößt.Man könnte argumentieren, dass sie keine Autorisierung durchführen und daher nicht gegen die Bestimmungen verstoßen ("Sensible Authentifizierungsdaten dürfen nach der Autorisierung nicht gespeichert werden (auch wenn sie verschlüsselt sind)."), Aber dies scheint eine ziemlich schlechte Art des Umgangs mit sensiblen Kreditkarten zu seinInformation...
@gnasher729: Nun, sie wussten es nicht.Nun, nachdem diese Antwort veröffentlicht wurde, auf der anderen Seite ...;)
@Lucero Dieses Verfahren ist Standard für Reisen.Wenn Sie einen Flug buchen, ist die Fluggesellschaft diejenige, die Ihre Karte belastet, nicht die Reiseseite. Sie wenden sich an ein Reisebüro, nicht an einen Wiederverkäufer.Hotels, Kreuzfahrten, Mietwagen sind gleich.Die einzige Ausnahme ist, wenn Sie einen stark ermäßigten undurchsichtigen Tarif kaufen (Priceline, Hotwire, Pakete usw.).
IMO, eine fehlerhafte Validierung wie "if (! (Int (cvv) && checkCvv (cvv))) {return" Es ist kein gültiger CVV "}" ist eine viel wahrscheinlichere Erklärung, warum dies abgelehnt wurde, anstatt eine absichtliche Sicherheitsentwurfsentscheidung zu sein.
Ich frage mich daher, ob OP einen anderen Wert als CVV hätte eingeben und die Buchung erfolgreich erhalten können.Wenn ja, müsste es später mit dem Hotel behoben werden ("Oh, sorry, es war ein Tippfehler").Wenn nicht, bedeutet dies, dass danach ein stärkerer Scheck ausgestellt wird, wodurch der "000" -Scheck irrelevant wird.Sie würden höchstwahrscheinlich nicht darüber kommunizieren, wenn es der Fall wäre, denke ich.
@gnasher729: Ich glaube nicht, dass die 25% derjenigen, die gefälschte Kreditkartennummern verwenden, um Hotels zu buchen, ohne aufzutauchen, Betrüger sind.
Warum genau sollten Betrüger Hotels buchen und nicht auftauchen?Ist dies eine Möglichkeit, um festzustellen, ob die Kreditkarte noch gültig ist?Scheint albern, wenn es sowieso nicht aufgeladen wird, weil sie nicht aufgetaucht sind.
Ich bin gespannt, ob Orte das 1-Dollar-Gebührensystem vermeiden, weil es sie Geld kostet.Ein Kreditkartenanbieter berechnet normalerweise mindestens 3% für die Abwicklung der Kartentransaktion.Wenn sie eine Gebühr von 1 USD erhoben und diese erstattet haben, erhalten sie möglicherweise nur 97 Cent und geben dann 1 USD zurück, wobei sie 3 Cent verlieren.Dies könnte sie auf lange Sicht viel Geld kosten, wenn gefälschte Karten verwendet werden (aber eine Zuweisung von 1 US-Dollar erhalten, um gültig auszusehen).
@RichardDuerr es hängt davon ab, wie viel Sie bei einer gefälschten Buchung verloren haben, denke ich?Ich würde vermuten, dass sie mehr als 3 Cent pro gefälschter Buchung verlieren werden
@Patrice Ja, ich würde behaupten, dass sie es getan haben (Arbeitsverlust, mögliches Drucken, Zeit usw.).Ich habe es nur vereinfacht, um das Groken zu erleichtern.
Diese Antwort hängt von der Annahme ab, dass 000 zu einer gefälschten Buchung führt.Es gibt jedoch keine Begründung dafür, wie diese beiden miteinander verbunden sind.Ich las es als "Warum trägst du einen grünen Pullover? Weil Mama schläft."Es muss eine Verbindung hergestellt werden, wie "Alle meine anderen Pullover machen Geräusche, wenn ich mich bewege".
@Lucero technisch gesehen, wenn booking.com selbst keine Kreditkarten belastet, müssten sie PCI DSS nicht einhalten, da dies ein privater Standard ist.Aber es ist definitiv absurd, ein CCV zu speichern und an Dritte weiterzugeben - ich würde einen solchen Dienst sicherlich niemals nutzen.Wenn sich niemand die Mühe machen kann, mit Kreditkarten umzugehen, können sie zumindest Stripe verwenden und müssen die Daten niemals berühren
@aidanh010 Nun, ich denke, weil Kredit- und Debitkarten überraschenderweise nicht auf der ganzen Welt gleich funktionieren.Kürzlich habe ich mit meiner Argentinien-Debitkarte etwas von einem US-Händler gekauft.Dann wurde die Bestellung storniert und die Gebühr nicht entfernt.Der Händler sagte mir, sie hätten meine Karte nicht belastet, sondern nur autorisiert.Meine Banken sagten mir, dass Debitkarten in Argentinien keine Autorisierungen, sondern nur Gebühren erheben.Jetzt ist mein Geld in der Schwebe und 2 Monate später kann ich es immer noch nicht zurückbekommen.
@gnasher729 Ich vermute, dass das Problem hier keine intelligenten, motivierten Betrüger sind, wenn 90% der Einträge mit gefälschten Details nicht angezeigt werden.000 ist wahrscheinlich nur die Person, die faul ist.
@RichardDuerr Hotels würden normalerweise keine Gebühr verwenden, um eine Karte zu "überprüfen";Sie würden einen [Autorisierungsstopp] (https://en.wikipedia.org/wiki/Authorization_hold) für die Grundkosten des Aufenthalts festlegen, um sicherzustellen, dass die Karte am Ende des Aufenthalts mindestens mit diesem Betrag belastet werden kann.Ich habe keine Ahnung, warum ein Hotel dieses einfache und übliche Verfahren nicht durchführen würde.
Alexander O'Mara
2018-12-23 03:57:23 UTC
view on stackexchange narkive permalink

Das einzige schwache Argument, das ich mir vorstellen kann, um einen solchen CVV abzulehnen, wäre, dass jemand, der versucht, Ihren dreistelligen Code brutal zu erzwingen, möglicherweise mit 000 beginnt. Code> zuerst (aber würden sie auch 001 ?) ablehnen.

Wie vernünftig ist es aus praktischer Sicht, "000" als unsicher abzulehnen?

Es ist nicht wirklich vernünftig. Entweder können Sie die Karte mit dem mitgelieferten CVC / CVV-Code aufladen oder nicht. Es gibt keinen guten Grund, diesen Code abzulehnen, da er gültig ist und Sie nicht wirklich sicher sein können, ob die Codes einer Kreditkarte gültig sind, bis Sie tatsächlich versuchen, sie zu belasten.

Leider schlecht gestaltete Eingaben Validierung ist nur allzu häufig. Einige Entwickler neigen dazu, einfach anzunehmen, dass bestimmte Werte ungültig sind, ohne die Spezifikation zu überprüfen, oder ihre Eingabevalidierungen nicht ordnungsgemäß zu testen.

Einige Beispiele sind:

  • IP-Adresse 1.1.1.1
  • Fehler bei der Versionsprüfung wie "10" < "9", wenn nur das erste Zeichen in der Zeichenfolge
  • Namen mit Nicht-Alpha-Zeichen überprüft (wie das Apostroph in meinem Namen)

Es ist auch nicht ungewöhnlich, dass Mitarbeiter des Kundendienstes auf Ihre Fehlerberichte mit etwas im Sinne von "Das ist kein Fehler, es ist eine Funktion" antworten. ohne jemals die Entwickler zu konsultieren.

`var cvv = parseInt (form.cvv);if (! cvv) markInvalid () `
Die Sache mit 1.1.1.1 ist noch schlimmer, weil die Leute wussten, dass es sich um eine IP-Adresse handelt, und beschlossen, einseitig für die Netzwerkkarte zu entscheiden, dass sie für immer nicht verwendet wird.
@MikeCaron Leider konnte ich sogar sehen, dass ich diesen Fehler machte und ihn erst abfing, als ein Support-Anruf einging ... aber ist das der eigentliche JS-Code von Booking.com?
Ein weiteres häufiges Ereignis sind zu kurze Eingabefelder für E-Mail-Adressen, Postanschriften und Kennwörter.Eine E-Mail-Adresse kann bis zu 256 Zeichen lang sein, aber ich habe mehrere Websites mit einem 30-Zeichen-Feld gesehen.Und 20-stellige Passwortfelder sind keine Seltenheit.
Sie können Ihrer Beispielliste E-Mail-Aliase (Adresse + alias@example.com) hinzufügen. Dies ist sehr ärgerlich, wenn jemand ohne triftigen Grund beschließt, besonders sicher zu sein
Ich erinnere mich, dass einige Apps unter MacOS 10.4.10 erhebliche Probleme hatten, weil der erforderliche Code 10.4.2 erforderte und eine falsche Überprüfung ergab, dass 10.4.10 früher als 10.4.2 war.
@gnasher729 ist auch der Grund, warum es kein Windows 9 gab. Zu viele Programme überprüfen, ob das Betriebssystem Windows 95 oder 98 ist, indem sie überprüfen, ob "Windows 9" im Namen des Betriebssystems enthalten ist.
@FelipePereira Jedes Mal, wenn ich auf eine Website stoße, die keine E-Mail-Aliase akzeptiert, wünschte ich mir, es gäbe einen "Schlag den Programmierer, der dies ins Gesicht geschrieben hat" -Button.
@MikeCaron Wenn dies das eigentliche JS ist, wäre ich sehr versucht, es im Browser zu umgehen und zu prüfen, ob das Back-End mit derselben Validierung übereinstimmt.(Ich habe dies unter verschiedenen, aber ähnlichen Umständen erfolgreich durchgeführt ... manchmal möchte ich nur eine Patch-Datei einsenden .......)
Meine TLD mit vier Buchstaben verursacht Probleme bei der E-Mail-Validierung auf einigen besonders dummen Websites.
Ich denke immer an Enigma im Zweiten Weltkrieg.Die Enigma-Maschine konnte einen Buchstaben nicht als sich selbst codieren.Die Verkabelung der Maschine hat dies verboten.Was sich zunächst nach gesundem Menschenverstand anhört, ist eine Sicherheitslücke, die ausgenutzt wurde, um die verwendeten Algorithmen zu knacken.https://youtu.be/V4V2bpZlqx8
Alter, mit dem Namen wie deinem ist SQL-Injection in deiner Zukunft :) Aber im Ernst, es ist nur eine faule Codierung, das war's.Der erste Kommentar fasst es ganz gut zusammen.
@c00000fd * "SQL-Injection liegt in Ihrer Zukunft" * Und noch mehr in meiner Vergangenheit.: p (Glücklicherweise scheinen sich die Dinge zu verbessern, da ich weniger Dinge kaputt mache, als ich es früher getan habe)
@EricDuminil AFAIK, mit "zu vielen Programmen" meinten sie einfach "Java".
@ChrisCirefice Ich war ein Witz, den ich geschrieben habe, aber ich kann nicht ausschließen, dass er auch für den tatsächlichen Code repräsentativ ist
Die "+" E-Mail-Adresse als gültige, aber häufig als ungültig angesehene E-Mail-Adresse ist eine, die ich liebe.Ich hatte einmal eine Firma, die ihre Validierung änderte, nachdem ich mich bereits mit einer xxxx + Something@gmail.com-Adresse angemeldet hatte.Sie schickten mir immer wieder Nachrichten, die ich nicht brauchte, aber ich konnte mich nicht anmelden, um sie auszuschalten.Und ihre Antwort, als ich sie um Hilfe bat, wenn ich mich nicht anmelden konnte, war "einfach wieder anmelden".Als ich ihnen schließlich drohte, sie wegen des Versendens von SPAM zu verklagen (da ich mich nicht abmelden konnte), fanden sie auf magische Weise einen Weg, um zu helfen
@EricDuminil, aber ich glaubte gern, dass es keinen Sieg 9 gab, weil 7 aß 9> :( Sie Party Pooper.
Harper - Reinstate Monica
2018-12-24 01:42:44 UTC
view on stackexchange narkive permalink

Dies ist eine Rahmenherausforderung der Ansprüche des Unternehmens. Eine Zufallszahl im Bereich 000-999 ist sicherer als 001-998, das Zurückweisen von Werten schwächt sie .

Es handelt sich um einen Softwarefehler. Sie können es nicht zugeben.

Nur ein Beispiel: Sagen wir, irgendwo im Stapel verwenden sie eine Sprache mit untypisierten Variablen (dh wo dieselbe Variable 123,45 enthalten kann, "spät zum Abendessen", eine 0-Zeichenfolge, eine "undefinierte" "Token usw.). Es ist üblich, Folgendes zu schreiben:

wenn ($ CVC) # ein CVC-Feld vorhanden ist?

In einer untypisierten Sprache wird eine leere Zeichenfolge mit 0 ausgewertet ( false) wie vom Programmierer beabsichtigt, aber auch 000! Es gibt bessere Möglichkeiten, dies zu tun.

In diesem Fall wissen wir, dass das Problem nicht in der öffentlich zugänglichen Web-Benutzeroberfläche liegt, die Sie verwenden, sondern in der Back-End-Plattform, die Sie beide gemeinsam nutzen. Der Agent sollte einen Fehler im Ticketingsystem öffnen.

Warum haben sie behauptet, was sie gesagt haben? Weil normale Unternehmen diese Art von strukturellen Fehlern, die sie inkompetent erscheinen lassen, nur sehr ungern zugeben. Aber sie können Sie auch nicht mit einem "Ich weiß nicht" abschicken, da dies den gleichen Effekt hat. Deshalb müssen sie Ihnen jetzt etwas sagen, das sich für sie verkaufsfähig anfühlt.

Offensichtlich ist es falsch; Dies wird von allen anderen Personen bewiesen, mit denen Sie Geschäfte machen , die kein Problem damit haben. Aber versuchen Sie es selbst; Probieren Sie eine konkurrierende Buchungsplattform aus und sehen Sie, wie es geht.

Die Zeichenfolge "000" wird in Perl, Python oder JavaScript nicht als falsch ausgewertet.
Wenn Sie in JavaScript "000" mit "false" ("000" == false ") mit nur 2 Gleichheitszeichen vergleichen, wird" true "ausgewertet.
Es ist wahrscheinlicher, dass Mike Caron sagt: "if (! To_number (input)) accept ()".Die Zahl Null ist sowohl in Javascript als auch in PHP falsch.
@Birfl ohne zu wissen, welche Sprache verwendet wird, könnte dies absolut eine gültige Antwort sein - besonders wenn man bedenkt, dass JavaScript so wackelig ist.Schauen Sie sich jemanden an, dessen Nachname buchstäblich "Null" ist. Https://www.wired.com/2015/11/null/
@Blrfl sicher, wenn Sie die Eingabe als Zeichenfolge erzwingen.Aber wenn Sie nur * darauf abzielen *, dies zu tun, aber sich in Ihrem Verständnis darüber irren, wie die Sprache analysiert wird ... Wie wäre es mit dem * Skalar * '000'?
@WernerCD Sicher, wenn Sie zufällig eine Sprache verwenden, die sich so verhält.Diese Antwort zieht Schlussfolgerungen auf der Grundlage von Fakten, die nicht belegt sind, und verallgemeinert dynamisch typisierte Sprachen, die nicht für alle gelten.Ich glaube, ich habe mich gerade zu einer Ablehnung überredet.
@Blrfl Ich denke, der Hauptpunkt ist, dass es Möglichkeiten gibt, wie ein moderner Web-Stack bei Edge-Fällen EINFACH kaputt gehen kann - absichtlich oder versehentlich.Es gibt Code am hinteren Ende, am mittleren Ende, am vorderen Ende usw., der bei ungetesteten Randfällen ALLE leicht brechen kann.JavaScript ist der am einfachsten zu zeigende Schuldige - aber wie mein Beispiel zu Mr. Null (seinem tatsächlichen Namen) zeigt, ist es schwierig, mit den Fingern auf JS zu zeigen, wenn es sich um einen Schritt handeln könnte.(Ich würde sagen, "du hast bs'd" ist ein schlechter Teil der Antwort ... aber der Rest ist gültig)
@WernerCD angesprochen.Die Entschuldigung des Unternehmens ist einfach nicht glaubwürdig.Wie das beweist, was * belegt * ist: Der Erfolg von OP bei der Verwendung des CVC fast überall sonst.Ich bin einfach anderer Meinung als Birfls Literalismus, dass alles in OP als absolute Tatsache behandelt werden muss.Ich habe keinen Grund zu zweifeln.OP, aber das Unternehmen ist einfach falsch.
@Stefnotch danke für das Beispiel.Ich finde es immer sehr lustig, wie JS irreparabel kaputt ist.Und dann werde ich traurig, wenn ich merke, wie weit verbreitet diese Sprache ist.
@blrfl Booking hätte Perl (oder Java) verwendet.
@Isotopp Weißt du genau wie?
@Harper Ich denke, wir reden aneinander vorbei - es besteht kein Zweifel, dass das Unternehmen "falsch" ist.000 ist weder "unsicher" noch "ungültig" - es ist kein Pin zur Auswahl, es ist ein technisch gültiger CVV.Ich denke, wir unterscheiden uns darin, dass eine "Helpdesk" -Person nicht wissen wird, warum ein komplizierter Software-Stapel die Transaktion ablehnt ("000" == false).Ich denke nicht, dass es unerwartet ist, dass der Helpdesk Hokuspokus verwendet (000 ist offensichtlich unsicher - genau wie eine von Ihnen gewählte PIN), um Fehler zu erklären, die niemand in der Kette versteht.Zwei Seiten der Medaille - TECHNISCH Grund, warum es fehlschlägt und schlechte Erklärungen warum.
@Blrfl Ich habe Informationen, die übereinstimmen.Perl, Java, vielleicht Scala.Lesen Sie den letzten Absatz von Isotopps SE-Biografie, um eine Vorstellung davon zu bekommen, woher er weiß :)
Möglicherweise verwenden sie 000 als "Flag" -Wert für nicht zugewiesene CVV-Nummern, anstatt einen separaten "Null" -Wert zu haben, den Sie möglicherweise in einer typischen Datenbank sehen.Ich habe Unternehmen mit Datenbank- "Architekten" gesehen, die Regeln wie "keine Nullwerte in der Datenbank" gedankenlos durchsetzen.Sobald die Anforderungen erfüllt sind, definieren sie die CVV-Spalte als "CHAR (3), NONULL", was zu schlecht geschriebenen Problemumgehungen wie diesen führte.
@JohnDeters Warum sollte es sinnlos sein, Kreditkarteninformationen * mit * einem CVV, der null ist, in die Datenbank aufzunehmen?Wenn die Entwickler Problemumgehungen für gültige Designs schreiben, ist dies ihre Schuld daran, dass sie schlechte Arbeit abpumpen.Ich habe sicher viel von dieser Art von sinnloser Arbeit gesehen.
@Iain, da die Informationen manchmal nicht verfügbar sind.Nicht alle Eingaben erfolgen über dieselben Validierungskanäle.Ein gefaxtes Stück Papier, auf dem einige Daten fehlen, muss noch verarbeitet werden.(Dies gilt insbesondere dann, wenn es sich um PCI-Daten handelt, deren Speicherung ohnehin verboten ist. Kein Kunde mit rationalem Sicherheitsbewusstsein sollte sie auf Papier bereitstellen.)
@JohnDeters Ich freue mich, den Unterschied aufzuteilen und eine "PendingCreditCards" -Tabelle bereitzustellen :)
TTT
2018-12-27 22:49:50 UTC
view on stackexchange narkive permalink

Ich habe derzeit eine Kreditkarte mit einer möglicherweise schlechteren CVV-Nummer: 123

Bisher wurde sie nie abgelehnt, aber aus Sicherheitsgründen habe ich keine. Ich mag es nicht, da ich der Meinung bin, dass es das erste sein könnte, was ein Dieb eintippen würde, wenn er irgendwie meine Nummern, aber nicht meine Karte hätte.

Aus Sicht der Website ist es meiner Meinung nach dumm, absichtlich Behandle eine gültige Nummer als ungültig. (Dies gilt umso mehr, wenn die Wahrscheinlichkeit, dass es auftritt, nur 1 zu 1000 beträgt.) Da es für die Website äußerst einfach wäre, eine sehr kleine Autorisierung zur Bestätigung der Kreditkarte zu versuchen oder das Hotel selbst entscheiden zu lassen, tue ich das nicht. Ich stimme dem Argument "Verhinderung gefälschter Zahlen" nicht zu. Abgesehen davon bringt eine Schnellsuche im Laufe der Jahre auf verschiedenen Websites einige Personen mit demselben Problem hervor. Du bist also nicht allein. :)

Ich kenne jetzt Ihren CVV :) Jetzt muss ich nur noch nach Verstößen gegen öffentliche Kreditkarten suchen nach ... äh ... "_TTT_"?
hiburn8
2019-01-02 19:23:41 UTC
view on stackexchange narkive permalink

Fairerweise gibt es Zehntausende von Hotelbuchungssystemen, an die booking.com Informationen weitergeben muss, damit sie verarbeitet werden können. Ich vertraue darauf, dass sich booking.com einen Entwickler leisten kann, der weiß, dass (000) == FALSE in JavaScript ist ... aber es lohnt sich, den gleichen Fehler für die Hunderte von Hotels zu diagnostizieren, die diesen Fehler wahrscheinlich in ihrem haben Buchungssysteme? Absolut nicht.

Ich vermute, dass dies tatsächlich ein ziemlich vernünftiger Versuch ist, Datenverarbeitungsfehler, die weiter unten in der Kette auftreten, und in Systemen, die außerhalb der Kontrolle von booking.com liegen, zu mindern.

Als kartenverarbeitender Händler sind sie verpflichtet, gültige Karten zu verarbeiten, verstoßen also wahrscheinlich gegen die Händlerregeln und könnten Probleme mit VISA (oder wem auch immer) bekommen ... aber ich kann die Logik fast erkennen.

Oli
2019-01-02 19:00:48 UTC
view on stackexchange narkive permalink

Ich habe hier einige Probleme mit der einfachen "dummen Bug" -Theorie. Ich habe keinen Zweifel daran, dass die Person, mit der Sie gesprochen haben, diesen Unsinn aus dem Nichts gezogen hat (wie es einige Kundenbetreuer normalerweise tun). 000 ist vollkommen gültig und Sie sind nicht die erste Person im Internet, die darauf hinweist, dass Sie die Nummer haben.

Aber hier gibt es eine Skala, die die Leute nicht schätzen.

  • Die natürliche Möglichkeit, 000 als CVV zu erhalten, beträgt 0,1%.
  • Booking.com ist ein Unternehmen, das im Jahr 2017 einen Umsatz von 8 Mrd. USD erzielt hat auf Kartentransaktionen. Das sind ungefähr fünfzigtausend mittlere Buchungen pro Tag.
  • Booking.com muss daher 50 Mal am Tag auf 000 stoßen. Bis zu einem Betrag von 25.000 US-Dollar, der an Booking.com verloren gegangen ist, und viel, viel mehr in Bezug auf tatsächliche Buchungen, die nicht weitergegeben wurden.

Ablehnung von 0,1% der Kartentransaktionen ist ein Umsatzverlust von 9 Mio. USD. In den [ sehr viel kleineren] Unternehmen, für die ich arbeite, würde die Analyse des Buchungsflusses dies ziemlich schnell in der Kette anzeigen. Bei diesen Arten von Unternehmen (ich arbeite tangential in Urlaubsbuchungssystemen) ist das Cart-Erlebnis der am besten erfasste Teil ... Ich finde es sehr schwer zu glauben, dass ein Unternehmen, das sich auf Analysen verlässt, etwas so Einfaches wie eine Kartenvalidierung verpassen würde Problem.

Wenn wir also davon ausgehen, dass dies in dieser Größenordnung nicht möglich ist, müssen wir einige Vorschläge unterbreiten, die den Umfang einschränken ...

  1. Dies ist ein lokaler Fehler.

    Viele multinationale Unternehmen legen Geld über lokale Konten ab und geben es von dort aus steuerlich weiter. Es kann sein, dass Booking.com seinen lokalen Büros erlaubt, den Code dafür zu bearbeiten, um lokale Macken (Währung, ganze Zahlungsschemata, die nicht global sind) zu behandeln, und auf diese Weise Fehler einzuschleichen, die anderswo nicht existieren.

    Die Möglichkeit hierfür ist erhöht, da das Zielland Kroatien ist. Sie benutzen dort die Kuna, nicht den Euro. Es kann durchaus eine Reihe von Bilanzierungsunterschieden und Mechanismusanbietern geben.

    Das erklärt auch, warum dies unter dem Radar gelandet ist. 0,1% des an Kroatien gebundenen Geldes werden verdammt viel weniger sein als das globale Einkommen.

  2. 000 ist nicht so häufig wie 0,1%

    Wie JPhi1618 in der Kommentare, der andere Umfang einschränkende Faktor ist, dass Banken möglicherweise nicht sehr oft 000 ausgeben. Es gibt keinen Grund, warum sie es nicht sollten, und wie ich bereits sagte, gibt es online Beweise für andere Personen mit 000 Karten, aber das heißt nicht, dass dies üblich ist.

    I Ich habe keine Möglichkeit, dies zu überprüfen. Vielleicht kann jemand mit einem Kartenverarbeitungsprotokoll, das CVVs enthält, eine Analyse durchführen.

    3. ol>

    Wenn Sie dennoch solche Probleme finden, melden Sie sie. Überspringen Sie das Kundendienstteam, weil es einfach nicht weiß, was los ist. Wenden Sie sich an den CEO oder das Sicherheitsteam, da beide dies aus leicht unterschiedlichen Gründen ziemlich ernst nehmen werden. Einnahmeverluste in Höhe von 9 Mio. USD sind ein guter Motivator.

Nur eine Anmerkung: Ich habe versucht, ein Hotel in Kroatien zu buchen, das kein Euro-Land ist, daher ist Ihre Argumentation möglicherweise richtig.
Ich denke, die Verwendung Ihrer Logik zeigt, dass Booking.com gezwungen wäre, das Problem zu beheben, wenn diese 000-Zahl so häufig wie erwartet wäre.Sie werden nicht 1 von 1000 Buchungen verpassen, weil eine sehr triviale Sache zu beheben ist.Daher denke ich, dass die meisten Kreditkartenunternehmen keine 000 verwenden und die Bank, die OP verwendet, ein Ausreißer ist.
@JPhi1618 Ausreißer?Das glaube ich nicht.Vor einigen Jahren hatte ich eine VISA-Karte von einer großen französischen Bank mit 000 als CVC-Code (jetzt abgelaufen).Ich habe es sein ganzes Leben lang ohne Probleme benutzt.Ich habe nie versucht, booking.com.Meine Vermutung: Sie verlieren tatsächlich 0,1% ihres Umsatzes.Es ist wahrscheinlich schwierig, den CEO eines etablierten Unternehmens zu erreichen. Das Sicherheitsteam würde sich nicht darum kümmern. Der aktuelle Status ist keine Sicherheitsverletzung.
"Es ist wahrscheinlich schwierig, den CEO eines etablierten Unternehmens zu erreichen".Früher war es so, aber irgendwann in den letzten 15 Jahren scheint es für Führungskräfte in Mode gekommen zu sein, Probleme zu lösen.Auch wenn Sie nicht direkt sprechen können, haben viele einen internen Eskalationspfad.Aber wenn dies etwas Lokales ist - wie es scheint -, könnte es schwierig sein, dies an den richtigen Ort zu bringen.Und letztendlich wird der Appetit, 0,1% der Zahlungen nach Kroatien zu fixieren (sie verwenden Kuna, nicht Euro, also möglicherweise die lokale Vorschrift), etwas geringer sein.
Luk
2019-01-03 15:42:46 UTC
view on stackexchange narkive permalink

Beachten Sie, dass bei einigen Kreditkartenprogrammen ein CVC mit dem magischen Wert 000 bedeutet, dass ein CVC bereitgestellt wurde, der jedoch seitdem gelöscht wurde (aufgrund von PCI-Einschränkungen). Das ist wahrscheinlich das, was Booking tut, und das erklärt, warum sie es nicht akzeptieren.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...