Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Prezados amigos,
Estou enfrentando muitos problemas em meus sistemas que emite 2ª via de boletos. Muitos clientes infectados estão pagando boletos mesmo com diversas orientações.
A nível de programação, alguém conseguiu alguma solução para impedir a linha digitável ser trocada?
Ouvi alguns companheiros me orientando a fazer a linha digitável no formato de imagem, outros em gerar o boleto em PDF. Alguma dessas soluções seria capaz de impedir o virus de trocar a linha digitável?
Obrigado.
Essa é uma vantagem do PHP que é a nível de servidor. Uma vez que possamos executar algo antes que o navegador acesse o servidor do Hacker e altere a linha digitável, teoricamente funcionaria, porém eu não estou conseguindo localizar o vírus para infectar meu PC e fazer os testes.
Alguém já fez algum teste em PC infectado?
Alguém possui o virus?
Att
Alguém possui o virus?
:D
Para evitar problemas futuro faça como o ESerra disse, ou como você mesmo mencionou no inicio do post trocar o código de barra por imagem, até onde sabia era onde estava o foco do problema, mas isso foi o ano passado, não sei se evoluiu,
eu ficaria com a opção de enviar por email o boleto em PDF, se for para gerar no navegador somente via PDF,
avisando o cliente que só a esta opção e deixava alguns links em images para baixar os leitores de PDF como acrobat reader.
=D
Sim... eu compreendo.
Mas nenhuma dessas alternativas foram testadas, ou há registro de teste na internet.
Por esse motivo não como dar 100% de certeza que vai funcionar. Necessitaria de um PC infectado para testar.
Perguntei se existe alguém com o Vírus pois essa pessoa poderia ajudar a documentar testes para possíveis soluções, Não foi nenhuma piada.
Att
100% seguro não existe.
Pdf ou imagem com a logo da empresa me parece muito mais difícil de modificar do que html, que pode ser editado pelo próprio cliente.
Quero testar tanto o PDF quanto a Imagem, mas para isso preciso ou de um virus para infectar meu PC ou de uma pessoa que esteja com o PC infectado e seja solícita a ajudar.
O que mais me admira é que esse vírus está agindo a mais de um ano e evoluindo (pelos documentos que eu leio) mas não existe nenhuma documentação e solução ou testes publicados que auxiliem nós programadores a agir.
Att
Eu ri pela forma como foi perguntado e outra aqui é área de PHP, muitos acham que essa área faz milagres.
Quem deve ter este vírus é algum laboratório ou a PF
Mas segue um link onde você pode achar os nomes pois este virus possui diversas variantes.
Williams,
Por aqui se área de PHP o meu sistema estar escrito em PHP e porque pelo que li o script do PHPBoleto é o que mais está sofrendo com esse vírus que eu postei aqui minha dúvida, pois acreditava eu que diversos programadores em PHP já deve ter passado por isso, ou terão mais cedo ou tarde.
Agradeço o link.
Você já tentou editar um PDF? Então sabe como é complicado, nunca fica igual e etc, gera o PDF e pronto... Sinceramente, se a pessoa pagar o boleto falsificado, o problema é apenas dela, o que ocorre no PC dela não é de responsabilidade do fornecedor. Outro detalhe, o vírus OBRIGAVA a usar a linha digitável, isto porque o código de barras era invalidado pelo próprio vírus, então a solução é obrigar o cliente a usar o código de barras, OK, eu sei, e se ele não tiver impressora? E se a isso? E se aquilo? Solução 2, envie o boleto pelos correios.
Essa questão do vírus extrapola totalmente a parte de programação, porque ocorre em um ambiente que não é controlado pelo programador.
Porque pelo que li o script do PHPBoleto é o que mais está sofrendo com esse vírus que eu postei aqui minha dúvida, pois acreditava eu que diversos programadores em PHP já deve ter passado por isso, ou terão mais cedo ou tarde.
Ledo engano não culpe o projeto PHPBoleto ou PHP, esses virus é um .exe que instala em máquinas de usuários onde o mesmo não possui um antivírus ou firewall decente, onde este altera o html ou seja a linha digitável e o código de barras gerado por qualquer sistema seja em php, asp, .net, etc.........................................................
ESerra,
Agradeço a sua atenção e sua disponibilidade, mas pelo seu texto você não teve esse problema anterior e não fez nenhum teste usando o PDF com máquina infectada. Não há necessidade de participar desse debate caso não deseja.
Eu entendo que o problema é da pessoa, porém não é por isso que vamos deixar acontecer para ser mais fácil a minha ou a sua vida. O meu trabalho extrapola a programação e passa para a visão do usuário (que em muitos casos é leigo). Se eu puder entregar algo mais seguro, darei essa preferência.
Att
Eu entendo que o problema é da pessoa, porém não é por isso que vamos deixar acontecer para ser mais fácil a minha ou a sua vida. O meu trabalho extrapola a programação e passa para a visão do usuário (que em muitos casos é leigo). Se eu puder entregar algo mais seguro, darei essa preferência.
Então neste caso, a visão de UX/UI é em outra sala... do ponto de vista apenas do PHP a única solução que poderia burlar essa questão é o PDF, todo o resto é front-end (HTML/CSS/JS)...
Sim... mas alguém que esteja com o PC infectado já testou gerar em PDF ou imagem? Usando um sistema escrito em PHP.
Obrigado.
Concordo que "alguns" boletos do PHPBoleto não passam mais em teste de homologação devido ao layout.
e para que você possa driblar o vírus, vai ter que efetuar algumas mudanças, pois o html gerado e feito em um único output é onde o vírus agi.
se mudar a forma como são carregados os dados, possivelmente não serão alterados, mais para isso vai ter que carregá-los via ajax.
Mão na massa!
Legal... Ajax é algo que eu não tinha pensado.
Valeu.
Mas fica faltando um ponto. Como vou testar isso?
Se eu não tiver alguém com PC infectado ou infectar o meu, não tenho coma saber se funcionou. Se eu coloco em produção exponho pessoas que podem vir a pagar boletos alterados.
Entendeu... fica complicado.
E se converter somente a linha digitável para imagem? Digoisso pq algumas soluções em pdf desconfigurarm todo o boleto. Tenho interesse em uma solução para o problema tbm.
Tenho por base nas modificações utilizadas por diversos e-commerces, gateways e bancos, estes passaram a carregar seus boletos via javascript dentro de modals abrindo a tela de imprimir automaticamente, pode ser que isso ajudou a evitar este tipo de problema, pois o javascript e o último a ser carregado e pode ser chamado antes de fechar a tag </body>
Só que ai começa também outros problemas a compatibilidade entre navegadores, mas jquery deve resolver.
E se converter somente a linha digitável para imagem? Digoisso pq algumas soluções em pdf desconfigurarm todo o boleto. Tenho interesse em uma solução para o problema tbm.
http://forum.imasters.com.br/topic/489419-exportando-relatrio-para-pdf/
Observei que o Google apresenta o boleto usando Ajax... fiquei perguntando o porquê eles escolheram esse formato... Após o Williams levantar essa ideia realmente faz sentido. Usando o Ajax para buscar o boleto e apresentar na tela poderia ser uma solução a se considerar.
Att
Não quero entrar no mérito da discussão, mas posso afirmar que o problema ocorre na máquina do cliente, o vírus altera o HTML do boleto, invalidando o código de barras e alterando a linha digitável, tudo isso a nível do usuário, logo se o boleto gerado pelo PHP for uma imagem embutida em um PDF, será praticamente impossível o boleto ser alterado. Também você pode incorporar em seu serviço um validador de boleto, assim como ocorre com nota fiscal eletrônica, gera um chave criptografada e orienta o usuário a validar o boleto.
D2th3, tivemos o mesmo problema na nossa empresa (eu trabalho numa rede de ensino com um número significativo de alunos). Como não é uma falha de segurança do sistema e sim do cliente, não foi tomada nenhuma atitude nesse caso.
Não há o que fazer quanto ao boleto, pois ele é alterado no navegador, após o boleto ser gerado. O interessante seria compreender a forma que o vírus funciona (como ele altera, exatamente quando ele altera, como ele encontra o que busca) o que não se encontrou ainda.
A nossa orientação foi manter o sistema e anti-vírus atualizado, não somos responsáveis pelas irresponsabilidades dos clientes.
Gabriel,
Obrigado pela participação do debate.
Eu, em particular, discordo desse posicionamento. Entendo a imprudência do cliente em não ser precavido, mas o antivírus não pega essa praga e por mais que não seja um problema do sistema você abala a credibilidade da marca junto ao cliente.
Observe os comentários desse artigo: http://www.linhadefensiva.org/2013/04/virus-altera-boletos-na-web-e-pagamento-cai-em-conta-indevida/
Outra coisa que tenho em mente é que a maiorias dos usuários são leigos (não programadores como nós), então eles não observam lógicas que são fáceis para nós, por isso muito não entendem que a culpa é deles por serem imprudentes no uso da internet. Mas eu sempre ando com uma frase na mente: "para o mal triunfar basta o bem não fazer nada".
Vou continuar trabalhando para encontrar uma solução e conto com a ajuda de qualquer informação que possa acrescentar esse debate.
Obrigado.
Osmar,
Obrigado por enriquecer nosso debate com informações relevantes.
Acrescento que o vírus já evoluiu e hoje ele é capaz de gerar um código de barras real. Sobre o boleto em PDF não observei relato de problema, mas sobre o boleto em forma de imagem sim, já houve casos que o boleto era falso.
Contudo,
>
Também você pode incorporar em seu serviço um validador de boleto, assim como ocorre com nota fiscal eletrônica, gera um chave criptografada e orienta o usuário a validar o boleto.
É uma ideia muito boa. Validar o boleto com certeza é uma coisa interessante e simples de implantar.
Obrigado.
[...]mas o antivírus não pega essa praga[...]
Por mais que o artigo possa parecer recente, os anti vírus evoluem bastante, e isso não reflete mais a realidade do artigo.
O primeiro caso que tivemos aqui foi no final do ano passado. O vírus foi descoberto em abril do ano passado, e em suma, a maioria dos antivirus detectam o vírus. Para falar a verdade, não houve ninguém, hoje, que disse: "meu anti-vírus não o detectou".
Gabriel,
Eu relato os comentários desse artigo. As pessoas informam que estão com antivirus atualizados e mesmo assim não detectou a praga.
Como eu não possuo o exe desse virus, não tenho como testar. Juro pra você, eu clico em todos os SPANS de Nota Fiscal, Atualização de Banco, Intimação, Fotos do Final de Semana, etc... faço os downloads e executo os programas e até o momento nenhum dos virus que baixei alterou boleto. Quando o PC para de funcionar eu formato o HD e restauro a imagem e começo novamente.
Obrigado.
Talvez seja porque a "quadrilha" foi localizada. Há algumas notícias a respeito, não sei o quão verídico é.
Mas um fato é que o vírus não realizava nenhuma alteração no boleto em si. Ele enviava para um server, que então alterava o boleto, retornava ao browser e então substituia o original.
>
Mas um fato é que o vírus não realizava nenhuma alteração no boleto em si. Ele enviava para um server, que então alterava o boleto, retornava ao browser e então substituia o original.
Essa é a principal informação que eu detenho, por isso estou trabalhando em verificar como o virus identifica o boleto, pois o mesmo não enviaria tudo ao server e sim somente boleto, se souber essa informação já ajuda muito a gerar o boleto de forma a não dar pistas ao virus.
O PDF é uma peça importante nesse contexto pois iremos gerar o boleto todo dentro do servidor e disponibilizar o download ao cliente, dessa forma não há tempo do Virus identificar. Mas isso é um pensamento lógico, na prática não sei se funcionaria.
O contra dessa solução é que até o momento não encontrei um PDF e PHP que renderiza bem os boletos. Muitos descaracterizam.
Att
"A nível de programação" não há nada a ser feito porque o problema é do lado do cliente, agora se você gerar o boleto e enviar para o cara deve resolver, já que o vírus, até onde eu sei, só afeta navegadores.