Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться
Кредитки "легко хачатся". В особенности на амазонах и озонах.
Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания. Конечно, самым слабым звеном всегда являлся и наверное так и будет являться человеческий фактор. Но все ли безопасно если исключить возможные промашки юзера, картодержателя? Хочется понять, можно ли быть увереным в сохранности моих денег, если со своей стороны я все "сделал правильно"?
Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет? (обман через банкоматы — отдельная тема)
Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL и не вижу возможности для злодеев ни перехватить мои данные, ни снять деньги с моего счета. Разве, что недобросовестный интернет-магазин может сам выступать в роли этих злодеев. Да и эта проблема наверное будет решена с распространением InfoCard, так как магазин просто не будет знать моих персональных данных, а лишь получит подтверждение от Identity Provider'а о проведенном платеже.
Второй вопрос наверное офтопный, но тоже про безопасность. Для получения доступа через веб к информации по моему счету, необходимо было указать почтовый ящик, на который будет выслан сертификат. Я указал gmail, на что молодой человек заявил, что
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться.
Может кто-нибудь подтвердить или опровергнуть мои опасения?
Друг, а что мешает тебе не держать деньги на карте, а перед тем как платить, забросить нужную сумму на карту прийдя в банк или перевести деньги с другой карты на твою, если такую возможность предоставляет банк?
Или что мешает тебе держать все деньги на карте, но перед платежом увеличить fraud limit, а после платежа его понизить? Пусть молодой операционист или кто-нибудь по профессиональней и поведает тебе о возможных схемах или таком параметре карточки как fraud limit.
Здравствуйте, kochmin_alexandr, Вы писали:
_>не общайся впредь с молодыми операционистами.
Конечно я бы предпочел пообщаться с кем-то более опытным по этим вопросам, за этим на форум и зашел
_>Бред он тебе наговорил.
Александр, хочется верить, что Вы имеете железные основания для подобных заявлений. Должно быть, Вы как-раз из числа опытных знающих специалистов по вопросам безопастности.
Спасибо за Ваше мнение
Здравствуйте, vhonest, Вы писали:
V>Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться V>
Кредитки "легко хачатся". В особенности на амазонах и озонах.
V>Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания. Конечно, самым слабым звеном всегда являлся и наверное так и будет являться человеческий фактор. Но все ли безопасно если исключить возможные промашки юзера, картодержателя? Хочется понять, можно ли быть увереным в сохранности моих денег, если со своей стороны я все "сделал правильно"? V>Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет? (обман через банкоматы — отдельная тема)
Про почту не скажу, а вот платежи в интернете...
Такие (левые) платежи опротестовываются достаточно легко, а мерчант, замеченный в нечестной игре быстро прикрывается + банк меняет карты тем, у кого были операции с этим мерчантом.
И в такую ситуацию попасть легко не только делая покупки через интернет, но и в обычном магазине.
Некоторые POS-ы настроены так, что печатают полный номер карты. Копия чека с вашей подписью есть у продавца. CVV2 продавец может запомнить, когда сверяет подпись на чеке и на карте (он напечатан как раз около вашей подписи). Точно так же — срок действия и имя кардхолдера.
Здравствуйте, vhonest, Вы писали:
V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате? Тогда ведь не только деньги потеряете, но и здоровье пострадает. Да и банк данную ситуацию — увы не разрулит и денег не вернет.
транзакции по кредитке можно откатить пока вы не оплатили счет. Единтсвенная большая проблема, что вы не заметили подвох, к примеру лишнюю десятку баксов среди сотни транзакции. Если вы помните каждый счет и сохраняете чеки, то это не проблема.
Вообщем, обычно кредитки очень безопасны и удобны.
Здравствуйте, vhonest, Вы писали:
V>Второй вопрос наверное офтопный, но тоже про безопасность. Для получения доступа через веб к информации по моему счету, необходимо было указать почтовый ящик, на который будет выслан сертификат. Я указал gmail, на что молодой человек заявил, что V>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
V>Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться. V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Гугл слишком серьезная компания, чтобы заниматься такой мелочевкой. Влезть в твой ящик на гугле — надо пароль подобрать. У тебя сложный пароль?
Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
Т.е. о безопасности электронной почты как транспорта говорить просто смешно.
А что касается надежности именно ящика — у меня доверия гуглю значительно больше, чем любому российскому провайдеру, где ты можешь себе ящик завести.
А если серьезно, то по теме:
V>Инетересно, какие вообще существуют схемы отъема денег при платежах через интернет?
Большинство способов, так или иначе сводятся к получению необходимой для совершения покупок информации о карте. Что касается конкретных способов — в гугле все есть
V>(обман через банкоматы — отдельная тема)
V>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
V>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
Угу. Что такое — "защищенная почта"? Хотелось бы определение...
V>Бесплатная почта — это конечно минус. Но как-то не верится, что мою почту могут читать все, кому не лень съездить на савеловский за диском "все для хакера". Может ли Гугл сам подрабатывать продажет паролей? Сильно сомневаюсь, так как если это всплывет, то им от судебных исков не отмыться. V>Может кто-нибудь подтвердить или опровергнуть мои опасения?
Гуглу нет смысла подрабатывать на продаже паролей. Масштаб не тот. А вот от недобросовестных сотрудников — не застрахована ни одна компания. Кроме того — вот для информации:
И это далеко не все УЖЕ обнаруженные уязвимости Gmail, а сколько таких ошибок там еще — не знает никто. Не думаю, что у Гугла — самая плачевная ситуация с безопасностью, скорее наоборот. Просто под пристальное внимание они попадают чаще, чем какой-нибудь местный "мухоср;№"-телеком" у которого почту читают все кому не лень. При этом, в отличии от Гугл, данный "телеком" владеет (как правило) лицензией на предоставление услуг связи и под "Закон РФ О связи" в общем-то попадает. Правда в этом случае и посудиться с ними уже можно...
А вот насчет судебных исков Гуглу — смешно. На предмет чего иски-то будут?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате?
Потому что я с ними могу побороться. Или не идти в тот банкомат где стоят подозрительные типы. Или... короче все те меры, которые используются для защиты моего кошелька. Но! Если кто-то увидел в моем кошельке деньги — то это ему ничего не даст. Если же он увидел мою карточку — то ее можно считать потерянной (если это Classic и выше). Конечно, маловероятно что кто-то способен запомнить 16 цифр, но возможны разные варианты — я могу оставить на рабочем столе а кто-то спишет, ее могут сфотографировать из укромного места пока я ей пользуюсь... А в интернете даже CVV не всегда требуется — только номер, ФИО и дата окончания срока.
Я отвечаю за свои слова, а не за то как вы их интерпретируете!
Здравствуйте, Smetanin, Вы писали:
S>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Smetanin, Вы писали:
S>>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
А зачем ключ? Прослушивая сессию с самого начала...
Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>А зачем ключ? Прослушивая сессию с самого начала...
Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>А зачем ключ? Прослушивая сессию с самого начала...
TK>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ от которого находится в ФСБ.
Поэтому "слушается" все выборочно.
Red Bird wrote:
> Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ > от которого находится в ФСБ. > Поэтому "слушается" все выборочно.
А разве google или thawte обязан подчиняться ФСБ или законам РФ?..
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>А зачем ключ? Прослушивая сессию с самого начала...
TK>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
Дык чтобы прочитать — нужен только публичный ключ.
Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
Я именно про подслушивание имею ввиду, а не про подмену сообщений.
Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>Здравствуйте, TK, Вы писали:
TK>>Здравствуйте, Vladimir D Belousov, Вы писали:
RO>>>>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte? VDB>>>А зачем ключ? Прослушивая сессию с самого начала...
TK>>Как это поможет? В любом случае нужен будет private ключ либо, значительные вычислительные ресурсы.
VDB>Дык чтобы прочитать — нужен только публичный ключ.
Неправда
VDB>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
Сессионный ключ обычно передается в зашифрованном виде по каналу
VDB>Я именно про подслушивание имею ввиду, а не про подмену сообщений.
Суть криптографии с открытым ключом — как раз в том, что по открытому каналу передаются только не предсталяющие интереса, с точки зрения злоумышленника, данные. Ну, если не принимать в расчет намерение злоумышленника применить грубую силу для взлома
Здравствуйте, Sergey Storozhevykh, Вы писали:
SS>Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>>Дык чтобы прочитать — нужен только публичный ключ.
SS>Неправда
Хм... А что еще нужно?
VDB>>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
SS>Сессионный ключ обычно передается в зашифрованном виде по каналу
Да, шифрованный приватным ключем, который расшифровывается публичным. Ну или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем не хуже обоих собеседников зашифрованного диалога. У меня есть все те же исходные данные, что и у каждого из собеседников.
Или я где-то заблуждаюсь?
SS>Суть криптографии с открытым ключом — как раз в том, что по открытому каналу передаются только не предсталяющие интереса, с точки зрения злоумышленника, данные. Ну, если не принимать в расчет намерение злоумышленника применить грубую силу для взлома
Vladimir D Belousov wrote:
> SS>Сессионный ключ обычно передается в зашифрованном виде по каналу > > Да, шифрованный приватным ключем, который расшифровывается публичным. Ну > или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, > но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем > не хуже обоих собеседников зашифрованного диалога. У меня есть все те же > исходные данные, что и у каждого из собеседников. > Или я где-то заблуждаюсь?
Сессионный ключ создаётся клиентом (большое случайное число), шифруется публичным ключом сервера и передаётся по каналу.
Только владелец приватного ключа (сервер) может расшифровать сессионный ключ.
Подслушать можно в трёх случаях:
— угадать сессионный ключ (например, если используется плохой генератор случайных чисел);
— украсть приватный ключ сервера;
— сломать защиту грубым перебором.
По-моему так.
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Аноним, Вы писали:
А>Red Bird wrote:
>> Согласно закону в РФ каждый провайдер должен иметь "черный ящик", ключ >> от которого находится в ФСБ. >> Поэтому "слушается" все выборочно. А>А разве google или thawte обязан подчиняться ФСБ или законам РФ?..
Просто ФСБ "слушает" весь трафик, в т.ч. стационарные и мобильные телефоны.
Так что мы все "под колпаком у Мюллера"...
Здравствуйте, Vladimir D Belousov, Вы писали:
VDB>>>Дык чтобы прочитать — нужен только публичный ключ.
SS>>Неправда
VDB>Хм... А что еще нужно?
Закрытый нужен в любом случае. Только с помощью вашего личного секретного знания вы сможете расшифровать сообщение
VDB>>>Либо сессионный, который тоже получить без проблем, случая сессию с самого начала.
SS>>Сессионный ключ обычно передается в зашифрованном виде по каналу
VDB>Да, шифрованный приватным ключем, который расшифровывается публичным. Ну или несколько сложнее, если приенить алгоритм Диффи-Хеллмана, например, но суть в принципе та же: являясь третьим лицом в сеансе связи, я ничем не хуже обоих собеседников зашифрованного диалога. У меня есть все те же исходные данные, что и у каждого из собеседников.
VDB>Или я где-то заблуждаюсь?
Классика: шифруем на открытом ключе, расшифровываем на закрытом
Здравствуйте, Аноним, Вы писали:
А>- украсть приватный ключ сервера;
Этот ключ согласно законам РФ должен быть доступен ФСБ и ФАПСИ.
Теоретически если вы передаете по каналам связи данные,
которые не могут быть расшифрованы ФСБ и ФАПСИ, то могут
возникнуть проблемы юридического характера.
Здравствуйте, Red Bird, Вы писали:
RB>Просто ФСБ "слушает" весь трафик, в т.ч. стационарные и мобильные телефоны. RB>Так что мы все "под колпаком у Мюллера"...
SSL сессию нельзя расшифровать, даже слушая ее с самого начала — только, если знать приватный ключ сервера, который по сети не передается и находится, соответсвенно на сервере (в случае google — это их сервера, Thawte тут не при чем — просто их ключом подписан ключ гугла) — для этого SSL и создавался, почтиайте RFC что ли.
в двух словах это выглядит так (на самом деле все сложнее, не это непринципиально)
1. Клиент генерирует случайный сессионый ключ и зашифровывает его открытым ключом сервера
2. Зашифрованный ключ отправляется серверу
3. Сервер расшифровывает ключ при помощи своего закрытого ключа
4. трафик в обе стороны шифруется сессионным ключом
перехватить можно только зашифрованный RSA-подобным алгоритмом сессионый ключ, но толку от \того мало, т.к. расшифровать его может только владелец закрытого ключа.
Здравствуйте, kochetkov.vladimir, Вы писали:
V>>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
KV>В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
Интересно, много ли пхисхеров с сертификатами level 3 CA?
V>>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
KV>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, Smetanin, Вы писали:
S>>Хотя админы гугла, безусловно, теоретически в твой ящик влезть могут. Как и админ любого почтового сервака, через который пойдет почта из банка в гугл — имеет все возможности для перехвата почты. Как и сотрудники ФСБ (см. СОРМ-2).
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
Надо же, стоило ненадолго отлучиться, а тут уже...
Это все, конечно, зашибись, шифрование-мифрование... Программсты, блин.
Расскажите мне, пожалуйста, каким именно путем и по каким каналам пойдет электронное письмо ОТ БАНКА ДО ГУГЛЯ.
Здравствуйте, pavel_turbin, Вы писали:
_>транзакции по кредитке можно откатить пока вы не оплатили счет. Единтсвенная большая проблема, что вы не заметили подвох, к примеру лишнюю десятку баксов среди сотни транзакции. Если вы помните каждый счет и сохраняете чеки, то это не проблема.
Вот это-то меня и настораживает. Ведь не станешь каждый день проверять не оплатил ли кто-нибудь что-нибудь через твой счет. А двух-трех дней вполне достаточно чтобы в магазине уже собрали и отправили заказ (да и обычная практика формировать начисления не в момент поступленя заказа, а в момент его отправки покупателю), и злоумышленник достигнет своей цели. В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
_>Вообщем, обычно кредитки очень безопасны и удобны.
Здравствуйте, qwertyuiop, Вы писали:
Q>Здравствуйте, kochetkov.vladimir, Вы писали: KV>>Вот мне всегда было интересно — почему не вызывает столько опасений вероятность того, что вам просто дадут по голове после получения наличных в банкомате?
Q>Потому что я с ними могу побороться.
Без подготовки это рискованная затея. Можно остаться без денег истекающим кровью. Зеленые бумажки это самое малое что можно в подобной ситуации потерять, поэтому за это не так обидно, никто тут не застрахован. А вот если на##ут в интернете мне будет куда досаднее, поэтому и хочется обезопаситься.
Здравствуйте, Smetanin, Вы писали:
S>Расскажите мне, пожалуйста, каким именно путем и по каким каналам пойдет электронное письмо ОТ БАНКА ДО ГУГЛЯ.
Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Большинство способов, так или иначе сводятся к получению необходимой для совершения покупок информации о карте. Что касается конкретных способов — в гугле все есть
Что ж, будем искать
V>>(обман через банкоматы — отдельная тема) KV>
Читал как-то статейку на эту тему, изобретательности и изощренности этих дельцов можно только позавидовать
KV>Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно.
Любопытно было бы узнать.
KV>Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
Фишинг — это уловка против телепузиков (конечно это мое категоричное имхо), а вот с недобросовестностью персонала интернет- (или обычного) магазина вообще не понятно как бороться. Вот если бы была какая-нибудь статистика на этот счет чтоли...
Кстати не так-то просто поднять фейковый SSL-сервер с идентичным сертификатом, заверенным тем же Thawte.
KV>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
Была какое-то время назад почта smail.com кажется. Правда им пришлось прикрыть эту инициативу из-за спамеров.
KV>Гуглу нет смысла подрабатывать на продаже паролей. Масштаб не тот. А вот от недобросовестных сотрудников — не застрахована ни одна компания.
Что делать?
Здравствуйте, Roman Odaisky, Вы писали:
RO>Насколько я помню, gmail использует исключительно POP3S. Или у ФСБ есть ключ Thawte?
А может и есть. Ведь это упирается только в вычислительные мощности, а кто знает, что там уже изобрели в секретных лабораториях гестапо. Квантовые компьютеры на подходе как-никак.
Здравствуйте, vhonest, Вы писали:
V>Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
Да мы не впереди планеты всей. У нас просто в банках никто не считает деньги, которые тратятся на разработку разного рода защит. Ну, то есть, сколько тратится — считают, а вот эффект оценивать — да нафиг не надо. Гавное при случае можно в рекламе упомянуть всякие модные аббревиатуры и словечки ("SSL!!!", "ЭЦП!!!", "АБВГД!!!!", "12341324124-битные ключи!!!")
Примитивные прикидки:
Любые защиты интернет-банкинга быстрее и проще всего обходятся путем напаивания пользователя или проникновения к нему в квартиру/офис, чтобы стырить пароли/сессионные коды или еще какими-то подобными средствами.
Просто сравните стоимость:
1. Найма более-менее квалифицированного хакера, который сможет вытащить хотя бы просто текстовый файл с паролем с домашнего компьютера произвольного пользователя даже если этот компьютер не закрыт фаерволом. (Даже не говоря про хоть какую-то защиту!!!)
2. И стоимость найма бойкого циганенка лет семи-восьми, чтобы тот залез в форточку и вынес все конверты и т.п. из квартиры.
Потом прикиньте сколько денег можно стырить, получив доступ к интернет-банкингу среднего пользователя. Готов спорить, что найм хакера окупится только в каком-то исключительно редком случае.
А теперь прикиньте, сколько вообще тех хакеров, которые реально могут куда-то влезть и что-то украсть. Положа руку на сердце — вот сколько вы знаете людей. способных взять и влезть вот скажем на мой компьютер (WinXP SP2, все апдейты, но никаких антивирусов и фаерволов)? И за сколько они согласятся это сделать, учитывая, что это незаконно?
Да любому банку в разы дешевле будет компенсировать убыток обокраденным пользователям, чем наворачивать какую-то защиту.
Ровно то же — про кредитные карты. Дешевле периодически компенсировать убыток и отлавливать немногих действительно опасных преступников, нежели париться с защитой всего этого дела.
Так. Меня тут что-то понимают не очень, поэтому я мысли подитожу свои:
1. Разработка защиты в смысле разнообразного шифрования — крайней редко будет экономически оправдана.
2. Именно поэтому иностранные банки с ней особо не парятся
3. Наши парятся — потому что не считают экономическую эффективность разработки защиты.
4. Хакерская атака — слишком дорогое удовольствие
5. Более или менее квалифицированный хакер, способный что-то утащить даже с незащищенной машины — крайне редкое явление.
6. Не говоря уж про способного перехватить какие-нибудь пароли в момент их передачи по сети и т.п.
7. Даже если ничего нигде не шифруется.
8. Что для интрнет-банкинга, что для кредитных карт человеческий фактор и "классические методы" настолько опаснее "электронных", что электронными можно практически пренебречь.
Здравствуйте, vhonest, Вы писали:
V>Недавно оформляя кредитку в некоем банке, общался с молодым операционистом, который поведал мне несколько откровений, которыми я и спешу поделиться V>
Кредитки "легко хачатся". В особенности на амазонах и озонах.
V>Речь идет об обмане населения только при платежах через интернет. Видимо под "легко хачатся" подразумевается передача третим лицам информации о карте (номер, cvv2, на кого оформлена). Я тогда улыбнулся, типа такие серьезные магазины и не могут обеспечить безопасность — врядли. Но с другой стороны количество "обманутых вкладчиков" не снижается, в данном случае обманутых хакерами, да и в противном случае вопросам безопасности не уделялось бы столько внимания.
В данном случае обманутыми банком. Споры по интернет транзакциям всегда решаються в пользу держателя карты. Что бы там банк не говорил — это ему просто не охото связываться с чаржбеком. Если ему действительно так в лом шевелиться его могут чудно промотивировать письмо в Визу или Мастер (смотря что за карта), после чего он вспомнит, что защищать клиента доверевшиго свои деньги платёжной системе его святая обязаность.
Если бы не гарантия безопасности денег, никакая Виза не смогла бы уговорить этих "тупых амерекосов" дать им свои деньги.
Так что если мы говорим про инет транзакцию то всё просто. Пропала сума в течении 180 дней идёшь в банк пишешь заяву, в течении 60 дней должны вернуть. При этом в худшем случае потери понесёт банк продавца, но как правило, эта почётная обязанасть перекладываеться на продовца. Если его что то не устраивает он может подать на тебя в суд по обвинению в мошеничестве (если ты, что то купил, а потом вернул себе денег).
Недавно был широкий флейм на эту тему в другой ветке. Естественно, абсолюбтная незащищенность операций по кредитной карте (достаточно просто знать данные с карты, могущие быть кем угодно перехваченными) вызывает опасения у любого здравомыслящего.
Логичный путь совершения этих операций, на мой взгляд, транзакции по одноразовому ключу. Но почему-то банки предпочитают совсем незащищенный (соответственно более простой) способ идентификации по открытым данным карты. Не знаю, им виднее
привожу свой пост на эту тему
----------------------------------- A>Ну дык, а по-другому как? Лучшая секьюрити — большие накладные расходы (т.е. денежные расходы и время). Все равно где-то придется провести линию. Вот сейчас провели здесь. А 100% гарантию и господь бог не дает.
А по-другому очень просто. Ничего нового изобретать не надо. Неавторизованные транзакции (по номеру и открытым данным карты) — отменить нафиг.
Исключительно
Предоставить пользователю , например, через веб-интерфейс или телефон, dashboard управления уровнем защиты и опциями своей карты — предоставлять/запрещать возможность транзакций с карт-ридеров, из интернета , банкомата итд с соответствующими лимитами сумм.
Установить опопвещение пользователя по телефону о проведенной транзакции и возможность блокировки карты с помощью СМС.
По уровню незащищенности транзакции можно подразделить
1) По номеру и данным карты — бронирование через инет, по телефону etс — без присутствия носителя и ПИН-кода (пароля)
2) Через карт-ридеры (в магазинах, на заправках итд) — с присутствием носителя и пинпадом (в принципе существует возможность установки хакерского , заряженного "трояном" карт-ридера, уж коли даже банкоматы "заряжают")
3) Банкоматы — то же, носитель + пин
4) Операция через операциониста банка — с предъявлением документов + карты + ПИНа
Для каждого уровня пользователь карты должен иметь возможность установаить запрет/разрешение обслуживания и лимит сумм ( единовременный, в сутки итд)
Пункты 2) 3) 4) нареканий не вызывают — там присутствует должный уровень защиты носитель + ПИН
Теперь Пункт 1) — транзакции без носителя. То как это реализовано сейчас, это , простите, шайзе.
Естественно, как опцию для ускорения обслуживания по мелким покупкам, для богатых людей, могущщих во имя удобства рискнуть защищенностью, можно оставить это как есть — лимиты списываемых таким способом сумм, оповещение и своевременная блокировка спасут владельца от крупного мошенничества.
Но это не выход. А выходов на самом деле много и они просты и широко используются в информационных технологиях (странно почему не в банковских)
Защищенная оплата без носителя может происходить следующими довольно простыми способами
1) предварительная квитанция на некоторую сумму — по принципу действия напоминает "чековую книжку".
Пользователь выписывает квитанцию на энную сумму и получает одноразовый код, предъявитель которого имеет право списать со счета эту сумму
Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб.
Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом и говорит "хочу оплатить 5000 руб". Ему выдается чек с неким кодом заказа 13245379. Далее Вася при оплате через инет-магазин указывает номер карты и код заказа 13245379, по которому сервис инет-магазина имеет право списать сумму и которй после этого становится недействительным. В существующей системе отсутствует этот код заказа, что делает ее незащищенной.
2) последующая транзакция — тот же Вася Пупкин покупает через инет мобильник, вводит номер карты и жмет "Оплатить". Далее он идет в банкомат/делает запрос с телефона/через специальную комп. программу/операциониста (в общем, защищенное звено) подтверждает ожидающую транзакцию. И после того как он подтвердит ее через защищенное звено, с его счета спитсываются поставщику деньги.
Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
Здравствуйте, vhonest, Вы писали:
V>Вот это-то меня и настораживает. Ведь не станешь каждый день проверять не оплатил ли кто-нибудь что-нибудь через твой счет. А двух-трех дней вполне достаточно чтобы в магазине уже собрали и отправили заказ и злоумышленник достигнет своей цели. В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
Это проблемы банка, а не ваща. Когда в конце месяца придет счет, то прежде чем его оплатить его лучше проверить. Если что-то не так как ожидалось, звоните и откатываете транзацию. Все. Дальше вас это особенно не волнует. Так весь мир живет и особенно не переживает.
Здравствуйте, vhonest, Вы писали:
V> В результате, если я решил откатить платеж, деньги потеряет банк. И в конце концов банку такая практика надоест и он просто прекратит меня обслуживать.
А банк-то с какой радости потеряет??? — это проблема магазина удостоверять личность покупателя. Так что он и заплатит за все.
Здравствуйте, egaron, Вы писали:
E>Предоставить пользователю , например, через веб-интерфейс или телефон, dashboard управления уровнем защиты и опциями своей карты — предоставлять/запрещать возможность транзакций с карт-ридеров, из интернета , банкомата итд с соответствующими лимитами сумм. E>Установить опопвещение пользователя по телефону о проведенной транзакции и возможность блокировки карты с помощью СМС.
Альфа-банк, Сбербанк, ВТБ-24 — уже усе украде..., тьфу, придумано до нас
E>1) предварительная квитанция на некоторую сумму — по принципу действия напоминает "чековую книжку". E>Пользователь выписывает квитанцию на энную сумму и получает одноразовый код, предъявитель которого имеет право списать со счета эту сумму E>Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб. E>Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом
заказывает себе виртуальную виза или мастер, переводит на нее 5000, платит, потом убивает карту вообще.
E>Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
принцип еще проще, и уже существует и, о чудо, используется
Здравствуйте, Smetanin, Вы писали:
S>Здравствуйте, vhonest, Вы писали:
V>>Вот и я тоже так думаю, что если требовать хоть какой-то секьюрности, то надо в руки сертификат для веба передавать. Хотя, знакомые из штатов поведали, у них для веб доступа к счету обычный логин-пароль. Может мы впереди планеты всей?
S>Да мы не впереди планеты всей. У нас просто в банках никто не считает деньги, которые тратятся на разработку разного рода защит. Ну, то есть, сколько тратится — считают, а вот эффект оценивать — да нафиг не надо. Гавное при случае можно в рекламе упомянуть всякие модные аббревиатуры и словечки ("SSL!!!", "ЭЦП!!!", "АБВГД!!!!", "12341324124-битные ключи!!!")
Угу меня тут поразило -- у Альфы для интернет банкинга ограничение на длину пароля 10 символов!! Я с такими паролями только на всяких левый форумах регистрируюсь. Да еще спец символы вродебы не разрешены
... << RSDN@Home 1.2.0 alpha rev. 655>>
"Бог не терпит голой сингулярности" -- Роджер Пенроуз
egaron пишет:
> 2) последующая транзакция — тот же Вася Пупкин покупает через инет > мобильник, вводит номер карты и жмет "Оплатить". Далее он идет в > банкомат/делает запрос с телефона/через специальную комп. > программу/операциониста (в общем, защищенное звено) подтверждает > ожидающую транзакцию. И после того как он подтвердит ее через защищенное > звено, с его счета спитсываются поставщику деньги.
этот сценарий мне знаком... очень часто буржуйские карточки не чаржатся
с ответом "confirmation call required"
Здравствуйте, egaron, Вы писали:
E>Логичный путь совершения этих операций, на мой взгляд, транзакции по одноразовому ключу. Но почему-то банки предпочитают совсем незащищенный (соответственно более простой) способ идентификации по открытым данным карты. Не знаю, им виднее
А кто вам сказал что такого нету? Такое есть, но правда это работает немного для других денег, а не для расплачивания через интернет и прочей мелочи. Как уже было сказано защита соответствует тому какие средства она защищает. Если делать более сложную защиту, то она будет дороже и менее удобной. Сейчас выгоднее банкам терять несколько тысяч (или сколько там) в год на мелких мошейничествах, чем тратить милионы на защиту.
PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
... << RSDN@Home 1.2.0 alpha rev. 655>>
"Бог не терпит голой сингулярности" -- Роджер Пенроуз
Здравствуйте, CiViLiS, Вы писали:
CVL>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
Можно подумать их популярность зависит от клиентов банков
E>>Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
J>принцип еще проще, и уже существует и, о чудо, используется
Да не чудо ..... чудо — это что он не используется при платежах по инету.
Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб. E>Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом
заказывает себе виртуальную виза или мастер, переводит на нее 5000, платит, потом убивает карту вообще.
уж таким мокаром проще пойти да налом расплатиться..... что большинство и делают.
E>Да не чудо ..... чудо — это что он не используется при платежах по инету.
кто тебе сказал что не используется??? Это только от тебя зависит чем платить — виртуальной или реальным пластиком.
E>уж таким мокаром проще пойти да налом расплатиться..... что большинство и делают.
Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно...
J>Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно...
Ничем, одноразовым ключом можно безопасно совершить оплату _без применения носителя_ (через интернет например).
Для платежей на основе считывания носителя одноразовость — мера излишняя.
Здравствуйте, egaron, Вы писали:
J>>Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно... E>Ничем, одноразовым ключом можно безопасно совершить оплату _без применения носителя_ (через интернет например).
и кредиткой то же
E>Для платежей на основе считывания носителя одноразовость — мера излишняя.
а причем эдесь считывание?
E>Кстати — что такое "одноразовая кредитка" ?
заведенная через интернет и существующая только в виде ее номера
Здравствуйте, CiViLiS, Вы писали:
CVL>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
А какая разница? Принципиальный вопрос в том, как идентифицировать владельца.
Я отвечаю за свои слова, а не за то как вы их интерпретируете!
Здравствуйте, egaron, Вы писали:
E>>>Кстати — что такое "одноразовая кредитка" ? J>>заведенная через интернет и существующая только в виде ее номера E>Ну тогда разницы практически никакой. E>Тогда вопрос — как на нее начисляются деньги ?
как обычно — по интернет-банкингу
E>* урл есть про такие кредитки почитать ? *
ch00k wrote:
> SSL сессию нельзя расшифровать, даже слушая ее с самого начала — только, > если знать приватный ключ сервера, который по сети не передается и > находится, соответсвенно на сервере (в случае google — это их сервера, > Thawte тут не при чем — просто их ключом подписан ключ гугла) — для > этого SSL и создавался, почтиайте RFC что ли.
Если у тебя есть приватный ключ Thawte, то ты можешь создать сертификат на имя "google.com", подписаный Thawte Authority
и осуществлять атаку Man-in-the-Middle. Т.е. браузер юзера будет работать с твоим сервером, сообщая юзеру, что он
работает с сервером гугла.
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
V>>>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
KV>>В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
RO>Интересно, много ли пхисхеров с сертификатами level 3 CA?
А много рядовых пользователей обращают внимание на сообщение об ошибках в сертификате (просрочен/несоответствует)?
V>>>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
KV>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
RO>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
RO>>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
KV>Угу. Каждому юзеру — по серверу
Самое смешное — что это абсолютно бесполезно. Почта до "своего" сервера идет по обычным каналам, соответственно логгируется на куче промежуточных узлов, где к ней имеет доступ кто попало.
Ну, то есть, еметь свой сервер — это, конечно удобно. Только безопасности электронной почте по сравнению с публичными сервисами типа гмайла не добавляет и добавлять не может.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А много рядовых пользователей обращают внимание на сообщение об ошибках в сертификате (просрочен/несоответствует)?
Ну я всегда просматриваю
Да и "уважаущий себя" браузер сам предупредит.
Здравствуйте, Аноним, Вы писали:
А>Если у тебя есть приватный ключ Thawte,
Если у меня будет приватный ключ Thawhte, я не буду заниматься такими глупостями Thawte и Verisign держатся исключтельно на том, что им доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ
А вообще-то даже если он будет, нужно еще весь трафик, который идет к гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется) и юзер при желании это может заметить.
ch00k wrote:
> А>Если у тебя есть приватный ключ Thawte, > Если у меня будет приватный ключ Thawhte, я не буду заниматься такими > глупостями Thawte и Verisign держатся исключтельно на том, что им > доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ
Верно, но я описал какие могут проблемы в случае минимального доверия. (кто-то там высказывался, что типа по закону все
должны перед ФСБ отчитываться и ключи им отдавать).
> А вообще-то даже если он будет, нужно еще весь трафик, который идет к > гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется)
Делается элементарным http-proxy, для недобросовесного провайдера (или непосредственно подключиться к сетевому кабелю) —
проще простого. Или DNS-атака — резолвить "google.com" на твой IP.
> и юзер при желании это может заметить.
Как?
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, qwertyuiop, Вы писали:
Q>Здравствуйте, CiViLiS, Вы писали:
CVL>>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
Q>А какая разница? Принципиальный вопрос в том, как идентифицировать владельца.
Если в карте стоит чип со своими мозгами и подтверждает подлинность карты с помощью RSA например и закрытого колюча который находится внутри чипа, то создание дубликата такой карты становится на порядки сложнее копирования магнитной полосы. Вопроса с онлайн транзакциями это правда не решает.
Здравствуйте, Аноним, Вы писали:
А>ch00k wrote:
>> А>Если у тебя есть приватный ключ Thawte, >> Если у меня будет приватный ключ Thawhte, я не буду заниматься такими >> глупостями Thawte и Verisign держатся исключтельно на том, что им >> доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ А>Верно, но я описал какие могут проблемы в случае минимального доверия. (кто-то там высказывался, что типа по закону все А>должны перед ФСБ отчитываться и ключи им отдавать).
Thawte не обязана отчитываться перед ФСБ — это не российская компания. В этом контексте весь разговор вообще не имеет смысла.
>> А вообще-то даже если он будет, нужно еще весь трафик, который идет к >> гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется) А>Делается элементарным http-proxy, для недобросовесного провайдера (или непосредственно подключиться к сетевому кабелю) — А>проще простого. Или DNS-атака — резолвить "google.com" на твой IP.
http-proxy при работе с SSL не имеет доступа к сессионному ключу. Непосредственное подключение к сетевому кабелю точно так же ничего не даст. Резолв google.com в свой IP моментально вычисляется на клиенте.
>> и юзер при желании это может заметить. А>Как?
посмотрев, во что прорезолвился google.com и сделав whois-запрос на каком-нибдуь фришком сервере.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Меня вообще очень сильно удивляют попытки применения «оффлайнового» законодательства к инету. Из-за 2 вопросов: как доказать и по чьим законам судить?
По законам военного времени. Тогда и Первого вопроса не возникает.
Здравствуйте, akasoft, Вы писали:
A>Э-э-э... Нормальные люди а-ля денежные мешки не подозревают, что есть nslookup, whois и проч.
Да понятно. Мне просто зотелось развенчать миф о том, что "ФСБ всех слушает и мониторит весь трафик"
A>Наверное, ты часто платишь по карточкам и каждый раз мониторишь IP и проч.
Не то, чтобы очень часто плачу. Но при передаче важных сведений типа инфомрации о кредитке или при логине на light.webmoney.ru сертификат проверяю. Но проверка на MITM на случай, если кто-то спёр приватный ключ верисайна — .это уже маразм, конечно
ch00k wrote:
>> > А>Если у тебя есть приватный ключ Thawte, >> > Если у меня будет приватный ключ Thawhte, я не буду заниматься такими >> > глупостями Thawte и Verisign держатся исключтельно на том, что им >> > доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ > А>Верно, но я описал какие могут проблемы в случае минимального доверия. > (кто-то там высказывался, что типа по закону все > А>должны перед ФСБ отчитываться и ключи им отдавать). > Thawte не обязана отчитываться перед ФСБ — это не российская компания. В > этом контексте весь разговор вообще не имеет смысла.
Я знаю, просто кто-то так высказывался.
>> > А вообще-то даже если он будет, нужно еще весь трафик, который идет к >> > гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется) > А>Делается элементарным http-proxy, для недобросовесного провайдера (или > непосредственно подключиться к сетевому кабелю) — > А>проще простого. Или DNS-атака — резолвить "google.com" на твой IP. > http-proxy при работе с SSL не имеет доступа к сессионному ключу.
Я знаю, имеется в виду, что при наличии сертификата, подписывающего "google.com", MITM можно организовать на основе
http-proxy — комар носа не подточит.
> Непосредственное подключение к сетевому кабелю точно так же ничего не
Не подключение, а "включение в разрыв". Залез на чердак, разрезал кабель, быстренько обжал, воткнул в ноут — вуаля. Вряд
ли кто обратит внимание на пропадание сети на <1 минуту.
Можно сделать свой сетевой интерфейс с ip-адресом гугла и рутить обращения от клиента к гугловым IP на свой сервак.
> даст. Резолв google.com в свой IP моментально вычисляется на клиенте.
Как вычисляется? Ты лично хоть раз whois-ил ip перед платежом? Лично я — нет... да и не думаю, что существует много
таких параноиков.
>> > и юзер при желании это может заметить. > А>Как? > посмотрев, во что прорезолвился google.com и сделав whois-запрос на > каком-нибдуь фришком сервере.
Вряд ли кто-то это делает. Обычно смотрят только сертификат в браузере; и браузер выдаёт предупреждение, если что-то не
так, а он whois не делает.
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?
Я отвечаю за свои слова, а не за то как вы их интерпретируете!
Здравствуйте, qwertyuiop, Вы писали:
Q>А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?
Здравствуйте, qwertyuiop, Вы писали:
Q>А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?
он-то да, хранится в банке, но думаю не сам он, а его хеш (md5 или что-то в этом роде)
Здравствуйте, Smetanin, Вы писали:
KV>>>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
RO>>>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
KV>>Угу. Каждому юзеру — по серверу
S>Самое смешное — что это абсолютно бесполезно. Почта до "своего" сервера идет по обычным каналам, соответственно логгируется на куче промежуточных узлов, где к ней имеет доступ кто попало.
По обычным. Но, при желании, зашифрованная. Вот у меня все сертификаты (Exim, Cyrus IMAP) подписаны одним «корневым», и, если б меня охватил приступ паранойи, я бы попросил админов выложить его на свой сервер, чтобы я его взял по HTTPS, после чего убедился бы в no-men-in-the-middle. Здесь канал будет настолько же надежен, насколько надежен алгоритм шифрования и насколько порядочны админы VPS-хостинга.
S>Ну, то есть, еметь свой сервер — это, конечно удобно. Только безопасности электронной почте по сравнению с публичными сервисами типа гмайла не добавляет и добавлять не может.
Ну вот давай проверим. Отправил себе сообщение me@domain.com -> me@isp.net и обратно. Что вижу:
me@isp.net -> me@domain.com:
Return-Path: <мне@optima.com.ua>
Received: from server.qwertty.com ([unix socket])
by server.qwertty.com (Cyrus v2.1.18-IPv6-Debian-2.1.18-1+sarge2) with LMTP; Sat, 13 Jan 2007 12:55:48 +0000
X-Sieve: CMU Sieve 2.2
Received: from mail.alkar.net ([195.248.191.95])
by server.qwertty.com with esmtp (Exim 4.50)
id 1H5iQE-0007df-EJ
for мне@qwertty.com; Sat, 13 Jan 2007 12:55:46 +0000
Received: from [мой.IP] (HELO homemain)
by mail.alkar.net (CommuniGate Pro SMTP 5.1.4)
with ESMTP id 645622532 for мне@qwertty.com; Sat, 13 Jan 2007 14:55:45 +0200
From: "Roman Odaisky" <я@optima.com.ua>
To: "'Roman Odaisky'" <мне@qwertty.com>
Subject: Security test
Date: Sat, 13 Jan 2007 14:55:45 +0200
Шифрования нет нигде.
me@domain.com -> me@isp.net:
Return-Path: <мне@qwertty.com>
Received: from server.qwertty.com ([82.195.149.147] verified)
by mail.alkar.net (CommuniGate Pro SMTP 5.1.4)
with ESMTPS id 645622613 for мне@optima.com.ua; Sat, 13 Jan 2007 14:55:57 +0200
Received-SPF: pass
receiver=mail.alkar.net; client-ip=82.195.149.147; envelope-from=я@qwertty.com
Received: from [мой.IP] (helo=homemain)
by server.qwertty.com with esmtpsa (TLS-1.0:RSA_ARCFOUR_MD5:16)
(Exim 4.50)
id 1H5iQ7-0007db-Rh
for мне@optima.com.ua; Sat, 13 Jan 2007 12:55:40 +0000
From: "Roman Odaisky" <я@qwertty.com>
To: "'Roman Odaisky'" <мне@optima.com.ua>
Subject: Security test
Date: Sat, 13 Jan 2007 14:55:30 +0200
Сообщение зашифровано по всему пути.
Gmail:
Delivered-To: мне@gmail.com
Received: by 10.82.170.16 with SMTP id s16cs287202bue;
Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Received: by 10.49.80.12 with SMTP id h12mr1721793nfl.1168695338267;
Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Return-Path: <мне@qwertty.com>
Received: from server.qwertty.com (qwertty.com [82.195.149.147])
by mx.google.com with ESMTP id v20si13648661nfc.2007.01.13.05.35.37;
Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Received-SPF: pass (google.com: domain of я@qwertty.com designates 82.195.149.147 as permitted sender)
Received: from [мой.IP] (helo=homemain)
by server.qwertty.com with esmtpsa (TLS-1.0:RSA_ARCFOUR_MD5:16)
(Exim 4.50)
id 1H5j2k-0007ob-Vi
for мне@gmail.com; Sat, 13 Jan 2007 13:35:35 +0000
Связь с Гмэйлом зашифрована не была. Очевидно, потому, что Гмэйл не поддерживает STARTTLS.
Здравствуйте, vhonest, Вы писали:
KV>>Угу. Что такое — "защищенная почта"? Хотелось бы определение... V>Была какое-то время назад почта smail.com кажется. Правда им пришлось прикрыть эту инициативу из-за спамеров.
Да и эта проблема наверное будет решена с распространением InfoCard, так как магазин просто не будет знать моих персональных данных, а лишь получит подтверждение от Identity Provider'а о проведенном платеже.
...особенно, если сервер — google.com.
