作者nkhs9412235 (柚子)
看板MobilePay
标题Re: [闲聊] pi拍钱包支付密码bug
时间Wed Aug 29 18:27:01 2018
刚刚粉丝页出了第二版懒人包,完整连结:
https://www.facebook.com/1527672804202549/posts/1931466637156495/
https://i.imgur.com/VEWJ8T1.jpg
简单来说就是因为没有存密码在手机,有可能密码输入错误还会过,但不会付款成功
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.52.200.167
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1535538423.A.28C.html
※ 编辑: nkhs9412235 (27.52.200.167), 08/29/2018 18:27:22
1F:推 HTConeplus: 本就不该出现的页面... 08/29 18:32
2F:推 peter700: 重新定义二维条码... 08/29 18:52
3F:嘘 qe586: 错就是错 别一堆理由 08/29 19:03
4F:→ qe586: 官方申明还有错字 到底管理有多松散 08/29 19:04
5F:嘘 orange21: 楼上 是 声明 08/29 19:07
6F:推 faiechien: XDDDDD 08/29 19:26
7F:→ Sheng98: 脸好肿 08/29 19:27
8F:→ Sheng98: 这样产生的条码 "才" 实际交易....... 08/29 19:27
9F:推 lianpig5566: 本来就这样了阿 08/29 19:54
10F:→ lianpig5566: 还没改版前的pi钱包 就有说明了..... 08/29 19:54
11F:→ lianpig5566: 改版之前会写 「输入密码时,不会验证」 08/29 19:55
12F:→ Goog1e: 我可以接受这样的说法耶 很好的设计 08/29 19:58
13F:→ Goog1e: 不过应该让使用者清楚 不然显示出条码会怕 08/29 19:58
14F:推 peter700: 输入密码不会验证,那输入错的密码怎麽会跳错误,这个设 08/29 20:09
15F:→ peter700: 计逻辑... 08/29 20:09
16F:→ henrysu1625: 我也觉得这想法不错欸 如果用户手机没网路 还是先产 08/29 20:14
17F:→ henrysu1625: 生条码 让商家的pos机来负责验证密码 08/29 20:14
18F:→ Sheng98: 利用商家 pos 扫入暂时性条码然後回传到 pi 做密码验证? 08/29 20:18
19F:嘘 HTConeplus: 要输入密码 就是需要验证.... 这样的设计好吗 我不这 08/29 20:54
20F:→ HTConeplus: 麽想 说到离线付款 支付宝也能离线付款 但有看到支付 08/29 20:55
21F:→ HTConeplus: 宝要你输入密码无论正确与否都通过的吗? 这是安全性 08/29 20:55
22F:→ HTConeplus: 问题 怎麽会混为一谈呢? 为什麽不肯承认这就是重大的 08/29 20:55
23F:→ HTConeplus: 问题 立刻修复就好? 还可以特地做PTT说这样的设计有 08/29 20:55
24F:→ HTConeplus: 原因 我真的要晕了 08/29 20:55
25F:→ HTConeplus: 我真的超晕 PPT 跟 PTT 都搞不清楚了 唉... 08/29 20:55
26F:推 ckkaze: 所以意思是用户的付款密码都存在你们pi系统里?!而不是存 08/29 20:55
27F:→ ckkaze: 在手机里?!这是认真的吗.. 08/29 20:55
28F:推 mangogreen17: 所以支付密码在伺服器 会外泄的意思吗XD 08/29 21:22
29F:推 lianpig5566: 街口也是密码存在伺服器阿... 08/29 22:59
30F:→ lianpig5566: LINE Pay也是密码存在伺服器阿 08/29 22:59
31F:推 spirit119: 欧付宝也是存在伺服器上阿 08/30 04:09
32F:推 Hsieh0709: 小弟猜应该是用 hash functions 的方式加密过吧 因为是 08/30 06:12
33F:→ Hsieh0709: one way 不可逆 也不用担心明码存在伺服器 但实际他 08/30 06:12
34F:→ Hsieh0709: 们怎麽实作我也不知道 只是猜的XD 资安部分还是要有公 08/30 06:12
35F:→ Hsieh0709: 正第三方来检验比较安心QQ 08/30 06:12
36F:→ Hsieh0709: 不知道乱try失败的异常交易纪录 有没有锁住机制 不然真 08/30 06:15
37F:→ Hsieh0709: 的蛮危险的 08/30 06:15
38F:推 mangogreen17: 看了是我误会了 08/30 12:38
39F:→ mangogreen17: 只记得指纹辨识的资料只存在手机 不存於伺服器XD 08/30 12:38