Fw: [軟體] 電子商務客戶端app輸入資料正確性驗證?

作者: Chih3300625 (無業遊民)   2016-09-02 22:38:23
※大家好,第一次來貴版發文,若有板規需注意的請不吝提醒
題目還蠻複雜的,想發軟體版但是不確定應該發在哪裡,且又是手機app就發在這了
我所上班的公司有電子商務的業務,且也有發行客戶端app可供使用
在這塊業務部份有個問題是:
若公司要付錢給客戶,要如何確保客戶端app輸入的資料確實是客戶的帳戶?
目前在未使用App輔助的狀況下是靠人力去聯絡客戶驗證帳戶無誤
現已有的技術就是OTP(one time password)動態密碼,
有一家公司叫iDGate的則是有方法將app綁定客戶的手機「推播互動式安全認證」。
我不確定能不能解決這樣的問題
「我請別人用app幫我key資料,公司要怎麼防範他key的不是我的資料」
目前想到的都還是要靠人力驗證,程式上有能降低人力或是不需人力使用的辦法?
作者: TSW (翹班帝國)   2016-09-02 23:23:00
看不太懂,你是說要防止有人假冒客戶來收錢嗎?你把改帳戶當成改密碼處理就可以啦,兩步驗證套路一堆堆
作者: pttworld (批踢踢世界)   2016-09-03 00:03:00
第二黃色是校對問題。怎麼樣都要有正確首版本。
作者: alog (A肉哥)   2016-09-03 00:43:00
如果你是要驗證App端使用者輸入的收款用銀行帳戶可以跟你們自己配合的銀行談談看有什麼方式可以支援另一種是透過警告提示的部份,需與銀行帳戶戶名相同 等 blahblah 的文字 這種範本很多若你們沒把握 盡可能撥款給某會員 該會員需實名同時盡量讓系統上的客戶收款帳號不該被重複系統盡量加入實名認證 以及加入一組只有使用者知道的請款密碼這樣可以防止別人手賤開App竄改收款帳戶時還有一道門擋著也可以再加入審核時間的設計,也就是原本的收款帳戶被更新,需要一個小時或一天的時間才能做請款要多複雜看你公司營業的項目是什麼然後給他適當的防護措施太雜也挺惱人的另外再補充一點 當客戶要請款時 可以做成排程 也就是說使用者進行請款時系統會告知客戶將在什麼時候撥款至他的戶頭若有XX問題,在YY時間內可以進行取消。這種設計方式可以防止你們系統遭到特定集團鎖定入侵時(例如有人持有大量的帳號密碼,透過撞庫的方式登入)在系統上大量的進行異常的請款動作可以不會一次全部都把錢洗走然後再記得將取消請款的部份做統計系統有人看 或當某時間區間請款取消的次數到達一個設定值系統立即通報管理層的所有人員立即處理半夜的時候則暫時停止所有情款之類的動作請*大概就差不多這樣 希望有幫上你的忙@@
作者: TSW (翹班帝國)   2016-09-03 02:28:00
大致上看懂了,不過我個人認為此題無解如果無法阻止業務接觸用戶手機的話,任何程式上的驗證都無解修正一下,是任何自動驗證都無解,需要人工介入所以我覺得可能要靠流程控管的方式來降低風險,舉例來說:1. alog 提到的排程 + 通知2. 限制 app 端只能變更帳號為原帳號的 "同戶名約定帳號"3. 定合約要業務負責承擔惡意操作的風險感覺沒有幫助到原po 哭哭
作者: pttworld (批踢踢世界)   2016-09-03 09:00:00
第一黃色可以使用公司名義和電信業者洽談。政策優先技術黑暗面真的就是我拿到倒楣鬼個資,只有帳戶填洗錢帳戶。

Links booklink

Contact Us: admin [ a t ] ucptt.com