Инструкция по покупке билетов на поезд через интернет

покупаю много в том числе и через Палку (PayPal) и в разных странах Мира.

Платежи через PayPal поддерживает все-таки намного более ограниченное число продавцов, чем через обычную карту.

На eBay поддерживают все!
И проверенные магазины, хорошие, успешные, работают обязательно через неё.
Ну а картой, на прямую, только тем, кому лично доверяете или по-необходимости с известным риском.
А так конечно, на край, можно и вестерн юнион :-) на свой 100% страх и риск.

Не поняла, что за спец-банкомат? Одноразовые пароли выдаются сейчас в любом банкомате Сбера и на распечатке уже 20 паролей, а не 10.

В Петербурге большинство банкоматов Сбербанка не поддерживает функцию выдачи одноразовых паролей. Хотя да – сейчас их стало намного больше, чем пару лет назад. По городу Санкт-Петербургу (без пригородов) поиск на сайте Сбербанка выдает около 200 банкоматов, выдающих пароли:
http://www.sbrf.ru/saintpetersburg/ru/about/branch/atm
Правда, поиск по ближайшей станции метро там как-то непонятно организован и реально не работает – нужно просматривать весь список на 22 страницах, чтобы найти удобно расположенный банкомат с такой функцией.

20 или 10 паролей в распечатке – в общем невелика разница. Никто вроде и прежде не запрещал получить 2 раза подряд по 10.

Но по любому одноразовые пароли, получаемые "живьем" в банкомате – это крайне неудобно.
К тому же операционисты Сбербанка невнимательны к клиентам, очереди большие, в службу поддержки Сбербанка не дозвониться, а если даже дозвонишься, то трудно добиться толку, а по e-mail общаться с ними не получается. В общем – неприветливая казенная организация, не user-friendly IMHO по крайней мере.

Надо, правда, отдать Сбербанку должное в таком пункте: для платежей госпошлин теперь не нужно томиться в очередях к операционистам, а можно платить через установленные в отделениях автоматические терминалы.

В Сбербанке РФ ради вящей защиты клиентов введена пару лет такая дурацкая хрень: при попытке платежа с карты вас выбрасывает на спец-страничку Сбербанка, на которой нужно ввести специальный одноразовый пароль.
...
Возможно, и какие-то другие банки поступают сходным образом.

Чем городить реально нигде в мире не используемые одноразовые коды, лучше бы российские банки ввели наконец поддержку AVS (Address Verification Service), без которой не работают многие международные платежные системы, особенно в США и Канаде, а также отчасти в Великобритании.

Выше в этой теме Lady_in_Red уже привела описание технологии 3-D secure (работа которой и проявляется в виде "такой дурацкой хрени"). Правда, название 3-D secure известно не очень широко, а вот логотипы

 VbV_MCC.jpg (5.45 кБ. 268x66 - просмотрено 698 раз.)

на сегодняшний день весьма широко распространены в интернете. Verified by Visa - это реализация технологии 3-D secure от компании Visa International, а MasterCard Secure Code - то же самое от компании Master Card. При использовании данной технологии во время совершения платежа через интернет банком-эмитентом (банком, выпустившим карту, с использованием которой совершается платеж) выполняется обязательная проверка, является ли пользователь, совершающий платеж, подлинным владельцем данной карты. Для проверки пользователю надо ввести пароль, который может быть известен только банку-эмитенту и владельцу карты. Самым надежным вариантом, полностью удовлетворяющим требованиям стандартов безопасности, является использование одноразовых паролей - в этом случае становится совершенно бесполезным перехват вводимых данных на платежном шлюзе или на компьютере пользователя с помощью хакерских "троянских" программ (а именно этот метод наиболее широко используется мошенниками). Технологии Verified by Visa и MasterCard Secure Code активно продвигаются соответственно Visa и MasterCard, основными международными платежными системами. Они обеспечивают принципиально новый уровень безопасности интернет-платежей и так называемый "перенос ответственности" (Liability Shift) за платежную транзакцию на банк-эмитент, что и юридически и фактически крайне привлекательно для интернет-продавцов, платежных систем, банков-эквайеров (банков, обеспечивающих совершение платежей). Эти технологии на сегодняшний день получили очень широкое распространение и используются банками, платежными системами, интернет-магазинами в странах Америки, Европы, Юго-Восточной Азии, в России и странах СНГ. Логотипы Verified by Visa и MasterCard Secure Code весьма престижны, их наличие на сайте является символом надежности и безопасности. По мнению многих специалистов технология 3-D secure в ближайшие годы станет всемирным стандартом для интернет-платежей.
Вот такая вот "реально нигде в мире не используемая дурацкая хрень", уважаемый А.С.
Теперь немного об Address Verification Service (AVS). Данная весьма уже древняя на сегодняшний день технология была в свое время предложена как попытка решения той же самой задачи - проверки при совершении интернет-платежа подлинности владельца карты. AVS, надо заметить, является не слишком удачным решением. Основные недостатки: 1) реально обеспечиваемая безопасность невелика, технология достаточно уязвима для хакеров: адрес владельца карты не слишком сложно подбирается и уж совсем несложно перехватывается; ни о каком "переносе ответственности", как в случае 3-D secure, здесь не может быть и речи. 2) Использование AVS неудобно для пользователя - ему при совершении платежа кроме номера карты и кода CVC/CVV надо вводить еще кучу "лишней" информации, при этом заботиться о правильности ее формата и отсутствии ошибок. 3) Необходимо сообщать платежному шлюзу, банку эквайеру дополнительные персональные данные, затем их передавать и проверять банку-эмитенту. Это снижает приватность операций, создает возможности для попадания персональных данных владельцев карт третьим лицам и их возможных злоупотреблений. Кстати в ряде стран, в частности в Дании, подобная проверка банками персональных данных клиентов запрещена законодательно.
Используется AVS реально только в США, Канаде и Великобритании. Платежные системы, использующие AVS, для карт, выпущенных банками-эмитентами других стран, как правило или не требуют ввода адресной информации, или можно ввести произвольный адрес (с соблюдением формата) и транзакция успешно пройдет. На сегодняшний день на фоне технологии 3-D secure технология AVS бесперспективна, особенно за пределами США, Канады и Великобритании.
 Это все к вопросу "лучше бы российские банки ввели наконец поддержку AVS".

20 или 10 паролей в распечатке – в общем невелика разница. Никто вроде и прежде не запрещал получить 2 раза подряд по 10.

Никто не запрещал. Только вот при распечатке чека с паролями все пароли с ранее полученных чеков становятся недействительными, так что в запасе у клиента, пользующегося этим способом получения одноразовых паролей, не может быть больше "рабочих" паролей, чем их напечатано на одном чеке.
Сделано так по двум причинам: во-первых, чтобы в случае компрометации паролей (потеряли чек или кто подсмотрел) можно было скомпрометированные пароли аннулировать, во-вторых, потому что соответствующее поле в базе данных системы, где хранятся одноразовые пароли клиента, имеет определенный размер и не может хранить любое количество паролей с любого количества чеков.

Но по любому одноразовые пароли, получаемые "живьем" в банкомате – это крайне неудобно.

Конечно неудобно. Только на самом деле этот способ получения одноразовых паролей на сегодняшний день является давно устаревшим и поддерживается Сбербанком в качестве резервного. Основным рекомендуемым способом получения одноразовых паролей давно является их передача на мобильный телефон в виде SMS непосредственно тогда, когда требуется ввод такого пароля. Это АБСОЛЮТНО БЕСПЛАТНО. Для того чтобы иметь возможность этим пользоваться, для карты и мобильного телефона должна быть подключена услуга "Мобильный банк", см. все о ней здесь: http://sberbank.ru/saintpetersburg/ru/person/dist_services/mobile_bank/. Сама услуга "Мобильный банк" при тарифном плане "экономный" также бесплатна, а тарифа "экономный" вполне достаточно для того чтобы иметь возможность получать одноразовые пароли, а также еще кучу полезных функций в придачу.
Получение одноразовых паролей по SMS выглядит следующим образом: после ввода данных карты Вы попадаете на страничку Сбербанка, где предлагается выбрать способ аутентификации из выпадающего списка, там два варианта - получение пароля по SMS и взятие его из списка паролей, полученных на чеке. По умолчанию выбран вариант получения по SMS. В этом случае после нажатия кнопки "Далее" в течение нескольких секунд на мобильный телефон, подключенный к услуге "мобильный банк" для этой карты, придет SMS с требующимся одноразовым паролем. Останется только его ввести.
Предельно удобно и при этом предельно безопасно.

 Sberbank_VbV.jpg (23.56 кБ. 427x365 - просмотрено 713 раз.)

На собственном печальном опыте, могу сказать, что логотип

 kok-03.jpg (2.27 кБ. 103x62 - просмотрено 704 раз.)

хотя и "афишируется" украинским ПриватБанком - ни хрена не работает... Уже неоднократно сталкивался с тем, что карта VISA, "официально" открытая для интернет-транзакций, не работает в системе "Verified by VISA"...

Используется AVS реально только в США, Канаде и Великобритании. Платежные системы, использующие AVS, для карт, выпущенных банками-эмитентами других стран, как правило или не требуют ввода адресной информации, или можно ввести произвольный адрес (с соблюдением формата) и транзакция успешно пройдет.

У меня при введении произвольного адреса (при счете Visa в российских банках, включая Сбербанк) транзакция никогда не проходила. Правда, последний опыт был больше года назад – может быть теперь ситуация и поменялась.

Основным рекомендуемым способом получения одноразовых паролей давно является их передача на мобильный телефон в виде SMS непосредственно тогда, когда требуется ввод такого пароля. Это АБСОЛЮТНО БЕСПЛАТНО.
…
Получение одноразовых паролей по SMS выглядит следующим образом: после ввода данных карты Вы попадаете на страничку Сбербанка, где предлагается выбрать способ аутентификации из выпадающего списка, там два варианта - получение пароля по SMS и взятие его из списка паролей, полученных на чеке. По умолчанию выбран вариант получения по SMS. В этом случае после нажатия кнопки "Далее" в течение нескольких секунд на мобильный телефон, подключенный к услуге "мобильный банк" для этой карты, придет SMS с требующимся одноразовым паролем. Останется только его ввести.
Предельно удобно и при этом предельно безопасно.

Не сказал бы, чтобы и это было удобно. Я лично предпочитаю некоторый (в общем не очень большой) риск хакерства, – при условии, если не держать больших денег на карте, используемой для интернет-платежей и отслеживать проводки с помощью интернет-банкинга, – сложным заморочкам с непонятно зачем еще нужной услугой "мобильный банк" и с получением паролей по SMS.
Кстати, например, при нахождении в международном роуминге даже получение SMS стоит некоторых денег – не запредельных, но все же…

Основным рекомендуемым [Сбербанком] способом получения одноразовых паролей давно является их передача на мобильный телефон в виде SMS непосредственно тогда, когда требуется ввод такого пароля.

Уважаемый Voyager: раз Вы знаете ряд технических тонкостей и активно защищаете политику Сбербанка по использованию технологии интернет-платежей Verified by Visa с применением одноразовых паролей, то не можете ли объяснить:
Почему бы наряду с получением пароля по SMS (если кому-то так хочется) не организовать возможность (технически даже более простую на серверной стороне) получения того же пароля по e-mail. Для пользователя это было бы в 1000 раз проще и удобнее (он все равно в интернете в процессе транзакции и ему ничего дополнительного не стоит мгновенно получить почтовое сообщение), а с точки зрения защиты едва ли заметно более уязвимо.

...с непонятно зачем еще нужной услугой "мобильный банк" и с получением паролей по SMS.

Опять же, на примере украинского ПриватБанка... У него есть система "Приват24" - фактически, интернет-банкинг, хотя, изначально, при подключении к системе, он предлагает три виртуальных счета (грн, USD и EUR)... Но, после регистрации, к системе можно подключить и реальные счета/карты (дебетные/кредитные)... Так вот... Во всей системе, любое списание с любого счета требует подтверждения с помощью пароля, который высылается СМС-кой на мобильный телефон владельца счета... Вероятно, за исключением получения наличных через банкомат - услугой, которой я еще ни разу не пользовался ...

На собственном печальном опыте, могу сказать, что логотип Verified by Visa
хотя и "афишируется" украинским ПриватБанком - ни хрена не работает... Уже неоднократно сталкивался с тем, что карта VISA, "официально" открытая для интернет-транзакций, не работает в системе "Verified by VISA"...

Про ПриватБанк не могу ничего сказать, так как никогда с ним дела не имел. Кроме того, тут надо говорить конкретно, фраза "ни хрена не работает" не содержит достаточной информации для содержательного обсуждения. Могу сказать, что я в последние 6 лет пользуюсь картой Visa classic Сбербанка России, для нее поддерживается интернет-эквайринг и технология Verified by Visa, я много пользовался этой картой для платежей в интернете на разных российских и зарубежных сайтах, платежи везде проходили без всяких проблем и там где использовалась технология Verified by Visa, и там где не использовалась.

У меня при введении произвольного адреса (при счете Visa в российских банках, включая Сбербанк) транзакция никогда не проходила. Правда, последний опыт был больше года назад – может быть теперь ситуация и поменялась.

Зарубежных систем и магазинов много, говорить про них все "вообще" лишено смысла. Бывают сайты, принципиально не работающие с картами российских банков и AVS там не причем. Вообще много чего в мире бывает. У меня в платежных системах Chronopay, PayOnline, ROBOXchange, PayPal, в e-Bay, в Amazon, в китайских и японских интернет-магазинах со сбербанковской картой проблем не было. Про наши сайты типа ticket.rzd.ru разумеется и говорить нечего.

Не сказал бы, чтобы и это было удобно. Я лично предпочитаю некоторый (в общем не очень большой) риск хакерства, – при условии, если не держать больших денег на карте, используемой для интернет-платежей и отслеживать проводки с помощью интернет-банкинга, – сложным заморочкам с непонятно зачем еще нужной услугой "мобильный банк" и с получением паролей по SMS.
Кстати, например, при нахождении в международном роуминге даже получение SMS стоит некоторых денег – не запредельных, но все же…

Видите ли, невозможно создать какую-либо техническую систему, прибор, инструмент, про которую(ый) все 6 миллиардов человек, населяющих Землю, сказали бы "мне это удобно". Потому разработчики ориентируются по возможности на объективные аргументы и принципы, а также на некоторую статистику - что удобно большинству. Вы вот не держите деньги на карте и предпочитаете риск хакерства (с которым, судя по всему, реально не сталкивались и воспринимаете как нечто полумифическое), а многим людям, особенно на Западе, удобно платить в интернете с основной карты, где может быть много денег, и эти люди заинтересованы в адекватных мерах защиты, особенно в условиях массовых случаев мошенничества с картами. Вы считаете, что путем отслеживания операций по карте посредством интернет-банкинга сможете обезопаситься от несанкционированных операций, а я, разбиравшийся с реальными такими случаями, знаю, что с помощью интернет-банкинга можно только лишь узнать, что денежки ушли с вашей карты в неизвестном направлении. Узнать сразу и успеть отреагировать в любой момент времени можно еще разве что с помощью SMS-банкинга, который в реализации, например, Сбербанка называется "мобильный банк". Но для Вас это всего лишь "непонятно еще зачем нужная услуга", Вы даже не захотели почитать что это такое и что дает по приведенной мной ссылке. Набрать на клавиатуре компьютера 6 символов пароля из автоматически пришедшей на мобильник SMS - это для Вас "сложные заморочки" (сочувствую). Или может быть сложной заморочкой Вы считаете необходимость один-единственный раз придти в отделение банка и потратить 5 минут на заполнение и подачу заявления на подключение услуги (тоже сочувствую). Ну и наконец входящие SMSки с паролями в роуминге для Вас возмутительно разорительны (хотя входящие SMS в большинстве случаев роуминга сейчас бесплатны), а альтернативная возможность взять с собой в роуминг чек с паролями тоже не устраивает...

Уважаемый Voyager: раз Вы знаете ряд технических тонкостей и активно защищаете политику Сбербанка по использованию технологии интернет-платежей Verified by Visa с применением одноразовых паролей

Уважаемый А.С., давайте немного проясним ситуацию: я никогда не работал в Сбербанке и мне нет никакого резона защищать эту крошечную беспомощную контору, которую каждый может обидеть, от Грозного Вас. Но случилось так, что я работаю в банковской сфере, профессионально знаком с затронутыми в этой теме вопросами и, не скрою, мне бывает немного неприятно, когда кто-то начинает "катить бочки" на всех и вся в области, в который он мало что знает (что видно из написанного). Поэтому я всего лишь попытался объяснить, что такое технология Verified by Visa / MasterCard Secure Code, с чем ее едят и что никакой "политики Сбербанка" нет, а есть, если угодно, реализация банками, в том числе и Сбером, политики Visa и MasterCard.

то не можете ли объяснить:
Почему бы наряду с получением пароля по SMS (если кому-то так хочется) не организовать возможность (технически даже более простую на серверной стороне) получения того же пароля по e-mail. Для пользователя это было бы в 1000 раз проще и удобнее (он все равно в интернете в процессе транзакции и ему ничего дополнительного не стоит мгновенно получить почтовое сообщение), а с точки зрения защиты едва ли заметно более уязвимо.

Что ж, пожалуйста:
Во-первых потому что тут имеет место, как я уже сказал, не "политика Сбербанка", а реализация им технологии Verified by Visa / MasterCard Secure Code. Соответственно, банк не может реализовывать это по принципу "что хочу то и ворочу", а обязан соблюсти все требования, предъявляемые Visa / MasterCard, а также требования международных стандартов. В противном случае банк попросту не пройдет сертификацию на Verified by Visa. А передача паролей, даже одноразовых, необходимых для совершения банковских платежных операций, в незащищенном виде через сеть Интернет, да еще на публичные сервера электронной почты, всем этим требованиям очень сильно противоречит. Потому что с точки зрения защиты это ОЧЕНЬ заметно более уязвимо. Если рассмотреть это с точки зрения хакера, то окажется, что сделать тут можно много чего, но подробный разбор явно не для этого форума.
Во-вторых потому что разработчики ориентируются на объективные критерии удобства и целесообразности. Сотовый телефон реально имеется у всех, кто пользуется интернет-платежами, входящее SMS в подавляющем большинстве случаев бесплатно (в т.ч. в роуминге), сотовая связь почти всегда обеспечивает надежную и быструю доставку сообщения, человеку для получения пароля не требуется практически никаких действий - SMS приходит автоматически, достаточно взять телефон, посмотреть на экран и набрать пришедший пароль, возможно потребуется нажать пару кнопок на телефоне. В случае e-mail, тем более публичных бесплатных сервисов, надежность меньше (случаи недоставки или недопустимой задержки писем много более вероятны, чем в случае SMS - есть статистика), удобство меньше (надо войти на сайт почтового сервиса, ввести логин/пароль, выполнить вход в ящик, дождаться письма, открыть его). Поэтому ради нескольких человек, которым так хочется, никто так делать не будет. И если оставить в покое ненавистный Вам Сбербанк и посмотреть как сделано у других банков, то, уверяю Вас, Вы не найдете ни одного ни российского, ни зарубежного банка, который передает эти пароли по e-mail. А кое-какие коммерческие банки вообще еще не дошли не только до передачи паролей по SMS, но и до выдачи их в банкоматах/терминалах самообслуживания, как, например, тот же упомянутый здесь ЮниКредит, который пока не пошел дальше выдачи карточки с одноразовыми паролями в отделении банка.

Да, кстати, возвращаясь собственно к теме покупки ЖД билетов через интернет: если у кого-то нет банковской карты, есть, но она не поддерживает интернет-платежи, не хочется "светить" основную карту, а отдельной нет, по каким-либо причинам не получается провести платеж со своей карты и т.п., а при всем этом есть желание купить билет на ticket.rzd.ru, рекомендую воспользоваться виртуальной картой QIWI Visa Virtual. Ее можно за тридцать секунд получить с любого платежного терминала Qiwi, это не сложнее и не дольше, чем оплатить сотовый телефон с того же терминала. Подробная инструкция тут: http://www.avianova.ru/media/content/info/QIWI_Visa_Virtual.pdf

…я никогда не работал в Сбербанке и мне нет никакого резона защищать эту крошечную беспомощную контору

У меня действительно появился большой "зуб" против Сбербанка после того, как он меня сильно "обломал", внезапно введя политику одноразовых паролей, которые на тот момент в Петербурге получить было вообще невозможно.
Я очень рассчитывал на нужный мне платеж с карты Visa Classic в определенное время, а оказалось, что этого никак нельзя. Помнится я тогда с большим трудом пробился по телефону в службу поддержки Сбера – мне посочувствовали, но сказали, что ничем помочь не могут кроме совета съездить из Питера в Москву или в Тверь к банкомату за паролями. Службы посылки паролей по SMS тогда еще не было.
Причем это была ситуация не пары недель, а чуть ли не целого года. Потом в Петербурге все же поставили штуки 3 или 4 спец-банкомата, и только уже в самое последнее время их число довели примерно до 200 – я ради любопытства эпизодически отслеживал ситуацию, хотя карту Visa в Сбере тогда сразу закрыл.

Сотовый телефон реально имеется у всех, кто пользуется интернет-платежами, входящее SMS в подавляющем большинстве случаев бесплатно (в т.ч. в роуминге), сотовая связь почти всегда обеспечивает надежную и быструю доставку сообщения

Бесплатные входящие SMS в международном роуминге по SIM-картам большой тройки российских операторов – достижение буквально последних месяцев. До самого недавнего времени это было платно.
Что касается сроков доставки, то я не раз сталкивался с тем, что, например, SMS с Tele2 иной раз приходят на мой номер BeeLine с задержкой несколько часов – особенно, если я в роуминге.
Опять же до недавнего времени я имел обыкновение, находясь за рубежом (даже в Украине), вынимать из телефона домашнюю SIM-карту и вставлять SIM-карту местного оператора. Так поступают многие – значит для получения SMS на зарегистрированный номер придется менять карту в телефоне. Только недавно я на всякий случай (экстренные ситуации в семье или по работе) я стал брать второй телефон ради SIM-карты местных операторов.

Вы вот не держите деньги на карте и предпочитаете риск хакерства…, а многим людям, особенно на Западе, удобно платить в интернете с основной карты, где может быть много денег, и эти люди заинтересованы в адекватных мерах защиты, особенно в условиях массовых случаев мошенничества с картами.
Вы считаете, что путем отслеживания операций по карте посредством интернет-банкинга сможете обезопаситься от несанкционированных операций, а я, разбиравшийся с реальными такими случаями, знаю, что с помощью интернет-банкинга можно только лишь узнать, что денежки ушли с вашей карты в неизвестном направлении. Узнать сразу и успеть отреагировать в любой момент времени можно еще разве что с помощью SMS-банкинга, который в реализации, например, Сбербанка называется "мобильный банк".

Если есть нормальная услуга интернет-банкинга через SSL (в поездке – со своего ноутбка, со смартфона, или даже с чужого компьютера с установленной на флэшке программой и ключами), то, во-первых, нет проблемы за считаные секунды перевести деньги внутри одного банка с основного счета на счет карты для платежей через интернет, а во-вторых, нет проблемы тоже за считаные секунды заблокировать карту, если вдруг заметишь несанкционированный платеж. И вообще интернет-банкинг по любому намного проще для пользователя и технически предоставляет существенно больше возможностей, чем SMS-банкинг.