Карты сбера нет - не проверить - Информационная безопасность

Здравствуйте, fmiracle, Вы писали:

F>Здравствуйте, VladFein, Вы писали:

VF>>Из теории вероятностей

Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...

F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.

F>Страшно подумать, что у них там может быть с хранением почты и паролей

зато страшно удобно для тестирования — вроде как ящики разные, а по сути один и тот же — the.shmj@gmail.com, theshmj@gmail.com

F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
F>Страшно подумать, что у них там может быть с хранением почты и паролей

а про "+" в адресе вообще лучше не вспоминать!

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.

Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.

Здравствуйте, Mihas, Вы писали:

M>А следующим шагом можно сделать независимость от раскладки

Вконтакте так и сделали

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, Pavel Dvorkin, Вы писали:

PD>>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.

Ops>Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.

Речь, видимо, шла о том, что случайно набрать невозможно.
А когда специально нужно, можно и не учить. Есть специальные программы/клавиатуры.

Здравствуйте, mike_rs, Вы писали:

_>Здравствуйте, aios, Вы писали:

S>>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны

A>>при первом запуске тоже?

_>при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?

Не актуален, уверены?? Три раза ХА-ХА!

Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком

Угораздило меня получать на работе зарплату на карту сбербанка.

Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль

Ну, думаю, не беда, пошел в ближайший банкомат, взял бумажку с новым временным логином и паролем.
Пришел домой, ввел с бумажки новые логин пароль, залогинился, сразу поменял логин на более удобочитаемый.

Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл).
Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!

Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Причем опции "удалить лишний логин" вообще не предусмотрено в принципе.

Вопрос, что курили разработчики ??

А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я?
Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?

Здравствуйте, AndrewN, Вы писали:

AN>Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком

AN>

AN>Вопрос, что курили разработчики ??

А хотите узнать "что курили разработчики"?

Включите консоль браузера (в инструментах разработчика) и посмотрите на десятки сторонних трекинг-пикселей и скриптов, которые загружает страница логина Сбербанк-онлайн. Сторонних скриптов, Карл! Скрипты видят все ваши логины и пароли от Сбербанка.
А потом залогиньтесь в личный кабинет и убедитесь, что сторонние скрипты (rutarget.ru) загружаются и там тоже. Они видят ваши номера счетов, карт, наличие денег на счетах, что и куда вы переводите.

Какой смысл обсуждать регистр при вводе логинов/паролей, если они доступны неограниченному кругу третьих лиц?

Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.

Здравствуйте, granty, Вы писали:

G>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.

А как же same origin?

Вот расширения да, типа адблока и прочих — тут сливай сколько хочешь.

Здравствуйте, GarryIV, Вы писали:

GIV>Здравствуйте, granty, Вы писали:

G>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.

GIV>А как же same origin?

А чем это мешает сторонним скриптам шерстить DOM?

Здравствуйте, Doom100500, Вы писали:

G>>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.

GIV>>А как же same origin?

D>А чем это мешает сторонним скриптам шерстить DOM?

Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.

Здравствуйте, GarryIV, Вы писали:

D>>А чем это мешает сторонним скриптам шерстить DOM?

GIV>Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.

Инфомация, конечно очень интересная, но всё-же там:
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

Я не нашёл упоминания о доступе к документу из скрипта.

И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?

Здравствуйте, Doom100500, Вы писали:

D>Инфомация, конечно очень интересная, но всё-же там:
D>Я не нашёл упоминания о доступе к документу из скрипта.
D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.

D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?

https://code.google.com/archive/p/browsersec/wikis/Part2.wiki#Same-origin_policy

Same-origin policy for DOM access

With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:

If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.

Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.

If neither of the above conditions is satisfied, access is denied.

За CORS сам погугли

	От:	RonWilson
	Дата:	09.09.20 11:27
	Оценка:

	От:	std.denis
	Дата:	09.09.20 12:27
	Оценка:

	От:	Ops
	Дата:	09.09.20 16:45
	Оценка:

	От:	ArtDenis
	Дата:	09.09.20 17:19
	Оценка:

	От:	vladislav_somov
	Дата:	11.09.20 07:57
	Оценка:

	От:	AndrewN
	Дата:	08.10.20 13:00
	Оценка:

	От:	granty
	Дата:	06.11.20 23:01
	Оценка:

	От:	GarryIV
	Дата:	12.01.21 07:01
	Оценка:

	От:	Doom100500
	Дата:	18.01.21 07:31
	Оценка: