Re[6]: Карты сбера нет - не проверить
От: RonWilson Россия  
Дата: 09.09.20 11:27
Оценка:
Здравствуйте, fmiracle, Вы писали:

F>Здравствуйте, VladFein, Вы писали:


VF>>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...


F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.


F>Страшно подумать, что у них там может быть с хранением почты и паролей


зато страшно удобно для тестирования — вроде как ящики разные, а по сути один и тот же — the.shmj@gmail.com, theshmj@gmail.com
Re[6]: Карты сбера нет - не проверить
От: std.denis Россия  
Дата: 09.09.20 12:27
Оценка:
F>В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
F>Страшно подумать, что у них там может быть с хранением почты и паролей
а про "+" в адресе вообще лучше не вспоминать!
Re[4]: Карты сбера нет - не проверить
От: Ops Россия  
Дата: 09.09.20 16:45
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.


Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[3]: Карты сбера нет - не проверить
От: ArtDenis Россия  
Дата: 09.09.20 17:19
Оценка:
Здравствуйте, Mihas, Вы писали:

M>А следующим шагом можно сделать независимость от раскладки


Вконтакте так и сделали
[ 🎯 Дартс-лига Уфы | 🌙 Программа для сложения астрофото ]
Re[5]: Карты сбера нет - не проверить
От: vladislav_somov Россия  
Дата: 11.09.20 07:57
Оценка:
Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, Pavel Dvorkin, Вы писали:


PD>>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.


Ops>Возможно, если предварительно набрать на компе и вводить результат. А на 5-10 раз ты его вообще выучишь.


Речь, видимо, шла о том, что случайно набрать невозможно.
А когда специально нужно, можно и не учить. Есть специальные программы/клавиатуры.
Re[5]: Карты сбера нет - не проверить
От: AndrewN Россия  
Дата: 08.10.20 13:00
Оценка:
Здравствуйте, mike_rs, Вы писали:

_>Здравствуйте, aios, Вы писали:



S>>>Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны


A>>при первом запуске тоже?


_>при первом запуске используется одноразовый пароль, не пофиг что там с регистром, если он больше не актуален?



Не актуален, уверены?? Три раза ХА-ХА!


Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком

Угораздило меня получать на работе зарплату на карту сбербанка.

Ну подключил как-то с пол-года назад "Сбербанк Онлайн", всё работало нормально, даже удобно было, до тех пор, пока я не забыл логин и пароль

Ну, думаю, не беда, пошел в ближайший банкомат, взял бумажку с новым временным логином и паролем.
Пришел домой, ввел с бумажки новые логин пароль, залогинился, сразу поменял логин на более удобочитаемый.

Всё бы хорошо, только на днях в ящике стола нашел бумажку со СТАРЫМИ логином и паролем (тем, которые я забыл).
Хохмы ради ввел старый логин и старый пароль, и что бы вы думали? Меня пустило!

Теперь у меня на руках ДВА логина и ДВА пароля от личного кабинета Сбербанк Онлайн и оба работают!
Причем опции "удалить лишний логин" вообще не предусмотрено в принципе.

Вопрос, что курили разработчики ??

А если старый логин и пароль скомпрометированы и бумажку с ними нашел бы не я?
Как вообще могло прийти в голову сохранять активной старую связку логин/пароль, после того как пользователь в явном виде заказал себе новую?

--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Re[6]: Карты сбера нет - не проверить
От: granty Интернет
Дата: 06.11.20 23:01
Оценка:
Здравствуйте, AndrewN, Вы писали:


AN>Вот цитирую себя же из ЛИЧНОГО опыта общения с их интернет банком


AN>

AN>Вопрос, что курили разработчики ??


А хотите узнать "что курили разработчики"?

Включите консоль браузера (в инструментах разработчика) и посмотрите на десятки сторонних трекинг-пикселей и скриптов, которые загружает страница логина Сбербанк-онлайн. Сторонних скриптов, Карл! Скрипты видят все ваши логины и пароли от Сбербанка.
А потом залогиньтесь в личный кабинет и убедитесь, что сторонние скрипты (rutarget.ru) загружаются и там тоже. Они видят ваши номера счетов, карт, наличие денег на счетах, что и куда вы переводите.

Какой смысл обсуждать регистр при вводе логинов/паролей, если они доступны неограниченному кругу третьих лиц?

Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.
Re[7]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 12.01.21 07:01
Оценка:
Здравствуйте, granty, Вы писали:

G>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


А как же same origin?

Вот расширения да, типа адблока и прочих — тут сливай сколько хочешь.
WBR, Igor Evgrafov
Отредактировано 12.01.2021 7:02 GarryIV . Предыдущая версия .
Re[8]: Карты сбера нет - не проверить
От: Doom100500 Израиль  
Дата: 18.01.21 07:31
Оценка:
Здравствуйте, GarryIV, Вы писали:

GIV>Здравствуйте, granty, Вы писали:


G>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


GIV>А как же same origin?


А чем это мешает сторонним скриптам шерстить DOM?
Спасибо за внимание
Re[9]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 18.01.21 16:05
Оценка: 6 (1)
Здравствуйте, Doom100500, Вы писали:

G>>>Ида, Сбербанк отнюдь не одинок в сливе перс.данных. Сайты Хоумкредита и Альфабанка так же размещают десятки сторонних скриптов и трекинг-пикселей систем сбора Big Data, как российских, так и зарубежных.


GIV>>А как же same origin?


D>А чем это мешает сторонним скриптам шерстить DOM?


Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.
WBR, Igor Evgrafov
Отредактировано 18.01.2021 16:06 GarryIV . Предыдущая версия .
Re[10]: Карты сбера нет - не проверить
От: Doom100500 Израиль  
Дата: 19.01.21 07:57
Оценка:
Здравствуйте, GarryIV, Вы писали:

D>>А чем это мешает сторонним скриптам шерстить DOM?


GIV>Сторонние скрипты грузятся со сторонних доменов — доступа к дому не имеют. Собственно в этом и смысл same origin policy.


Инфомация, конечно очень интересная, но всё-же там:
https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

Я не нашёл упоминания о доступе к документу из скрипта.

И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?
Спасибо за внимание
Re[11]: Карты сбера нет - не проверить
От: GarryIV  
Дата: 19.01.21 09:55
Оценка: 16 (2)
Здравствуйте, Doom100500, Вы писали:

D>Инфомация, конечно очень интересная, но всё-же там:

D>Я не нашёл упоминания о доступе к документу из скрипта.
D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.

D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?


https://code.google.com/archive/p/browsersec/wikis/Part2.wiki#Same-origin_policy

Same-origin policy for DOM access

With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:

If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.

Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.

If neither of the above conditions is satisfied, access is denied.


За CORS сам погугли
WBR, Igor Evgrafov
Отредактировано 19.01.2021 9:59 GarryIV . Предыдущая версия .
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.