<div>RE: Timo&#39;s proposal for protecting the refund address:</div><div><br></div><div>Seems to me there are two risks:</div><div><br></div><div>1) The risk that the merchant&#39;s web server will be compromised and the attacker will redirect refunds</div>
<div>2) The risk that the merchant will miss payments because they miss a POST to the payment_url (maybe the customer&#39;s machine crashes during the HTTPS handshake)</div><div><br></div><div>If payments are a lot more common than refunds, then (2) will outweigh (1).</div>
<div><br></div><div>I also think an attacker who compromises the front-end web server would probably just have it start generating plain-old pay-to-bitcoin-address payment requests, and hope that lots of customers pay them directly before the attack is discovered.</div>
<div><br></div><div>-- <br>--<br>Gavin Andresen<br>
</div>