Цитата:
Сообщение от Excalibur
меня, в случае, если я буду выполнять роль злоумышленника, заинтересует информация, которую пин-пад выгоняет в контроллер для передачи транзакции в банк
меня не интересуют коды карты (магнитной, чип или ещё какой), меня интересует информационная посылка для совершения транзакции
точно также, как троян, не найдя в компе пароля, тупо копирует куки, а хозяин трояна эти куки подсовывает себе в комп, получается, что зайдя на сайт, браузер подхватывает чужие куки вместе с паролями и пр. лабудой, а сайт воспринимает злоумышленника, как истинного хозяина и восстанавливает сессию, в принципе бОльшего и не требуется
и да, пин-пады, наоборот, как правило соединены с контроллером именно шлангом, чтобы покупателю было удобно набирать пин-код  |
Современные пин-пады состоят из одного блока, кабелем они соединены с маршрутизатором (для обмена данными с банком) и с кассовым аппаратом (сообщают, что транзакция одобрена). В ряде магазинов пин-пад не соединен с кассовым аппаратом, в этом случае нам дают два чека - один кассовый и один - из пин-пада, это одобрение банка.
Обмен с банком идет с помощью шифрования одноразовыми сеансовыми ключами. Так что данные прошлого сеанса смысла не имеют.