PTT推薦

Re: [請益] Google Pay 被盜加卡

看板MobilePay標題Re: [請益] Google Pay 被盜加卡作者
prussian
(prussian)
時間推噓16 推:17 噓:1 →:57

※ 引述《ReDmango (公關公司大頭目)》之銘言:
: 你完全觀念搞錯了
: 這篇文講到兩個東西,完全不是合在一起的
: 1.Google 的 Google payment method.
: 1-1.調用 Google Pay 的 Google Pay API.
: 2.Browser 的 Autofill data (Creditcard).
: 2-1.Sync autofill data to Google Account.
: 2-2.W3C 的 Payment Request API.
: 2-3.欄位定義.
: 可以理解一般人或者沒有了解過相關 API 的開發者容易混淆

是的,謝謝你同意 Google Pay 對一般使用者來說真的很容易混淆

有幾點先說明,

1.
我不小心被你的 auto fill 牽走了。
一開始我沒有要討論 Google 帳號如何在瀏覽器之間跨平台實現的問題
基本上實體卡號儲存在Google 帳號裡了,
在哪個平台登入 Google 後可以用都不應該太意外
至於一開始使用者主觀有沒有想要儲存,那是另外一件事

您可以再回去看一遍,
我要說的是
i. Google Pay 信用卡有
a. 儲存在手機上的HCE虛擬卡號,和
b. 儲存在帳號內的實體卡號
這兩種。現在都叫 Google Pay。(*1)



ii. Google 先入為主預設
c. 我在手機上輸入實體卡號要新增一張虛擬卡到手機裡
-> 我一定也想要把實體卡號儲存在帳號內
d. 我有將實體卡號儲存在帳號裡
-> 我一定也想要把實體卡號輸入 Google Pay App
等著CVC驗證後加一張虛擬卡到手機裡
及依此思路設計 App/網頁流程的強迫中獎行為。

其中 c. 我已經很久沒再發現了,但以前是確實存在的。
有人想試驗請回報一下結果,我懶得再生新帳號測試了。
d. 則是現在還存在的行為

使用者當然有選擇,只是你很難找到那個開關而已。
你沒有說不要就是要,說不要得照地圖轉108個彎才能達到目的
(修詞,拜託不要來跟我吵明明只有 107個彎)

2.
我說的一直是儲存「真實卡號」,不是明碼。
這年頭還存明碼應該直接拖出去槍斃吧。

但當 Google 一直說 Google Pay HCE 虛擬卡不存真實卡號好安全時,
我只想使用虛擬卡號在網路上消費,不想再用真實卡號給店家,
這樣的想法應該很容易理解吧?

但Google 的生意模式是網路,並不像 Apple 是綁在裝置上,
不威脅利誘使用者儲存、使用真實卡號,顯然會損失很多賺錢機會
這也不是不能理解。但就又惡性循環,
一狗票東西綁在一起都叫 Google Pay,
溝通的時候還要花美國時間確認 --
你現在說的TM到底是哪一個 Google Pay?


*1:其他儲值、小額、電信現在也叫 Google Pay 這個就先不管,
兩種就已經夠混淆了。
所以我說 Google 命名、更名的策略一向爛到爆,
生了幾百個兒子又認養了幾百個,都不好好養,
一個產品可以改八百次名字,
一旦認定養不活或賺不了錢就馬上推出去斬了)


: ----
: 一、 Google Pay
以下樹姍。沒有想要繼續討論技術細節。

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.241.66.198 (臺灣)
PTT 網址

rsps100803/20 03:50到底為什麼發展成系列文…

rsps100803/20 03:51其實如果你們是要爭論 站內信比較適合

ctes94000803/20 04:07感應刷卡機當道,手機有NFC刷GP應該沒問題。

greenmiracle03/20 09:59不懂d是什麼問題

greenmiracle03/20 10:01網路上用GP付款都是虛碼吧我猜,會自動填入不就auto

greenmiracle03/20 10:01fill

greenmiracle03/20 10:09而開關不就設定裡面,比如chrome,進去馬上看到同步

greenmiracle03/20 10:09字樣和符號,管理同步功能資料裡面有各式各樣要同步

greenmiracle03/20 10:10的開關

mike060803/20 10:26不 現在c跟d都沒有了

winsonwu03/20 10:47c和d都沒有了嗎?是我太久沒+新卡了嗎XD可是看了我最新

winsonwu03/20 10:49的MY樂卡還是有加在帳號裡面呀!

winsonwu03/20 10:50D的問題大概就是實體卡號存著然後GP App就出現此卡然後

winsonwu03/20 10:50能實體商店感應實用 那加近App要幹嘛?手機網購使用?

winsonwu03/20 10:51↑不能實體商店感應使用

D 現在還是有的,至少我前天試是這樣 加進 App 就是如字面所說,產生虛擬卡後可以實體感應 其實和你直接在 app 上加卡一樣,只是它「貼心」地 幫你先從Google帳號複製輸入實體卡號作完第一步 接下來的驗證步驟和你自己輸入一樣 手機上的虛擬卡是「可以」在手機上網購的,不限於只能感應 詳見下一段

greenmiracle03/20 10:52以前我不知道什麼情況,你們的說法是帳號跟GP可以分

greenmiracle03/20 10:53開,不過現在不是就一種「+付款方式」而已了嗎

winsonwu03/20 10:57就如同原Po說的呀!把卡存近GP是為了虛擬卡號,但存近GP

winsonwu03/20 10:57同時,Google帳戶的付款方式就會自動存入實體卡號供使用

winsonwu03/20 10:58用者自動填入使用,以前叫自動填入,現在都叫做G Pay

winsonwu03/20 10:58https://pay.google.com/ 也就是這裡存入都是實體卡號

winsonwu03/20 11:00所以每次GP App加一張新卡,都得主動來這刪除

greenmiracle03/20 11:00你是說購物網站案GP付款會要你輸入卡號?

greenmiracle03/20 11:01你到那裡刪除後GP也會不見吧

winsonwu03/20 11:01透過PC 購物網會跳出G Pay但填入的就是實體卡號也就是

winsonwu03/20 11:02原本的自動填入,透過手機填入就會帶入GP要你解鎖

winsonwu03/20 11:03這裡刪除GP裡的卡片是不會不見的唷

greenmiracle03/20 11:03我剛才在MOMO用GP付款,就選卡然後驗證,也沒有田卡

greenmiracle03/20 11:03

winsonwu03/20 11:03↑指上面的連結

winsonwu03/20 11:06我指的填入卡號是指有開啟自動填入的方式,而非購物網已

winsonwu03/20 11:07和GP做連結的方式

ReDmango03/20 11:08…你還是完全沒搞懂R

greenmiracle03/20 11:10你是說填卡號會有自動填入的跳出來是嗎

winsonwu03/20 11:11是說 MOMO用GP付款 那也是實體卡號沒錯呀

greenmiracle03/20 11:11那個是瀏覽器的範疇吧,一樣設定同步那邊就可以關掉

greenmiracle03/20 11:11

winsonwu03/20 11:13對自動填入可以關掉,但MOMO選擇GP付款送出去的也是實體

winsonwu03/20 11:13卡號而非像MOMO透過手機選擇GP直接帶入GP App的虛擬卡號

ReDmango03/20 11:13我的文都完全講清楚了,這樣還是不懂的話,算了XD

greenmiracle03/20 11:15還是有什麼限制,讓虛擬卡號不能用在網購

winsonwu03/20 11:17是不能用在PC上而不是不能用在網購,這邏輯和Apple Pay

winsonwu03/20 11:17不太相同就是

是的,如果你的手機上有Google Pay虛擬卡,其實是可以網路交易的。 一般人最常用到的應該是高鐵的 T-Express app 這是沒有經過瀏覽器的方式,App 直接使用 Android APi 而在瀏覽器裡面 「在 Android 上」+「用 Chrome」+「有支援的購物網站上」 Google Pay 也是可以用手機上的虛擬卡交易,這種方式完全不需要實體卡號 也不用實體卡號存在 google 帳號裡,讓Google隨著你的登入在各處到處同步。 是虛擬卡號只直接存在你的手機裡跟著你跑,再於網路上使用 所以如果你的 Google 帳號有存實體卡號,手機上也有虛擬卡, 手機 Chrome 用 Google Pay交易時,其實可以一次看到兩種不一樣的卡片 有空晚點來補圖

greenmiracle03/20 11:17我剛才MOMO付款也看不到卡號的資訊所以不知道真實虛

greenmiracle03/20 11:17

winsonwu03/20 11:18會出現尾四碼,不然怎選擇卡片

greenmiracle03/20 11:18噢我沒PC也不能測試

greenmiracle03/20 11:44那用電腦在購物網站購物可以用apple pay嗎

jtch03/20 12:17要用mac

Mac 的 Apple Pay 是因為 Mac 自己有安全元件,可以存放虛擬卡號。 這時和在iphone 裡存虛擬卡號是一樣的,每個裝置都要分別加卡 Google 無法在 PC 或 Mac 上搞 HCE, 所以只有相信我大神穀歌的裸奔方式可以用

※ 編輯: prussian (36.230.90.161 臺灣), 03/20/2020 12:44:29

doom303/20 13:14網頁版G PAY要公鑰跟私鑰才能解密卡號阿 這也叫裸奔嗎

prussian03/20 13:20有虛擬卡可用之後我就不想一個實體卡號打天下了啊,這

prussian03/20 13:20很難理解嗎?

prussian03/20 13:32相較於Apple 強調不會在伺服器記錄個人資訊,Google 一

prussian03/20 13:32直都惦惦,條款的使用範圍還愈開愈大

greenmiracle03/20 16:25應該說Google加卡方式都會儲存實體卡號,只不過GP有

greenmiracle03/20 16:25特殊功能就是跟銀行驗證產生虛擬卡號,你說在帳號的

greenmiracle03/20 16:25卡號會複製一份到GP App上,這樣理解怪怪的

greenmiracle03/20 16:39上面有說電腦網購用GP付款不能虛擬卡號,只能用實體

greenmiracle03/20 16:39卡號,這樣可以解釋Google為什麼要儲存你的實體卡號

greenmiracle03/20 16:39XD,Mac可以用虛擬卡號付款我想因為是自家產品可以

greenmiracle03/20 16:39這麼弄

greenmiracle03/20 16:47至於實體虛擬卡號讓你選我倒是沒看到,他是顯示實體

greenmiracle03/20 16:48後四碼讓你選卡,如果沒驗證過的卡下方會顯示卡號會

greenmiracle03/20 16:48讓商家知道的提示,我開啟電腦版瀏覽器則是全部的卡

greenmiracle03/20 16:48都會顯示提示,這表示電腦不能用虛擬卡號

ReDmango03/20 21:00你真的不要再繼續用錯誤知識誤導人了…

ReDmango03/20 21:03綠大別被誤導了,你可看到真卡號末碼,不代表商家就行

greenmiracle03/20 22:18我表達不太好,其實我也是這麼認為,末四碼是選卡用

greenmiracle03/20 22:18,沒出現我上述提示就表示用虛擬卡號

LADKUO5603/20 22:40商家應該都是收到Token而已 實體卡號只有google或者是

LADKUO5603/20 22:40發卡行才知道

mike060803/21 01:19d才不會主動加 而是你要自己去按加入才有好嗎?

luis105637903/21 17:42你的裸奔論是不是少一點了 每一次要用GP的時候都要

luis105637903/21 17:42經過Google伺服器 照你這個邏輯 那你應該這輩子都不

luis105637903/21 17:42能線上購物欸