Здравствуйте, egaron, Вы писали:
E>Логичный путь совершения этих операций, на мой взгляд, транзакции по одноразовому ключу. Но почему-то банки предпочитают совсем незащищенный (соответственно более простой) способ идентификации по открытым данным карты. Не знаю, им виднее
А кто вам сказал что такого нету? Такое есть, но правда это работает немного для других денег, а не для расплачивания через интернет и прочей мелочи. Как уже было сказано защита соответствует тому какие средства она защищает. Если делать более сложную защиту, то она будет дороже и менее удобной. Сейчас выгоднее банкам терять несколько тысяч (или сколько там) в год на мелких мошейничествах, чем тратить милионы на защиту.
PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
... << RSDN@Home 1.2.0 alpha rev. 655>>
"Бог не терпит голой сингулярности" -- Роджер Пенроуз
Здравствуйте, CiViLiS, Вы писали:
CVL>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
Можно подумать их популярность зависит от клиентов банков
E>>Принцип очень простой и испльзоуется даже на каких-нибудь левых форумах или почтовых системах, но почему-то не используется в гораздо требующих гораздо большей защищенности платежных системах.
J>принцип еще проще, и уже существует и, о чудо, используется
Да не чудо ..... чудо — это что он не используется при платежах по инету.
Например, Василий Пупкин покупает мобильник через инет-магазин. Мобильник стоит 5000 руб. E>Вася Пупкин через банкомат/оператора/защищенную специальную комп. программу заходит на панель управления своим счетом
заказывает себе виртуальную виза или мастер, переводит на нее 5000, платит, потом убивает карту вообще.
уж таким мокаром проще пойти да налом расплатиться..... что большинство и делают.
E>Да не чудо ..... чудо — это что он не используется при платежах по инету.
кто тебе сказал что не используется??? Это только от тебя зависит чем платить — виртуальной или реальным пластиком.
E>уж таким мокаром проще пойти да налом расплатиться..... что большинство и делают.
Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно...
J>Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно...
Ничем, одноразовым ключом можно безопасно совершить оплату _без применения носителя_ (через интернет например).
Для платежей на основе считывания носителя одноразовость — мера излишняя.
Здравствуйте, egaron, Вы писали:
J>>Ну можно и налом. В любом случае защищенная система уже есть и к чему огород городить с твоей — не понятно... А уже чем твой одноразовый ключ лучше одноразовой кредитки, которая по сути этим ключем и является — мне вообще не понятно... E>Ничем, одноразовым ключом можно безопасно совершить оплату _без применения носителя_ (через интернет например).
и кредиткой то же
E>Для платежей на основе считывания носителя одноразовость — мера излишняя.
а причем эдесь считывание?
E>Кстати — что такое "одноразовая кредитка" ?
заведенная через интернет и существующая только в виде ее номера
Здравствуйте, CiViLiS, Вы писали:
CVL>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
А какая разница? Принципиальный вопрос в том, как идентифицировать владельца.
Я отвечаю за свои слова, а не за то как вы их интерпретируете!
Здравствуйте, egaron, Вы писали:
E>>>Кстати — что такое "одноразовая кредитка" ? J>>заведенная через интернет и существующая только в виде ее номера E>Ну тогда разницы практически никакой. E>Тогда вопрос — как на нее начисляются деньги ?
как обычно — по интернет-банкингу
E>* урл есть про такие кредитки почитать ? *
ch00k wrote:
> SSL сессию нельзя расшифровать, даже слушая ее с самого начала — только, > если знать приватный ключ сервера, который по сети не передается и > находится, соответсвенно на сервере (в случае google — это их сервера, > Thawte тут не при чем — просто их ключом подписан ключ гугла) — для > этого SSL и создавался, почтиайте RFC что ли.
Если у тебя есть приватный ключ Thawte, то ты можешь создать сертификат на имя "google.com", подписаный Thawte Authority
и осуществлять атаку Man-in-the-Middle. Т.е. браузер юзера будет работать с твоим сервером, сообщая юзеру, что он
работает с сервером гугла.
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
V>>>Не смотря на закравшиеся сомнения, я вот пока почему-то верю в SSL
KV>>В SSL можно верить сколько угодно, однако от установленного у вас кейлогера он, если что — не спасет. Я это к тому, что способов получения от вас необходимых данных без перехвата трафика — и так предостаточно. Фишинг опять-таки (опционально — с поднятым на фейковом сервере SLL , недобросовестность персонала интернет-магазина...
RO>Интересно, много ли пхисхеров с сертификатами level 3 CA?
А много рядовых пользователей обращают внимание на сообщение об ошибках в сертификате (просрочен/несоответствует)?
V>>>
Все бесплатные почтовые ящики насвозь просматриваются все теми же хакерами, в поисках сенситивной информации. Поэтому необходимо завести защищенную почту.
KV>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
RO>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
RO>>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.
KV>Угу. Каждому юзеру — по серверу
Самое смешное — что это абсолютно бесполезно. Почта до "своего" сервера идет по обычным каналам, соответственно логгируется на куче промежуточных узлов, где к ней имеет доступ кто попало.
Ну, то есть, еметь свой сервер — это, конечно удобно. Только безопасности электронной почте по сравнению с публичными сервисами типа гмайла не добавляет и добавлять не может.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А много рядовых пользователей обращают внимание на сообщение об ошибках в сертификате (просрочен/несоответствует)?
Ну я всегда просматриваю
Да и "уважаущий себя" браузер сам предупредит.
Здравствуйте, Аноним, Вы писали:
А>Если у тебя есть приватный ключ Thawte,
Если у меня будет приватный ключ Thawhte, я не буду заниматься такими глупостями Thawte и Verisign держатся исключтельно на том, что им доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ
А вообще-то даже если он будет, нужно еще весь трафик, который идет к гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется) и юзер при желании это может заметить.
ch00k wrote:
> А>Если у тебя есть приватный ключ Thawte, > Если у меня будет приватный ключ Thawhte, я не буду заниматься такими > глупостями Thawte и Verisign держатся исключтельно на том, что им > доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ
Верно, но я описал какие могут проблемы в случае минимального доверия. (кто-то там высказывался, что типа по закону все
должны перед ФСБ отчитываться и ключи им отдавать).
> А вообще-то даже если он будет, нужно еще весь трафик, который идет к > гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется)
Делается элементарным http-proxy, для недобросовесного провайдера (или непосредственно подключиться к сетевому кабелю) —
проще простого. Или DNS-атака — резолвить "google.com" на твой IP.
> и юзер при желании это может заметить.
Как?
Posted via RSDN NNTP Server 2.0
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, qwertyuiop, Вы писали:
Q>Здравствуйте, CiViLiS, Вы писали:
CVL>>PS А вообще меня удивляет почему в России так не популярны чиповые карты Мне их возможности больше по душе, чем с магнитной полоской.
Q>А какая разница? Принципиальный вопрос в том, как идентифицировать владельца.
Если в карте стоит чип со своими мозгами и подтверждает подлинность карты с помощью RSA например и закрытого колюча который находится внутри чипа, то создание дубликата такой карты становится на порядки сложнее копирования магнитной полосы. Вопроса с онлайн транзакциями это правда не решает.
Здравствуйте, Аноним, Вы писали:
А>ch00k wrote:
>> А>Если у тебя есть приватный ключ Thawte, >> Если у меня будет приватный ключ Thawhte, я не буду заниматься такими >> глупостями Thawte и Verisign держатся исключтельно на том, что им >> доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ А>Верно, но я описал какие могут проблемы в случае минимального доверия. (кто-то там высказывался, что типа по закону все А>должны перед ФСБ отчитываться и ключи им отдавать).
Thawte не обязана отчитываться перед ФСБ — это не российская компания. В этом контексте весь разговор вообще не имеет смысла.
>> А вообще-то даже если он будет, нужно еще весь трафик, который идет к >> гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется) А>Делается элементарным http-proxy, для недобросовесного провайдера (или непосредственно подключиться к сетевому кабелю) — А>проще простого. Или DNS-атака — резолвить "google.com" на твой IP.
http-proxy при работе с SSL не имеет доступа к сессионному ключу. Непосредственное подключение к сетевому кабелю точно так же ничего не даст. Резолв google.com в свой IP моментально вычисляется на клиенте.
>> и юзер при желании это может заметить. А>Как?
посмотрев, во что прорезолвился google.com и сделав whois-запрос на каком-нибдуь фришком сервере.
Мне их возможности больше по душе, чем с магнитной полоской.
чудо — это что он не используется при платежах по инету.
