sofort支付安全吗？

分分秒秒

德国有一个 sofort 在线支付 （sofort gmbh)，有人用过吗？类似于国内的支付宝，据说比较流行

要给国内寄东西，通过一个中国的物流公司来邮寄，支付方式就是用 sofort 这个公司来弄，而且只有这个

结果点击支付连接，浏览器自动跳转到 sofort公司页面，然后它竟然叫你填入你的online bank的账户和登陆密码！！说是检查你银行账户情况，比如存款金额是否足够，然后再扣钱...

我瞬间诧异了，当你提交了表单之后，你不就相当于把你的银行账户和密码告诉这个公司了吗？告诉了除了银行和你自己之外的第三方，而这第三方不是银行，不是政府机构，只是一家公司！这个第三方获得你的银行密码，可以任意的进入你的账户，查看你的银行账户情况，甚至做所有的事情！！

我操，这他妈也太不安全了吧？好像很多人往国内邮寄都走这个物流公司，很多人一定也用过这个sofort转账，那你们的银行账户和密码已经泄露给别人了....

有人用过这个sofort吗，你们认为呢？

不明觉厉

分分秒秒 发表于 2018-5-8 12:39
其它的还好，但这个是你点击之后，提交页面，你这个页面上所有填写的信息被发送到这个页面的服务器端，也 ...

楼主你既然已经承认不懂API，就不要做这样的推断 ”提交页面，你这个页面上所有填写的信息被发送到这个页面的服务器端，也就是这个公司的主机上，这个公司的员工可以轻易看到每个人的账户和密码.....这他妈太直接太危险了“

银行给第三方支付方式提供API，本质上只是一个接口，当你选择了银行之后，以Sofort的情况来看，他是直连你的银行的，接下来的通信时你和银行之间的，和Sofort无关，最后支付成功，返回给Sofort一个流水号而已。

银行API在中国是一个很成熟的产业，又分为银企直连或者平台直连。想讲清楚也不容易。

最后还是说，不放心你就别用，真的，去银行填单子挺好的。

不明觉厉

首先说我的结论，安全。可以放心用。
有几个细节你没注意到，第一，跳转到输入用户名和密码之前，首先要你选你的银行，你选了你的银行之后，其实页面是跳转到了你的银行的网银页面，而非收款方或者Sofort的。这里其实你还是在对你的银行授权，使用你的银行密码，而不是把这个密码给而非收款方或者Sofort。第二点，你注意页面是https而不是http

最后说一句，如果楼主不放心，就不要用。对自己不熟悉的东西保持警惕是好的。

免责声明：仅仅是基于本人的理解，不构成任何实质性建议，对由此产生的任何后果不负责。

irvine

国内的网银其实也是一样的，都需要输入用户名和密码。

我也不知道为什么会这样设计，但是这个确实是正规支付手段。

moonlvy

天天用啊。

转钱之前，确认确实要转就好了

hackvae

用了好几次木问题！

分分秒秒

不明觉厉 发表于 2018-5-8 10:09
首先说我的结论，安全。可以放心用。
有几个细节你没注意到，第一，跳转到输入用户名和密码之前，首先要你 ...

h  t  t  p   s://w  w  w  sofort   .  com/payment/multipay/go/login

有点扯，填入银行之后，转入的这个让你填银行账户和密码的页面，还是 sofort公司的页面，而不是银行的页面 (就是上面这个页面+网址）！ 或者你们转到自己银行的页面了？ 我的反正是这样的！！

这样你在这个页面提交的任何信息，sofort公司后台都一览无余，相当于把你的账户和密码直接告诉了这个公司，这个公司的管理员，或者员工可以随意的进入你的online银行账户，就跟你自己使用账户一样！

分分秒秒

hackvae 发表于 2018-5-8 10:37
用了好几次木问题！

你账户和密码都泄露给人家了

没问题那是人家没搞你，你泄露给的不是银行，不是政府机构，而只是一个公司！

银行密码只应该由你自己本人和开户银行知道，不应该让任何第三方知道！

一个公司算个屁，哪天破产了，都没地方找去，而你银行密码他们竟然知道，这太危险了

abcdef123

没用过，但如果是你说的这种情况，在 sofort.com的页面输入银行账号/密码，那肯定是不可以的。正常流程应该是跳转到银行页面输入银行账号/密码。

呱唧呱唧

Fazit zur Sicherheit der Sofortüberweisung
Technisch gesehen ist das Verfahren der Sofortüberweisung sicher. Kann man dem Anbieter glauben, werden eure Zugangsdaten nicht gespeichert und nur zum Zeitpunkt der Transaktion genutzt, weswegen ihr sie auch jedes Mal wieder eingeben müsst.

Der Widerstand der Banken liegt mit Sicherheit auch zu einem guten Teil daran, dass verschiedene Bankinstitute sich zum Bezahldienst Giropay zusammengetan haben und somit in direkter Konkurrenz zur Sofortüberweisung stehen.

Vermutlich versucht der Dienstleister tatsächlich, einen funktionierenden, einfachen und seriösen Weg zur Onlinezahlung anzubieten. Die erhobenen Daten beschränken sich dabei – wiederum vermutlich – auf grundlegende und vorgeschriebene Angaben. Allerdings ist der mehr als mangelhafte Umstellungsprozess der Webseiten wenig vertrauenserweckend. Hoffentlich wird das schnell in Ordnung gebracht!

Quelle:
https://www.giga.de/webapps/klar ... eberweisung-sicher/
https://www.power-datenschutz.de/sofortueberweisung-sicher/

分分秒秒

abcdef123 发表于 2018-5-8 10:53
没用过，但如果是你说的这种情况，在 sofort.com的页面输入银行账号/密码，那肯定是不可以的。正常流程应该 ...

我现在用的这个快递公司，就是转到这个页面上让你填银行账户和密码，我瞬间惊讶了，这在搞什么？

好像很多人都用这个物流，最后结账方式都是用这个sofort， 直接转到 sofort页面，那他们都是直接填密码了吗？不知道他们有没有觉得不安全，太不安全了吧！