9 декабря 2012 г.

В роли подопытного кролика

Очередной раз пришлось выступить в роли тестировщика при проверке комплексного функционирования сервисов.

Некоторое время тому назад заплатил за Стрим сразу за несколько месяцев - чтоб не мучаться каждый месяц. Все и было нормально. До сегодняшнего утра, когда выяснилось, что МТС в 3 часа ночи прекратил предоставление услуги.

Ладно, я же как-никак сколько-то продвинут. Через телефон с планшета захожу на dom.mts.ru. Мобильная версия сайта. Добираюсь (довольно быстро, надо сказать) до оплаты. Сертификат SSL недействителен. Хорошо, будем считать, что доверяю. Ввожу данные карты, жму "Далее", жду. Браузер дает ошибку соединения. Платеж не проходит.

Пробую зайти на сайт банка. Соединение https сбрасывается. Пробую другой банк. Та же фигня.

Хреново.  Попробуем с телефона. Отключить планшет. Вызвать браузер. Что это? Зачем мне домашняя точка доступа? Мне же нужен 3G. Закрыть браузер, переконфигурировать приоритет подключений в телефоне. Снова браузер. Сайт МТС. Сертификат недействителен. Ввод данных карты. Ура, надо подтвердить SecureCode. Пришло СМС с кодом подтверждения. Ввод кода. Ввод паро... что? У меня длина пароля - 20 символов, а в поле на форме можно ввести только 10? Что за фигня? Попытка не засчитана. Что дальше?

Так, если удалось проскочить через SSL на телефоне, то может, и на планшете теперь получится? Снова на планшет через телефон.

Сайт банка. Заходит. Ввести логин/пароль. Что? Я не могу скопировать логин/пароль из KeePass? Что за криворукий придурок с идеями из каменного века это делал? Ладно, вводим пароль ручками. Вошли. Платежи. Стрим. Сумма. Оплатить. Ввести SecureCode. Всё. Деньги пошли. Письма от МТС о поступлении средств, списании средств, разблокировке подключения, бла-бла-бла.

Итого - справился минут за 30-40. Хреново.

Выводы.

1. МТС. Если вы принимаете платежи и осознаёте необходимость SSL - заведите уже нормальный сертификат. А то как банковские услуги оказывать - это вы завсегда, а на сертификат денег, что ли, нет? Зато мобильный сайт сейчас не подкачал.

2. Билайн, через который я пытался войти в интернет. У вас там что, в 9 утра сержант СОРМ включает? Почему https то работает, то нет?

3. Банки. Не надо запрещать copy/paste в форме ввода логина/пароля. Я потрачу дофига времени, вводя свой длинный-предлинный пароль символ за символом, переключаясь с браузера на KeePass и обратно. И да, для этого мне в KeePass придётся включить режим показа пароля. Если злоумышленнику захочется мой пароль увидеть, он при этом его обязательно увидит. Если не на экране KeePass, то уж на клавиатуре точно.

4. Мастеркард/Виза. Если вы дали мне завести 20-символьный пароль, то уж, пожалуйста, дайте мне его ввести. Ну и см. про copy/paste из предыдущего пункта.

1 комментарий:

Campo комментирует...

Гигант!