seven sisters

Minstrel is visiting me, so I accompanied him to seven sisters in seaford this afternoon. It was my 2nd visit to seven sisters. Nothing new except some photos. Due to lack of planning, we started from churchill square at 2:30 pm and visited seaford in a hurry. When we arrived at the beach of seven… Continue reading seven sisters

cardholder authentication是吃素的

我还没来英国的时候,就听说这里信用卡付款时不需要密码即可完成网上支付,当时我已经用中国的银行卡在中国的网上消费过几次,我觉得中国的银行卡的网上消费方案还是安全的,所以一对比英国的网上消费,我觉得很不可思议,在金融、网络技术领域都走在中国前面的英国,信用卡消费竟然不需要密码?!这个漏洞太大了,太可怕了。 来英国久了以后,我也渐渐接受了这个事实:所有信用卡消费都不需密码,全凭几个security questions保证持卡人的安全(这大概也是英国人和西方国家很看重隐私的一个原因)。 又过了一段时间,Master推出了MasterSecurity,Visa推出了VerifiedByVisa,很多payment service providers开始实施cardholder authentication,顾客在付款时回答完常规的security questions之后还要回答从authentication password里随机挑选的三个字母。如果所有的payment service providers都实施了cardholder authentication,付款不需密码的漏洞在我看来算是堵上了。 最近,paymenet service providers的大哥大之一worldpay宣布实施cardholder authentication,我很高兴,可随即我发现worldpay实施cardholder authentication不够彻底——在顾客在付款时回答完常规的security questions之后,worldpay会给顾客一个选择,也就是说顾客可以option in or out cardholder authentication。这样还不是老方一贴?安全性增强在哪里?不过我猜测worldpay给顾客选择是过渡期的方案,让顾客熟悉之后,最终cardholder authentication全面实施,不会把选择权留给顾客的。 今天,我又发现一件更离奇的事情,我收到了ebuyer一份“订单也被受理”的通知,事情的起因得从上周三我为公司订购一块usb wireless ethernet card说起。我先在ebuyer上选了一款,付款进行到最后一步碰到cardholder authentication,我使用的是公司信用卡,cardholder authentication security password不是我设的,我一看ebuyer的payment service provider要cardholder authentication,我只好终止了付款转而向boardbandbuyers买了一块usb wireless ethernet card。boardbandbuyers的payment service provider不需要cardholder authentication,所以订单一下子就通过了,第二天货也收到了。 如果说worldpay还在过渡期,cardholder authentication可以被option out还情有可原,但ebuyer的cardholder authentication岂不更是形同虚设?明明没有完成全部付款过程,ebuyer仍可以借记cardholder,这个安全漏洞更大。 作为商家,cardholder authentication的实施给顾客付款制造了一点障碍,似乎对商家不利(比如我的订单从ebuyer逃到了broadbandbuyers),但cardholder authentication的anti-fraud也是为了保护商家。我在这里倒不想进行cardholder authentication的利弊分析,只是觉得cardholder authentication作为一项安全屏障,一旦实施,就应该把它落实到实处。