Карты сбера нет - не проверить
От: aios  
Дата: 08.09.20 18:44
Оценка: 76 (1) :)
Правда, или врут?

Re: Карты сбера нет - не проверить
От: Xander Zerge Россия www.zerge.com
Дата: 08.09.20 18:58
Оценка: +3
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Правда.

Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Серёжа Новиков,
программист
Re[2]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 19:17
Оценка: 7 (2) +2 -1
Здравствуйте, Xander Zerge, Вы писали:

XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.


Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Re[3]: Карты сбера нет - не проверить
От: John1979  
Дата: 08.09.20 19:27
Оценка: 1 (1) +13
Здравствуйте, VladFein, Вы писали:

VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Re[3]: Карты сбера нет - не проверить
От: Pzz Россия https://github.com/alexpevzner
Дата: 08.09.20 19:31
Оценка: +1
Здравствуйте, VladFein, Вы писали:

VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль


Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
Re[4]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 20:56
Оценка: +5 :))) :))) :))) :))
Здравствуйте, John1979, Вы писали:

VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

J>Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.

Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
Re[4]: Карты сбера нет - не проверить
От: VladFein США  
Дата: 08.09.20 20:59
Оценка: +1
Здравствуйте, Pzz, Вы писали:

VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль


Pzz>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...


Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
Re[5]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 08.09.20 21:03
Оценка: +1 :)))
Здравствуйте, VladFein, Вы писали:

VF>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...


В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.

Страшно подумать, что у них там может быть с хранением почты и паролей
Re[2]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 08.09.20 21:05
Оценка: 1 (1)
Здравствуйте, Xander Zerge, Вы писали:

XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.


Но это надо знать что надо компенсировать выпавшие большие буквы. Поведение непривычное и довольно неожиданное.

Хотя, большинство аудитории не задумывается про такие мелочи и сложность пароля вообще.
Re: Карты сбера нет - не проверить
От: velkin Удмуртия https://kisa.biz
Дата: 08.09.20 22:26
Оценка:
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.
Re[2]: Карты сбера нет - не проверить
От: sambl74 Россия  
Дата: 09.09.20 02:53
Оценка: +1 :)
Здравствуйте, velkin, Вы писали:

V>Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.


Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны
Re[3]: Карты сбера нет - не проверить
От: aios  
Дата: 09.09.20 03:56
Оценка:
S>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны

при первом запуске тоже?
Re: Карты сбера нет - не проверить
От: Pavel Dvorkin Россия  
Дата: 09.09.20 04:12
Оценка: +1
Здравствуйте, aios, Вы писали:

A>Правда, или врут?


Да, верно. Я им даже вопрос задавал об этом и получил ответ — штатное поведение.

Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

— Я точно помню свой пароль, а он меня не пускает, помогите, что делать ?
— А как Вы его набирали — заглавными или строчными ?
— А я не помню. А не все ли равно ?

Что касается безопасности, то тут проблемы нет. Как уже отметил Xander Zerge, добавь один символ и будет компенсировано. Реально же и вообще ничего делать не надо, и сообщать об этом тоже.

P.S. Кстати, существуют языки, где один регистр букв. Иврит, например.
With best regards
Pavel Dvorkin
Отредактировано 09.09.2020 11:14 Pavel Dvorkin . Предыдущая версия .
Re[5]: Карты сбера нет - не проверить
От: MaxxK  
Дата: 09.09.20 08:52
Оценка: +1
VF>>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль

Pzz>>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...


VF>Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...


И это тоже можно делать, храня только хэш пароля. Достаточно привести к некоторому нормальному виду перед вычислением хэша (с учётом регистра, раскладки, опечаток и т.п.).
Более того, в теории можно даже добавлять новые варианты нормализации пошагово и обновлять хэши паролей при следующем входе.
Я тоже сначала посмеялся, но, если задуматься, то в системах, для которых брутфорс не является угрозой, это было бы очень хорошим решением, повышающим удобство пользователей.
Хотя большинство, конечно, давно хранит пароли в браузере и вручную их не вводит.
Re[2]: Карты сбера нет - не проверить
От: Mihas  
Дата: 09.09.20 09:23
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
Re[4]: Карты сбера нет - не проверить
От: mike_rs Россия  
Дата: 09.09.20 09:36
Оценка:
Здравствуйте, aios, Вы писали:


S>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны


A>при первом запуске тоже?


при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?
Re[3]: Карты сбера нет - не проверить
От: mike_rs Россия  
Дата: 09.09.20 09:37
Оценка: +1
Здравствуйте, Mihas, Вы писали:

M>Здравствуйте, Pavel Dvorkin, Вы писали:


PD>>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.

M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки

лучше сразу позволять набирать любой пароль, все будут верными
Re[2]: Карты сбера нет - не проверить
От: fmiracle  
Дата: 09.09.20 09:40
Оценка: +2
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.


Я сам сегодня 3 раза вбивал пароль чтобы войти в винды, пока не понял, что капслок зажат

У техподдержки сбербанка вполне может быть серьезная проблема с подобными жалобами.
Re[3]: Карты сбера нет - не проверить
От: Pavel Dvorkin Россия  
Дата: 09.09.20 11:11
Оценка:
Здравствуйте, Mihas, Вы писали:

M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки


Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
With best regards
Pavel Dvorkin
Re[4]: Карты сбера нет - не проверить
От: Mihas  
Дата: 09.09.20 11:20
Оценка: +1
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, Mihas, Вы писали:


M>>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки


PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.

Я и пользуюсь на компе. И то была шутка
Re[6]: Карты сбера нет - не проверить
От: RonWilson Россия  
Дата: 09.09.20 11:27
Оценка:
Здравствуйте, fmiracle, Вы писали:

F>Здравствуйте, VladFein, Вы писали:


VF>>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...


F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.


F>Страшно подумать, что у них там может быть с хранением почты и паролей


зато страшно удобно для тестирования — вроде как ящики разные, а по сути один и тот же — the.shmj@gmail.com, theshmj@gmail.com
Re[6]: Карты сбера нет - не проверить
От: std.denis Россия  
Дата: 09.09.20 12:27
Оценка:
F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
F>Страшно подумать, что у них там может быть с хранением почты и паролей
а про "+" в адресе вообще лучше не вспоминать!
Re[4]: Карты сбера нет - не проверить
От: Ops Россия  
Дата: 09.09.20 16:45
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.


Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[3]: Карты сбера нет - не проверить
От: ArtDenis Россия  
Дата: 09.09.20 17:19
Оценка:
Здравствуйте, Mihas, Вы писали:

M>А следующим шагом можно сделать независимость от раскладки


Вконтакте так и сделали
[ 🎯 Дартс-лига Уфы | 🌙 Программа для сложения астрофото ]
Re[5]: Карты сбера нет - не проверить
От: vladislav_somov Россия  
Дата: 11.09.20 07:57
Оценка:
Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, Pavel Dvorkin, Вы писали:


PD>>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.


Ops>Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.


Речь, видимо, шла о том, что случайно набрать невозможно.
А когда специально нужно, можно и не учить. Есть специальные программы/клавиатуры.
Re[5]: Карты сбера нет - не проверить
От: AndrewN Россия  
Дата: 08.10.20 13:00
Оценка:
Здравствуйте, mike_rs, Вы писали:

_>Здравствуйте, aios, Вы писали:



S>>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны


A>>при первом запуске тоже?


_>при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?



Не актуален, уверены?? Три раза ХА-ХА!


Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком

Угораздило меня получать на работе зарплату на карту сбербанка.

Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль

Ну, думаю, не беда, пошел в ближайший банкомат, взял бумажку с новым временным логином и паролем.
Пришел домой, ввел с бумажки новые логин пароль, залогинился, сразу поменял логин на более удобочитаемый.

Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл).
Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!

Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Причем опции "удалить лишний логин" вообще не предусмотрено в принципе.

Вопрос, что курили разработчики ??

А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я?
Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?

--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Re[6]: Карты сбера нет - не проверить
От: granty Интернет
Дата: 06.11.20 23:01
Оценка:
Здравствуйте, AndrewN, Вы писали:


AN>Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком


AN>

AN>Вопрос, что курили разработчики ??


А хотите узнать "что курили разработчики"?

Включите консоль браузера (в инструментах разработчика) и посмотрите на десятки сторонних трекинг-пикселей и скриптов, которые загружает страница логина Сбербанк-онлайн. Сторонних скриптов, Карл! Скрипты видят все ваши логины и пароли от Сбербанка.
А потом залогиньтесь в личный кабинет и убедитесь, что сторонние скрипты (rutarget.ru) загружаются и там тоже. Они видят ваши номера счетов, карт, наличие денег на счетах, что и куда вы переводите.

Какой смысл обсуждать регистр при вводе логинов/паролей, если они доступны неограниченному кругу третьих лиц?

Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
Re[7]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 12.01.21 07:01
Оценка:
Здравствуйте, granty, Вы писали:

G>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


А как же same origin?

Вот расширения да, типа адблока и прочих — тут сливай сколько хочешь.
WBR, Igor Evgrafov
Отредактировано 12.01.2021 7:02 GarryIV . Предыдущая версия .
Re[8]: Карты сбера нет - не проверить
От: Doom100500 Израиль  
Дата: 18.01.21 07:31
Оценка:
Здравствуйте, GarryIV, Вы писали:

GIV>Здравствуйте, granty, Вы писали:


G>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


GIV>А как же same origin?


А чем это мешает сторонним скриптам шерстить DOM?
Спасибо за внимание
Re[9]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 18.01.21 16:05
Оценка: 6 (1)
Здравствуйте, Doom100500, Вы писали:

G>>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


GIV>>А как же same origin?


D>А чем это мешает сторонним скриптам шерстить DOM?


Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.
WBR, Igor Evgrafov
Отредактировано 18.01.2021 16:06 GarryIV . Предыдущая версия .
Re[10]: Карты сбера нет - не проверить
От: Doom100500 Израиль  
Дата: 19.01.21 07:57
Оценка:
Здравствуйте, GarryIV, Вы писали:

D>>А чем это мешает сторонним скриптам шерстить DOM?


GIV>Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.


Инфомация, конечно очень интересная, но всё-же там:
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

Я не нашёл упоминания о доступе к документу из скрипта.

И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?
Спасибо за внимание
Re[11]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 19.01.21 09:55
Оценка: 16 (2)
Здравствуйте, Doom100500, Вы писали:

D>Инфомация, конечно очень интересная, но всё-же там:

D>Я не нашёл упоминания о доступе к документу из скрипта.
D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.

D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?


https://code.google.com/archive/p/browsersec/wikis/Part2.wiki#Same-origin_policy

Same-origin policy for DOM access

With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:

If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.

Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.

If neither of the above conditions is satisfied, access is denied.


За CORS сам погугли
WBR, Igor Evgrafov
Отредактировано 19.01.2021 9:59 GarryIV . Предыдущая версия .
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.