×

Loading...
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。
Ad by
  • 最优利率和cashback可以申请特批,好信用好收入offer更好。请点链接扫码加微信咨询,Scotiabank -- Nick Zhang 6478812600。

tap本身不关心你用的是什么卡,

它只提供一个交易过程。过程中是卡号,交易金额,交易时间。你debit也是这个过程。这些pay增加了一步是,生成一个伪token,然后把交易金额,时间做成JSON,然后用ECC(椭圆曲线)把存在你pay里的私钥对字符串JSON的hash做签名(现在都是SHA2哈希,安全度高)。然后pos机依然和往常一样送到银行交易系统,交易系统送给debit银行,或者信用卡银行,然后这些机构会看卡号,如果发现是伪token, 则会到数据库做比对,然后关键的一步,用ECC(椭圆曲线)的公钥验证字符串的SHA2的签名。签名确认后,再验证时间,如果目前时间超过交易时间5分钟,就deny,无效。如果卡号是真的卡号,则说明是普通信用卡chip,则只对比密码。然后把通过与否告诉POS机,POS机其实不知道你用的是啥。当然最新的pos机会识别出来,可以做大额交易。但是大量的商家很小气,目前还在用20多年前的pos机,所以只能支付到$250封顶。
Report

Replies, comments and Discussions:

  • 枫下家园 / 我爱我车 / 刚才看到一个人车又被偷走了,Denison @middlefield,偷车的技术真高超
    • 你看到了?没阻止没报警?
      • 我看到的一个人发布信息说自己的车被偷走了,不是我看到车被偷了
        • 哦,我是说呢。大白天被偷?
          • 一般都是凌晨3-4点钟,很多车他们通过特殊信号处理就能把车打开启动开走
            • 不是特殊信号处理,是钥匙放大器,一个人跑到你门口去读钥匙信号,另一个站在车旁边把放大的信号给车。 +2
              • 先进,技术上不能赌上这个漏洞吗
                • 车被偷掉了,你会再买一辆,给社会贡献GDP。 +1
                  • 车被便宜卖到其他国家等于给全球做贡献
                  • 正是!所以车商看到你车被偷开心死了,因为你还要买车。
                • 不用无钥匙进入,和无钥匙启动的车。但是消费者看到要用钥匙发动,按键开门的都嫌麻烦,非要无钥匙这种很容易被偷的。有时候只能说:又由自取。
                  • 设置上手动密码,指纹,脸扫等一起,这些都不难
    • 好车才有人偷 +1
      • 没错,全是好车新车,旧车没有人要X没有钥匙也打不开
    • 日本车?据说一个人今年夏天工作用的皮卡被偷报案,警察说那半个月丢车报案有500起
      • 啥车都有偷的,看视频一辆本田奥德赛也被人轻易就打开了
      • 丢车的是东北人吧?
    • nextdoor上有人半年丢了两辆RAM,家里都装了5个摄像头,第二辆4号偷掉的,上面装了3个tag, 自己定位到藏车的地方,叫警察去抓警察不出动。他家的车是残疾人开的有一些辅助装置,换一辆很麻烦的 +1
      • 偷车的和赖房客都是弱势群体,生活苦难,如果抓了,赶走了,最后还是政府埋单,这档子事政府精的很,有好车有房子的都不是穷人,不会起来闹事的 +2
        • 穷人开手动挡破车 小贼都不会开
      • 警察为什么不出动呢?把这情况和保险公司说了吧?
        • 他家人自己偷回来的,目前正在发起petition让政府有所作为. 20年前我一个同事的车被盗,他在Yonge/Steels那个茂看到了自己的车,叫警察抓,警察都没有抓人,这就是加拿大警察。 +3
          • 这家子厉害! 警察这都不管,太懒了吧。 +2
            • 加拿大警察,这是传统。多少年前就是这样了。 +2
              • 偷车不算偷,算窃 +1
          • 没有另一把钥匙开走它?
        • 有保险公司兜底儿,警察也不愿管(大概率有枪危险 或 大水冲了龙王庙可咋办?)
          • 基本险(法定要买的那种)不包盗窃险的。
    • 愚蠢的设计,漏洞太大。和信用卡一样,应该结合个人密码。 +1
      • 信用卡一定要联网才能用的, +1
        应该每次都输入密码,经常不需要输入密码,以前还根本没有密码这几年才加的,靠信用维持,盗窃了,信用卡公司不亏钱吗,这设计也是怪了。我猜想一个原因就是如果总是需要密码就和银行卡一样了,别人都不会信用卡了,就是提供方便,宁愿自己承担些风险也得把生意拿到手。像微信支付支付宝这种方式多先进多简单啊,只有从钱上考虑才能想通
        • 时刻联网的后市场警报器早就有了,这个是偷车的都无法解除的加装设备。很多人只是不想花这个钱罢了。
          • 还有不用长期花钱更简单,每家每户围上铁栅栏,这样的话,加拿大就比中国可惨多了
            • 问题是,车不是总在铁栅栏里面。想象一下,你去MALL里转一圈,出来车没了的惨状。
              • 让坏事变好事,到那个地步就简单了,大家都开始移民中国了
        • 用信用卡一定要用goolge pay, samsung pay和apple pay这样的东西,才安全。这些pay都是利用椭圆曲线加密并且用伪卡号来交易的,理论上賊是偷不了的。
          • 这些pay和微信支付一样吧,不是信用卡吧
            • 你搞错了,这些pay是模拟信用卡tap的,用的是伪token,非常安全,理论上到目前为止还没有被偷的案例.当然现在的终端机如果高级的也会认出是这些pay,可以让你几十万$支付都没问题。
              • 有点意思,没有用过也不了解如何操作的,和信用卡一样先消费再还钱的模式?
                • tap本身不关心你用的是什么卡, +1
                  它只提供一个交易过程。过程中是卡号,交易金额,交易时间。你debit也是这个过程。这些pay增加了一步是,生成一个伪token,然后把交易金额,时间做成JSON,然后用ECC(椭圆曲线)把存在你pay里的私钥对字符串JSON的hash做签名(现在都是SHA2哈希,安全度高)。然后pos机依然和往常一样送到银行交易系统,交易系统送给debit银行,或者信用卡银行,然后这些机构会看卡号,如果发现是伪token, 则会到数据库做比对,然后关键的一步,用ECC(椭圆曲线)的公钥验证字符串的SHA2的签名。签名确认后,再验证时间,如果目前时间超过交易时间5分钟,就deny,无效。如果卡号是真的卡号,则说明是普通信用卡chip,则只对比密码。然后把通过与否告诉POS机,POS机其实不知道你用的是啥。当然最新的pos机会识别出来,可以做大额交易。但是大量的商家很小气,目前还在用20多年前的pos机,所以只能支付到$250封顶。
                  • 那就是说只要连上网实时验证信用卡不信用卡没有啥关系,反正中间数据加密了,后台多端程序处理一下完事了,既然有网络,用手机支付就够了
                    • 没网络也要用手机支付,被盗卡的概率基本为0.
                      • 没有网络小钱可以,只要卡里有,程序先扣下,大单连续消费很多单怎么办
                        • 小钱大钱和有没有网络一点关系也没有,
                          和商家是否有升级的POS有关,必须是新的digital pos能认各种PAY的pos才能交易超过$250的交易。你去商场里的大商店去看看,比如微软,苹果旗舰店,都是可以用pay交易几万$的。当然连续超过3个交易就必须上网renew token了,存着的token都耗完了。。。
                          • 我登录到几个地方同时用行不行?一个在多伦多,一个在温哥华,还一个在蒙特利尔
                            • 你怎么可能在那么短的时间在不同的地方使用pay? 是手机上的pay在POS上嘟一下tap啊,必须手机贴上去的。就是超音速飞机也做不到啊。理论上它不管你在哪里tap的,就是南极只要有pos就可以。
                              • 西方还是靠的是信用,刷了多次不还钱,信用就破产了
                                • 我在讨论的是交易过程是否安全,和你说的信用问题是2回事,这个pay是连debit都包括的。
                                  • 对,我讨论的是信用诈骗,你讨论的是技术安全
            • 哈哈哈,管家暴露了
              • 暴漏啥了,暴漏了无知还是知识丰富?还是偷车大盗?
                • 开个玩笑啦,我默认rolia 都是做IT或者 EE,对日常的应用都很熟悉。
                  • 这里都是老年人了哪里有用google pay,apple pay的,楼上的小zheng是典型的年轻人啊
                    • 现在老年人也挺爱学习的啊,你不是还知道个微信支付吗?
                      • 微信那个简单,有钱才能花,没有钱花不了,apple pay啥东西像信用卡一样,西方骗子多,先吸引你花钱后付账,然后到信用上去,再和银行卡,贷款连起来
                        • 你去商场不用信用卡的?
                          • 用,但不是遭遇骗子很多次了吗?这里不用也没有办法
                            • 你是去实体店商家使用信用卡被盗还是网上购物被盗?
                              • 不知道具体哪里出的问题,连续两次
                                • 所以你这种情况更需要手机支付。
                                  • 我支持手机支付啊
                                    • 你不是还没用上么,赶紧设置下呗
                                      • 等有促销了再开始,花钱的事着什么急
                      • 微信支付,
                        apple pay, google pay,etc理论上没有任何差别,就是用密钥做交易JSON的数字签名罢了,然后对方不管是微信,还是银行,信用卡机构只是用来确认这笔交易的确是你同意的而不是商家或者小偷伪造的,原理都是一模一样。目前所有的交易系统,包括银行转账,天朝的各种U盾,都是清一色使用ECC(椭圆曲线)非对称加密算法来签名的,安全等级极高,ECC(椭圆曲线)是各国所有军事机构标准的非对称加密方法了。
                    • 地主说小Zheng 是典型年轻人,我看他也4,50了,好像是做IT的?我是比较stereo type ,默认男网友都是这样的😅
                      • 绝对40以下
        • 信用卡是互联网发明之前就发明的东西,那个时候没有办法实时验证
          • 该与时具进了,否则等着被淘汰吧
          • 用各种pay付信用卡是用非对称椭圆曲线做签名验证的,根本不用实时验证,理论上脱网支付都是非常安全的,当然脱网支付会消耗备用token好像只有3个token可以用,如果tap超过3个就要连网刷新token了。
            • 学习了!
              • 所以在这个信用卡,debit盗窃猖獗的年代,出门我都是清一色google pay特别是那些看起来shaddy 的商家那里,我都是拒绝把卡插进去的。
                • 我一直知道用 Apple pay 很安全,认为Google 差不多。不过不清楚原理,看了你的分析,刚刚找了个视频看看学到很多,谢谢!
                  • 是的,非常安全。并且这类pay的密钥都是放手机里的,而手机在android 9以上都是AES强对称加密的,理论上你要是密码忘了这辈子都别想再用这个token付钱了,哈哈。
                    • 理论上我登录任何需要密码的网站都可以用类似的方式?
                      • 用的是这个AES,
                        但卵用没有。因为无钥匙进入的那个钥匙在无时不刻不停的广播你的AES密钥,所以賊只要拿放大器走到你窗口就可以拿到密钥了,所以我的无钥匙进入的钥匙都是严格放在faraday袋里的,严格防止aes密钥广播泄漏。并且n年前的车用的AES密钥强度极低,是64位的好像,也就是说賊用几个计算机cluster几小时也可以破解你的密钥偷走。
                        网站密码不用aes这类的加密,用的是sha2哈希算法。因为网站为了安全不储存你的密码的,只保留hash值,就是为了安全,万一网站被黑,光拿到hash值是没用的。所以网站你密码忘了是不可能找回来密码的,只能重新设一个,当然也不能用旧密码了,因为会出现hash碰撞。
                        • 如果手机打开车锁启动的话,是不是用假token技术上不会太难实现,安全性提高很多。
                          • 你也要把钥匙的无线广播关掉才行,否则小偷直接偷你钥匙信号。手机打开都是走https的,理论上很安全。
                            • 对,说的就是用手机开。我时不时就会找不到钥匙,手机没这个问题。
    • 不久前不是说约克警局刚刚破获了盗车集团,起货了据说几百辆被盗车辆?
      • 这事基本上就是人拘留几天又放了出来了,然后开始了下一波盗车活动直到再被抓获,反正车已经被运往海外了 +1
        • 12月21日报道:抓了51人,起获215 辆被盗车辆,15把手枪,1支步枪,以及其他危险品……
          • 老百姓主要关心这波人去向 +1
            • 肯定不会消失,继续作案,警察加班破案,明年又破案了,纳税人感恩戴德,警察拿加班费,小偷卖车赚大头,保险公司赔钱,失主换新车,最后还是所有车主,也就是纳税人陶钱
              • 所以买了toyota, lexus的车,一定要停车库,现在dealer都和偷车集团联手了,你刚买了车,sales就把你的家庭地址告诉了盗窃集团。上次连service ontario的工作人员都泄露了大量toyota,lexus车主的住址。。。工作人员是某南亚大国来的,懂的大家都懂。
                • 旧款没所谓 比如手动挡Hilux 或陆巡 右舵😂
                • 看这篇破案的新闻,HONDA CRV是盗贼最喜欢的车型。
              • 全国人民一片祥和的气氛,皆大欢喜 +1