作者prussian (prussian)
看板MobilePay
标题Re: [请益] Google Pay 被盗加卡
时间Fri Mar 20 03:34:19 2020
※ 引述《ReDmango (公关公司大头目)》之铭言:
: 你完全观念搞错了
: 这篇文讲到两个东西,完全不是合在一起的
: 1.Google 的 Google payment method.
: 1-1.调用 Google Pay 的 Google Pay API.
: 2.Browser 的 Autofill data (Creditcard).
: 2-1.Sync autofill data to Google Account.
: 2-2.W3C 的 Payment Request API.
: 2-3.栏位定义.
: 可以理解一般人或者没有了解过相关 API 的开发者容易混淆
是的,谢谢你同意 Google Pay 对一般使用者来说真的很容易混淆
有几点先说明,
1.
我不小心被你的 auto fill 牵走了。
一开始我没有要讨论 Google 帐号如何在浏览器之间跨平台实现的问题
基本上实体卡号储存在Google 帐号里了,
在哪个平台登入 Google 後可以用都不应该太意外
至於一开始使用者主观有没有想要储存,那是另外一件事
您可以再回去看一遍,
我要说的是
i. Google Pay 信用卡有
a. 储存在手机上的HCE虚拟卡号,和
b. 储存在帐号内的实体卡号
这两种。现在都叫 Google Pay。(*1)
和
ii. Google 先入为主预设
c. 我在手机上输入实体卡号要新增一张虚拟卡到手机里
-> 我一定也想要把实体卡号储存在帐号内
d. 我有将实体卡号储存在帐号里
-> 我一定也想要把实体卡号输入 Google Pay App
等着CVC验证後加一张虚拟卡到手机里
及依此思路设计 App/网页流程的强迫中奖行为。
其中 c. 我已经很久没再发现了,但以前是确实存在的。
有人想试验请回报一下结果,我懒得再生新帐号测试了。
d. 则是现在还存在的行为
使用者当然有选择,只是你很难找到那个开关而已。
你没有说不要就是要,说不要得照地图转108个弯才能达到目的
(修词,拜托不要来跟我吵明明只有 107个弯)
2.
我说的一直是储存「真实卡号」,不是明码。
这年头还存明码应该直接拖出去枪毙吧。
但当 Google 一直说 Google Pay HCE 虚拟卡不存真实卡号好安全时,
我只想使用虚拟卡号在网路上消费,不想再用真实卡号给店家,
这样的想法应该很容易理解吧?
但Google 的生意模式是网路,并不像 Apple 是绑在装置上,
不威胁利诱使用者储存、使用真实卡号,显然会损失很多赚钱机会
这也不是不能理解。但就又恶性循环,
一狗票东西绑在一起都叫 Google Pay,
沟通的时候还要花美国时间确认 --
你现在说的TM到底是哪一个 Google Pay?
*1:其他储值、小额、电信现在也叫 Google Pay 这个就先不管,
两种就已经够混淆了。
所以我说 Google 命名、更名的策略一向烂到爆,
生了几百个儿子又认养了几百个,都不好好养,
一个产品可以改八百次名字,
一旦认定养不活或赚不了钱就马上推出去斩了)
: ----
: 一、 Google Pay
以下树姗。没有想要继续讨论技术细节。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.241.66.198 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1584646461.A.CC5.html
1F:→ rsps1008: 到底为什麽发展成系列文… 03/20 03:50
2F:→ rsps1008: 其实如果你们是要争论 站内信比较适合 03/20 03:51
3F:推 ctes940008: 感应刷卡机当道,手机有NFC刷GP应该没问题。 03/20 04:07
4F:推 greenmiracle: 不懂d是什麽问题 03/20 09:59
5F:→ greenmiracle: 网路上用GP付款都是虚码吧我猜,会自动填入不就auto 03/20 10:01
6F:→ greenmiracle: fill 03/20 10:01
7F:推 greenmiracle: 而开关不就设定里面,比如chrome,进去马上看到同步 03/20 10:09
8F:→ greenmiracle: 字样和符号,管理同步功能资料里面有各式各样要同步 03/20 10:09
9F:→ greenmiracle: 的开关 03/20 10:10
10F:推 mike0608: 不 现在c跟d都没有了 03/20 10:26
11F:→ winsonwu: c和d都没有了吗?是我太久没+新卡了吗XD可是看了我最新 03/20 10:47
12F:→ winsonwu: 的MY乐卡还是有加在帐号里面呀! 03/20 10:49
13F:→ winsonwu: D的问题大概就是实体卡号存着然後GP App就出现此卡然後 03/20 10:50
14F:→ winsonwu: 能实体商店感应实用 那加近App要干嘛?手机网购使用? 03/20 10:50
15F:→ winsonwu: ↑不能实体商店感应使用 03/20 10:51
D 现在还是有的,至少我前天试是这样
加进 App 就是如字面所说,产生虚拟卡後可以实体感应
其实和你直接在 app 上加卡一样,只是它「贴心」地
帮你先从Google帐号复制输入实体卡号作完第一步
接下来的验证步骤和你自己输入一样
手机上的虚拟卡是「可以」在手机上网购的,不限於只能感应
详见下一段
16F:推 greenmiracle: 以前我不知道什麽情况,你们的说法是帐号跟GP可以分 03/20 10:52
17F:→ greenmiracle: 开,不过现在不是就一种「+付款方式」而已了吗 03/20 10:53
18F:→ winsonwu: 就如同原Po说的呀!把卡存近GP是为了虚拟卡号,但存近GP 03/20 10:57
19F:→ winsonwu: 同时,Google帐户的付款方式就会自动存入实体卡号供使用 03/20 10:57
20F:→ winsonwu: 用者自动填入使用,以前叫自动填入,现在都叫做G Pay 03/20 10:58
22F:→ winsonwu: 所以每次GP App加一张新卡,都得主动来这删除 03/20 11:00
23F:推 greenmiracle: 你是说购物网站案GP付款会要你输入卡号? 03/20 11:00
24F:→ greenmiracle: 你到那里删除後GP也会不见吧 03/20 11:01
25F:→ winsonwu: 透过PC 购物网会跳出G Pay但填入的就是实体卡号也就是 03/20 11:01
26F:→ winsonwu: 原本的自动填入,透过手机填入就会带入GP要你解锁 03/20 11:02
27F:→ winsonwu: 这里删除GP里的卡片是不会不见的唷 03/20 11:03
28F:→ greenmiracle: 我刚才在MOMO用GP付款,就选卡然後验证,也没有田卡 03/20 11:03
29F:→ greenmiracle: 号 03/20 11:03
30F:→ winsonwu: ↑指上面的连结 03/20 11:03
31F:→ winsonwu: 我指的填入卡号是指有开启自动填入的方式,而非购物网已 03/20 11:06
32F:→ winsonwu: 和GP做连结的方式 03/20 11:07
33F:→ ReDmango: …你还是完全没搞懂R 03/20 11:08
34F:推 greenmiracle: 你是说填卡号会有自动填入的跳出来是吗 03/20 11:10
35F:→ winsonwu: 是说 MOMO用GP付款 那也是实体卡号没错呀 03/20 11:11
36F:→ greenmiracle: 那个是浏览器的范畴吧,一样设定同步那边就可以关掉 03/20 11:11
37F:→ greenmiracle: 了 03/20 11:11
38F:→ winsonwu: 对自动填入可以关掉,但MOMO选择GP付款送出去的也是实体 03/20 11:13
39F:→ winsonwu: 卡号而非像MOMO透过手机选择GP直接带入GP App的虚拟卡号 03/20 11:13
40F:→ ReDmango: 我的文都完全讲清楚了,这样还是不懂的话,算了XD 03/20 11:13
41F:推 greenmiracle: 还是有什麽限制,让虚拟卡号不能用在网购 03/20 11:15
42F:→ winsonwu: 是不能用在PC上而不是不能用在网购,这逻辑和Apple Pay 03/20 11:17
43F:→ winsonwu: 不太相同就是 03/20 11:17
是的,如果你的手机上有Google Pay虚拟卡,其实是可以网路交易的。
一般人最常用到的应该是高铁的 T-Express app
这是没有经过浏览器的方式,App 直接使用 Android APi
而在浏览器里面
「在 Android 上」+「用 Chrome」+「有支援的购物网站上」
Google Pay 也是可以用手机上的虚拟卡交易,这种方式完全不需要实体卡号
也不用实体卡号存在 google 帐号里,让Google随着你的登入在各处到处同步。
是虚拟卡号只直接存在你的手机里跟着你跑,再於网路上使用
所以如果你的 Google 帐号有存实体卡号,手机上也有虚拟卡,
手机 Chrome 用 Google Pay交易时,其实可以一次看到两种不一样的卡片
有空晚点来补图
44F:→ greenmiracle: 我刚才MOMO付款也看不到卡号的资讯所以不知道真实虚 03/20 11:17
45F:→ greenmiracle: 拟 03/20 11:17
46F:→ winsonwu: 会出现尾四码,不然怎选择卡片 03/20 11:18
47F:→ greenmiracle: 噢我没PC也不能测试 03/20 11:18
48F:推 greenmiracle: 那用电脑在购物网站购物可以用apple pay吗 03/20 11:44
49F:推 jtch: 要用mac 03/20 12:17
Mac 的 Apple Pay 是因为 Mac 自己有安全元件,可以存放虚拟卡号。
这时和在iphone 里存虚拟卡号是一样的,每个装置都要分别加卡
Google 无法在 PC 或 Mac 上搞 HCE, 所以只有相信我大神谷歌的裸奔方式可以用
※ 编辑: prussian (36.230.90.161 台湾), 03/20/2020 12:44:29
50F:推 doom3: 网页版G PAY要公钥跟私钥才能解密卡号阿 这也叫裸奔吗 03/20 13:14
51F:→ prussian: 有虚拟卡可用之後我就不想一个实体卡号打天下了啊,这 03/20 13:20
52F:→ prussian: 很难理解吗? 03/20 13:20
53F:→ prussian: 相较於Apple 强调不会在伺服器记录个人资讯,Google 一 03/20 13:32
54F:→ prussian: 直都惦惦,条款的使用范围还愈开愈大 03/20 13:32
55F:推 greenmiracle: 应该说Google加卡方式都会储存实体卡号,只不过GP有 03/20 16:25
56F:→ greenmiracle: 特殊功能就是跟银行验证产生虚拟卡号,你说在帐号的 03/20 16:25
57F:→ greenmiracle: 卡号会复制一份到GP App上,这样理解怪怪的 03/20 16:25
58F:推 greenmiracle: 上面有说电脑网购用GP付款不能虚拟卡号,只能用实体 03/20 16:39
59F:→ greenmiracle: 卡号,这样可以解释Google为什麽要储存你的实体卡号 03/20 16:39
60F:→ greenmiracle: XD,Mac可以用虚拟卡号付款我想因为是自家产品可以 03/20 16:39
61F:→ greenmiracle: 这麽弄 03/20 16:39
62F:推 greenmiracle: 至於实体虚拟卡号让你选我倒是没看到,他是显示实体 03/20 16:47
63F:→ greenmiracle: 後四码让你选卡,如果没验证过的卡下方会显示卡号会 03/20 16:48
64F:→ greenmiracle: 让商家知道的提示,我开启电脑版浏览器则是全部的卡 03/20 16:48
65F:→ greenmiracle: 都会显示提示,这表示电脑不能用虚拟卡号 03/20 16:48
66F:嘘 ReDmango: 你真的不要再继续用错误知识误导人了… 03/20 21:00
67F:→ ReDmango: 绿大别被误导了,你可看到真卡号末码,不代表商家就行 03/20 21:03
68F:推 greenmiracle: 我表达不太好,其实我也是这麽认为,末四码是选卡用 03/20 22:18
69F:→ greenmiracle: ,没出现我上述提示就表示用虚拟卡号 03/20 22:18
70F:推 LADKUO56: 商家应该都是收到Token而已 实体卡号只有google或者是 03/20 22:40
71F:→ LADKUO56: 发卡行才知道 03/20 22:40
72F:推 mike0608: d才不会主动加 而是你要自己去按加入才有好吗? 03/21 01:19
73F:→ luis1056379: 你的裸奔论是不是少一点了 每一次要用GP的时候都要 03/21 17:42
74F:→ luis1056379: 经过Google伺服器 照你这个逻辑 那你应该这辈子都不 03/21 17:42
75F:→ luis1056379: 能线上购物欸 03/21 17:42