iPhone - Apple reinvented the phone ....

ZVIRATKO --- --- 14:01:11 27.7.2023

HERKULES: nemam tuseni. Ja pouzival to MPLA protoze nic jineho nebylo a kdyz se tam objevilo Apple Pay tak jsem to nejak neresil a doufal v to, ze tim je to aspon trochu lepsi nez predtim...

excerpt z me minianalyzy pred lety:

http://www.parkujvklidu.cz/ (doporucuji kouknout se na navody pro nastaveni a pouziti aplikace)

Kdyz potrebuje clovek zaplatit za ZPS pomoci tzv. "mobilni aplikace" (ve skutecnosti web) tak ma pouzit tento odkaz
Onstreet selector
http://mpla.cz/praha
- neni HTTPS

Objevi se na https://ke-utc.appspot.com/static/select.html?label=PRAHA
- hostovane na Google App Engine - na tom v zasade asi nic spatneho neni, nevim jestli v podminkach treba zpracovavani kreditnich karet nezakazuji...

Jak web funguje

Do webu se naplni RZ vozidel a cisla kreditnich karet ktere se pak daji pouzit pro placeni
Cisla kreditnich karet se ulozi do HTML5 localstorage "zasifrovana" (haha), napr.:

cislo karty 5313341810614817
exp 11/22
cvv 333
heslo aaaa

a tohle je v localstorage
creditcard {"expMonth":"11","expYear":"22","ciphered":"531334728009950481"}

prvnich 6 cisel z kreditky je tam v plain
predposledni 3 cisla jsou tam v plain

JS co to pocita prikladam

Samotna platba vypada napriklad takhle:
curl 'https://cs-module-dot-secure-pay.appspot.com/api/cs/sale/5223704748429537060/auth' \
-XPOST \
-H 'Content-Type: application/json' \
-H 'Referer: https://secure-pay.appspot.com/static/prod/cs_unlock.html?id=5223704748429537060%27 \
-H 'Accept: */*' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/603.1.5 (KHTML, like Gecko) Version/10.0 Safari/602.1.50' \
-H 'Origin: https://secure-pay.appspot.com'/ \
--data-binary '{"brand":"MasterCard","pan":"5348207846692227","year":"22","month":"11","cvccvv":"333","email":"zviratko@zviratko.net"}'

tzn. pres Google App Engine projede v plainu cislo kreditky, CVV kod, platnost, whatever...

Na webu http://www.mpla.cz/bezpecnost/:
Na vývoji zabezpečení se mimo jiné aktivně podílel i přední český kryptolog Vlastimil Klíma.

Nejvetsi WTF co jsem nasel je ovsem tohle:
Payment card setting
https://secure-pay.appspot.com/static/test/card_settings.html?card=1

Tou kreditni kartou jsem prave zaplatil za parkovani na ostrem webu... :)

HERKULES --- --- 13:57:57 27.7.2023

1 odpověď

ZVIRATKO: Jo. A je easypark lepší? A když ne, tak čím platit parkování? V Praze, ale nejen tam.

HERKULES --- --- 13:56:59 27.7.2023

ZVIRATKO: Jo, toho jsem si vědom, i toho, že číslo karty je virtuální. Ale s touhle před autorizací jsem se u toho ještě nesetkal.

ZVIRATKO --- --- 13:56:38 27.7.2023

KASUMI: to te platej za to, za co me u nas v podstate vyhodili... :) zavidim ;-D

KASUMI --- --- 13:55:53 27.7.2023

1 odpověď

ZVIRATKO: Jako vztekat se nad tim, ze nekdo v mym oboru dela neco jako patlal (kdyz se me to nejak dotyka)

ZVIRATKO --- --- 13:55:21 27.7.2023

1 odpověď

KASUMI: jako rozebirat jak funguje MPLA nebo co ted myslis? :-) Jeste mozna najdu mail co jsem k tomu sepisoval kamaradovi kryptologovi, fakt smutny cteni...

ZVIRATKO --- --- 13:54:23 27.7.2023

1 odpověď +1

HERKULES: Apple Pay je co se tyce platebni site jen "obycejna" tokenizovana karta, takze umi i predautorizace, blokace a podobne. Lepsi je to jen v tom ze pri platbe rovnou probehne i provereni a ze je to dost zero-trust co se tyce zneuziti cisla karty a podobne. Tusim, ze kazda transakce ma vlastni cislo, ktere nejde pouzit na nic dalsiho (ale pokud probehne predautorizace na milion $ tak to pak asi ten samy obchodnik z toho sameho "terminalu" muze cerpat bez tebe, tak jako u jine karty...)

KASUMI --- --- 13:53:17 27.7.2023

1 odpověď

ZVIRATKO: Ja mam tohle zase ve svy profesi 🤷‍♀️:)

ZVIRATKO --- --- 13:50:21 27.7.2023

1 odpověď

KASUMI: blazena nevedomost. Ja svoje moralni dilema jestli jim sverit svoji kartu vyresil tou jejich testovaci a pak vlastni virtualni... :P

KASUMI --- --- 13:49:28 27.7.2023

1 odpověď

ZVIRATKO: Jo. Tak tohle ja jako prosty uz nevidim:)

ZVIRATKO --- --- 13:44:00 27.7.2023

2 odpovědi

KASUMI: MPLA je banda podvodniku co tvrdili ze jim kontrolu kryptografie delal Klima a ten s nimi pritom byl jen nekde na kafi, sifrovani delali Javascriptem do Cookies kde byla cela karta, cele to bylo nastavene blbe, na testovaci verzi webu meli ostrou kreditku a cele to funguje spis jen nahodou.

ZVIRATKO --- --- 13:42:13 27.7.2023

HERKULES: podobny scenar jsem resil u Curve, kde jim jeden cas nefungovaly SMS, pak to vypli a pak nebylo jak tu kartu pridat jinak nez skrz aplikaci, ktera na macOS neni. Docasne reseni bylo nahrat kartu do hodinek a pouzit Apple Pay v hodinkach, nevim jestli se to nekde musi zapnout, me proste pri placeni vyskocilo Apple Pay na hodinkach...

HERKULES --- --- 13:37:40 27.7.2023

KASUMI: No hlavně to, že končí a bude jen ta easy park. Ale moc úder friendly prostředí mi to nepřijde. Ale chápu, že to je věc každého.

KASUMI --- --- 13:36:07 27.7.2023

2 odpovědi

HERKULES: Co je na mpla blbe? Mne to prijde velmi user friendly - mam tam ulozeny auta, jde to pres apple pay, tze instantni..

HERKULES --- --- 13:34:04 27.7.2023

1 odpověď

A ještě jeden dotaz k Apple pay, i když ne úplně na iPhone ... tak se omlouvám ...

Je tu někdo, kdo má účet u Reiffky, jejich kartu VISA a jde mu jí přidat do Apple pay na MACOS? do telefonu i hodinek to bylo bez problémů, přes bankovní aplikaci v telefonu. Ale do ntb jí zaboha nemůžu přidat, píše to, že jí chce ověřit u vydavatele karty a pak to vyhodí chybovou hlášku, že není žádná metoda pro ověření ....

HERKULES --- --- 12:00:43 27.7.2023

1 odpověď

KASUMI: Toho se asi nebojím.
Jen mě to překvapilo, že to jde.

Ale možná mi to trochu i vadí. I to, že nedostanu účet a platba neproběhne hned, ale až druhý den a za celkové parkování ten den.
A že každá platba se musí autorizovat, dostanu hned účet a je hned stržena. Je to takový čistčí.

To že ta mpla aplikace bylo děs, o tom žádná

KASUMI --- --- 11:55:23 27.7.2023

1 odpověď

HERKULES: Ja jsem tu jejich apku pouzivala v italii a bylo to bez problemu, zadny vysati uctu se nekonalo :)

BINARY_PARANOIC --- --- 11:34:45 27.7.2023

OTAKAR: teoreticky to jde, viz https://support.apple.com/cs-cz/HT208510

„Můžeme vám sice pomoct i s odstraněním zámku aktivace ze zařízení, která používají původní Apple ID zesnulého blízkého, jeho iPhone, iPod a iPad však bude nutné obnovit do továrního nastavení a teprve potom je bude možné používat s jiným Apple ID. Myslete na to, že zařízení uzamčená kódem jsou chráněná šifrováním a Apple nedokáže kód odstranit bez toho, aby zařízení vymazal.
Než vám Apple pomůže získat přístup k účtu zesnulého uživatele, bude po vás z bezpečnostních důvodů žádat právní dokumentaci, kterou potom musí ověřit. Obvykle se jedná o úmrtní list, ale v některých případech může být potřeba soudní příkaz nebo jiná dokumentace. Požadavky se liší podle země a oblasti. Hluboce soucítíme s pozůstalými a snažíme se žádosti vyřizovat tak rychle, jak je to možné.“

Prakticky asi dost možná problém bude, mno, viz BRUSINKA.

HERKULES --- --- 11:32:40 27.7.2023

2 odpovědi

Praha má novou app na placení parkování. Resp mpla bylo koupeno nějakou easypark.

A zajímavá věc, proto to sem píšu. Nastavil jsem si tam že budu platit Apple pay, chtělo to hned takovou tu zkušební platbu za nula (jako bývá u ověření karet), což mě u AP překvapilo, bývá to jen u karet a od té doby nemusím applepay ani autorizovat. Jen kliknu na parkuj a je hotovo. Žádná autorizace platby. Ani u žádného dalšího parkování. Dost zajímavý. Je to vůbec v pořádku?

ZVIRATKO --- --- 10:36:41 27.7.2023

KAZATELL: mozna bude, bude to proste jailbreak obaleny tim ze to preskoci activation lock. Ale reseni je to osklive a docasne.

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?