Comments 736
> поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков
Выставлять голые ягодицы в интернет и жаловаться, что ими кто-то пользуется.
Выставлять голые ягодицы в интернет и жаловаться, что ими кто-то пользуется.
да вы что! у меня другая аналогия: сбер потихонечку, незаметно для вас снимает с вас штанишки и предлагает наклониться к окошечку… «не волнуйтесь, ягодданные используются только для анализа»
Пользуйся приложением или ходи ногами до отделения/банкомата.
Пользуйся приложениемЭто которое мобильное решето? Нет, спасибо…
А посещать отделение и проводить операцию через специалиста — это адъ и израиль. В принципе, терминалы/банкоматы до известной степени решают, да.
Ну тогда ногами до отделения. Удобство=1/Безопасность
Ну тогда ногами до отделенияВот еще бы они начали на улицу (24/7) ставить не простые банкоматы, а с приемом наличных. Сейчас таких оч. мало.
Вот это бы меня окончательно примирило с действительностью. Потому что бОльшая проблема — завести бабло, а не снять его…
По пути от работы до дома два больших отделения Сбера. По 3 аппарата в зоне 24. Минимум один работает на приём налички.
//эк я кого-то задел. Аж не поленился в профиль нагадить.
//эк я кого-то задел. Аж не поленился в профиль нагадить.
По пути от работы до дома два больших отделения Сбера.Это вам повезло :). У меня даже три отделения в пешей доступности, но наружу (24/7) у них выставлен только один банкомат, который:
1) чаще бывает на профилактике, чем работает
2) когда работает — часто бывает без денег, т.к. к нему «не зарастает народная тропа»
3) не имеет функции cash in.
А ведь это спальное внутримкадье. Прям переживаю за жителей Новой Москвы, у них, видимо, ситуация похуже будет…
У нас стоит при входе в бизнес-центр. Деньги принимает. Я, конечно, не записывал, но мне кажется что в этом году он работает не чаще одного дня в неделю, а так посмотришь — восклицательный треугольник во весь экран. Очень часто видел чешущего репу ремонтника рядом.
У меня от сберовских кеш-инов глаз дергается. В отделении пыталась внести деньги, банкомат их съел, и… все. Сотрудники подошли, лениво потыкали в кнопки: «аааа… он опяааать… дааа… сегодня вы уже трееетья… пишите заявлееение… нееет, написать объявление, что не принимает деньги, нельзяяяяя...»
Деньги возвращали месяц, и потом в ответ на жалобу пришла отписка в стиле «банкомат — сложный прибор, и он иногда ломается. Жри, что дают».
Деньги возвращали месяц, и потом в ответ на жалобу пришла отписка в стиле «банкомат — сложный прибор, и он иногда ломается. Жри, что дают».
Зря вы в отделение обращались. Надо сразу на горячую линию звонить, в отделениях не особо обремененные разумом люди работают.
в отделениях не особо обремененные разумом люди работают.Подтверждаю. Мне в одном отделении втирали, что определенный тип карт в долларах не открывают (тогда как в саппорте сказали, что открывают). У начальства уточняли даже… Я сделал ставку на саппорт и не проиграл :). Пришел в соседнее отделение, там открыли карту без проблем :):):)
В отделении я написала жалобу в жалобную книгу, и плюс кляузу через мыло. На мыло меня и послали в «горячей линии».
Ещё на банки.ру результативно получается писать.
не очень.
я жаловался на ВТБ24, что они в тарифах пишут одно, а по факту снимают комиссии по другой формуле.
просто отмазками отмазались, воз и ныне там.
нет времени жалобу в ЦБ на это отправить
я жаловался на ВТБ24, что они в тарифах пишут одно, а по факту снимают комиссии по другой формуле.
просто отмазками отмазались, воз и ныне там.
нет времени жалобу в ЦБ на это отправить
ЦБ переадресует это всё в банк, на который жалуешься и… и всё.
Жаловался на грефа, что в Крым деньги не переводит (брат попросил помочь), а комиссию исправно дерёт.
Жаловался на грефа, что в Крым деньги не переводит (брат попросил помочь), а комиссию исправно дерёт.
ЦБ с физлицами не работает, мне прислали отмазку, что они только делами Банк-государство (если по простому) занимаются и проблемы отношений физиков с банком должен решать кто-то другой.
ВТБ24 — это вообще отродье дьявола и отголосок совка…
пользуюсь этим банком почти 10 лет и, к моему сожалению, не могу отказаться и вынужден терпеть :(
пользуюсь этим банком почти 10 лет и, к моему сожалению, не могу отказаться и вынужден терпеть :(
Не возитесь никогда с отделениями. Есть телефон горячей линии, звоните туда. Письма и кляузы это все не пустота, звонок для них пока важней.
Так же могу сказать, не возитесь никогда с горячей линией, потому что там сидит человек — автоответчик, у нее есть бумажка она с нее читает и все.
Ну по моему опыту (заглотил деньги — написал ошибку || проглотил карту — перезагрузился || выдал деньги — не выдал карту || не выдал деньги — списал с карты) — горячая линия, спросив номер АТМа, почти сразу возвращает деньги на счет, либо перенаправляют проблему в отделение, где ее реально решают. А напрямую в отделение идти… ну черт знает. Те кто стоят в залах — они как правило бабушкам помогают реквизиты набить. Кассиры тоже не айс. Манагеры как правило не лучше зальных обитателей, советуют звонить в СП.
Это работает только для своих клиентов. Для клиентов других банков ответ горячей линии — "мы не оказываем услуги возврата карт, обращайтесь в ваш банк".
Об этом не подумал (:
Если банкомат «захватывает» карту, м.б. несколько причин:
1) карта числится в числе украденных, и это нормально, что банкомат её захватил;
2) был неверно введён пин-код (за 3 попытки, обычно), и банкомат считает, что это кто-то левый пытается получить доступ к счёту, связанному с картой;
3) картридер — уже начал глючить (например, уже слишком грязный).
4) криво настроено ПО банкомата, что оно даёт команду на захват карты (маловероятно, но возможно);
Что делать клиенту
(пока не видел, чтобы этот метод не работал):
— находите ответственного сотрудника банка,
объясняете ему (кратко), что невозврат карты повлечёт такие потери, которые Вы будете взыскивать обязательно
(легенду — предлагаю подготовить заранее).
Т.е. фиксируете координаты ответственного сотрудника.
Как правило, за это время они успевают найти того, кто сможет достать захваченную карту
(там всего-то нужно — отключить сигнализацию, чтобы маски-шоу через несколько минут не появились,
да вскрыть корпус банкомата).
1) карта числится в числе украденных, и это нормально, что банкомат её захватил;
2) был неверно введён пин-код (за 3 попытки, обычно), и банкомат считает, что это кто-то левый пытается получить доступ к счёту, связанному с картой;
3) картридер — уже начал глючить (например, уже слишком грязный).
4) криво настроено ПО банкомата, что оно даёт команду на захват карты (маловероятно, но возможно);
Что делать клиенту
(пока не видел, чтобы этот метод не работал):
— находите ответственного сотрудника банка,
объясняете ему (кратко), что невозврат карты повлечёт такие потери, которые Вы будете взыскивать обязательно
(легенду — предлагаю подготовить заранее).
Т.е. фиксируете координаты ответственного сотрудника.
Как правило, за это время они успевают найти того, кто сможет достать захваченную карту
(там всего-то нужно — отключить сигнализацию, чтобы маски-шоу через несколько минут не появились,
да вскрыть корпус банкомата).
Ага, щас. Десять раз ответственный сотрудник побежит за пять километров ломать банкомат!
Там не ПО настроено криво, там оно кривое в принципе. Захват карты выглядит следующим образом:
1. вставляешь карту в банкомат;
2. банкомат выдает на весь экран надпись «Извините, банкомат временно не работает из-за технических неполадок»;
3. через пару минут банкомат перезагружается и предлагает вставить еще одну карту.
Воспроизводимость — 3 раза из трех, с разными банкоматами, дальше не проверял.
Там не ПО настроено криво, там оно кривое в принципе. Захват карты выглядит следующим образом:
1. вставляешь карту в банкомат;
2. банкомат выдает на весь экран надпись «Извините, банкомат временно не работает из-за технических неполадок»;
3. через пару минут банкомат перезагружается и предлагает вставить еще одну карту.
Воспроизводимость — 3 раза из трех, с разными банкоматами, дальше не проверял.
Занимался (не так давно) банкоматами (по работе).
Потому — знаю, как то д.б. нормально.
Нет, сам ответственный сотрудник банка права не имеет вскрывать банкомат.
По тому, что Вы описываете:
заметив вставленную карту, банкомат находит, что у него есть какие-то критические неполадки
(почему появляется сообщение).
И перезагружается, чтобы, возможно, восстановить свою работоспособность (это помогает, когда причина — в софте).
Но если причина в «железе», презагрузка не поможет.
А карточки — либо попадают в контейнер для захваченных карт,
либо карта оказывается замята в ридере
(и тогда следующую он просто не сможет взять).
Насчёт того, что «с разными банкоматами» — пока не понял.
Хотя, возможно, их удалённо перенастроили (по факту — «криво»), и они начали «чудить».
Нормально, как начинает сбоить банкомат, в течении часа приезжает спец, что устраняет неполадку
(корректировкой настроек софта, или заменой неисправного модуля — по обстоятельствам).
Потому — знаю, как то д.б. нормально.
Нет, сам ответственный сотрудник банка права не имеет вскрывать банкомат.
По тому, что Вы описываете:
заметив вставленную карту, банкомат находит, что у него есть какие-то критические неполадки
(почему появляется сообщение).
И перезагружается, чтобы, возможно, восстановить свою работоспособность (это помогает, когда причина — в софте).
Но если причина в «железе», презагрузка не поможет.
А карточки — либо попадают в контейнер для захваченных карт,
либо карта оказывается замята в ридере
(и тогда следующую он просто не сможет взять).
Насчёт того, что «с разными банкоматами» — пока не понял.
Хотя, возможно, их удалённо перенастроили (по факту — «криво»), и они начали «чудить».
Нормально, как начинает сбоить банкомат, в течении часа приезжает спец, что устраняет неполадку
(корректировкой настроек софта, или заменой неисправного модуля — по обстоятельствам).
Можно поступить просто:
фиксируете «реквизиты» (должность, фамилию и инициалы) того сотрудника дырБанка (по факту), что Вам заявляет подобное.
Узнаёте у него и ФИО его начальника.
Страна должна знать своих героев.
И публикуете эти данные в открытом доступе.
Тогда в следующий раз их начальник должен начать включать голову, чтобы не наступать на те-же грабли.
Проверено, именно так и действует. Сбер, по факту, монополист, почему и позволяет себе подобное.
Если Вы против такого проявления монополизма — надо действовать.
фиксируете «реквизиты» (должность, фамилию и инициалы) того сотрудника дырБанка (по факту), что Вам заявляет подобное.
Узнаёте у него и ФИО его начальника.
Страна должна знать своих героев.
И публикуете эти данные в открытом доступе.
Тогда в следующий раз их начальник должен начать включать голову, чтобы не наступать на те-же грабли.
Проверено, именно так и действует. Сбер, по факту, монополист, почему и позволяет себе подобное.
Если Вы против такого проявления монополизма — надо действовать.
Тоже столкнулся с проблемой пополнения — ближайшее замкадье, вчера пробежал два отделения: в одном два банкомата, один на приём (не работает). Во втором 8 банкоматов, из них 2 на приём (1 не работает, ко второму очередь порядка 10 человек.)
Серая зарплата? Просто иначе очень сложно понять зачем это часто нужно. Ну, я ещё так делаю ускоренные межбанковские переводы: с карты одного банка снял, на сбер внёс.
для примера: карта сбера у меня основная (так исторически сложилось), з\п дают на карту другого банка (эту карту нигде не свечу). За перевод надо платить %.
Оплата ипотеки сбера :)
Да, тогда не придётся ждать до нескольких банковских дней
(пока перевод проходит все проверки),
и деньги будут зачислены моментально.
(пока перевод проходит все проверки),
и деньги будут зачислены моментально.
во всех отделениях сбера, и в отдельных павильонах на остановках по 2-3 банкомата, из которых 1-2 принимают наличку и по 1-2 терминалу которые тоже принимают наличку, но не выдают. г. Чебоксары
Работал в офисе в Москве, ещё этой зимой. Расположенные в радиусе километра от офиса 2 отделения сбера были закрыты, теперь ближайшее в 2 км. Ул. Смирновская, если что.
Ну это ещё и от города зависит и от района этого города. Вполне допускаю что может не быть отделения с банкоматом вообще и на приём в частности (терминалы наверно во всех есть). Это может быть вызвано площадью этого отделения (иногда его можно найти в обыкновенной двушке) и тем более может не быть зоны 24. А отдельные павильоны вообще только в Норильске видел.
Прямо вести из параллельной вселенной. А вы зарплату в конвертах получаете? Или в кассе налом? Тогда над вами можно только поржать в голос! При безналичном получении денег что перевести их на счет (карту) сбера, что сразу их там «находить» — абсолютно безнапряжная процедура. Хоть обпереводись. Кстати, а автор написал о сбербанк онлайн! Алё, вы в монитор деньги сувать собрались или флоповод еще остался?
21 век так-то, пора уже отходить от этой порочной практики)) а таким крупным компания быть более, как бы это сказать, клиентоориентированными, причем не в рекламе
У меня есть идея получше, зацените:
— сбер убирает стороннюю аналитику со своих страниц и пишет свою
В принципе, терминалы/банкоматы до известной степени решают, да.Ага, особенно терминалы. Где чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетов, ещё и текстовую информацию, всё без права на ошибку, иначе квест сначала. Отходишь от него как выжатый лимон.
В онлайне это делается банальным шаблоном.
чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетовДва двадцатизначных, БИК и ИНН/КПП организации-получателя. Если школа — коммерческая организация, то это все. Платежи в бюджет — плюс еще всякие КБК.
Но я написал «решают в известной степени». Неудобства есть, вне всякого сомнения.
Да хоть один 20-значный, набирать это вручную в толкучке очереди не очень приятно. Могли бы хоть интерфейс поудобней сделать, в идеале — забить эти данные в такие же шаблоны (таких организаций в городе не так уж и много, масса платежей стандартна, школы, детсады, ГИБДД, и т.д.)
Так что тут адъ не меньший. А операционисты вообще у нас перестали принимать платежи, шлют в терминал. Не знаю, имеют право или нет, но бабульки послушно идут.
Так что тут адъ не меньший. А операционисты вообще у нас перестали принимать платежи, шлют в терминал. Не знаю, имеют право или нет, но бабульки послушно идут.
Ага, у нас рядом с офисом платное МРЭО, так там держат специального соотрудника, который за клиентов их данные в сберовский терминал вбивает. = )
А у вас банкомат со сканером? Можно посмотреть, что именно и в каком порядке забивается в QR-код на квитанции и сделать визитку-шаблончик с нужным счётом и суммой, останется только проверить и внести наличные. Решение из области программы «Очумелые ручки», конечно, но если других вариантов нет — может и сработать.
Вариант, кстати. Что внутри QR знаю, делал его по работе. Но сам полностью всё оплачиваю через онлайн, так что лично меня всё устраивает, поворчать за компанию зашел :)
А эти сканеры у терминалов сейчас работают?
Этак в 2009 в Сбере мне показали на тот момент офигенную фичу — можно было платить налоги в терминале без очередей и комиссий кассы, еще и без ввода цифр — можно было, выбрав налоговую, сканировать штрих-код!
Пару лет так платили налоги всех родственников. А потом сканеры сломались (программно видимо), потом новые терминалы вообще без сканеров были…
Сейчас сканеры есть, но я так и не пойму, какие коды они вообще умеют считывать — ничего из того что подсовывал, не читалось.
Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.
Этак в 2009 в Сбере мне показали на тот момент офигенную фичу — можно было платить налоги в терминале без очередей и комиссий кассы, еще и без ввода цифр — можно было, выбрав налоговую, сканировать штрих-код!
Пару лет так платили налоги всех родственников. А потом сканеры сломались (программно видимо), потом новые терминалы вообще без сканеров были…
Сейчас сканеры есть, но я так и не пойму, какие коды они вообще умеют считывать — ничего из того что подсовывал, не читалось.
Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.
А эти сканеры у терминалов сейчас работают?Работают, и их даже бабушки освоили :)
UFO just landed and posted this here
Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.
— Сейчас можно просто поднести карту (имеющую RFID-модуль) к специальной площадке на банкомате.
Ничего вставлять не нужно. Как минимум исчезает проблема с чисткой и ТО картридеров.
Некропостеры…
Не ко всем. Опять же программные приколы видимо, поскольку вот буквально два месяца назад банкомат в отделении спокойно читал бесконтактные карты (и даже смартфоны с **Pay, где карта сбера сохранена), а последний месяц этот же банкомат никак не реагирует на поднесение карты/смарта. И в таком «непределенном» состоянии все банкоматы с NFC-площадкой в городе.
Сейчас можно просто поднести карту (имеющую RFID-модуль) к специальной площадке на банкомате.
Не ко всем. Опять же программные приколы видимо, поскольку вот буквально два месяца назад банкомат в отделении спокойно читал бесконтактные карты (и даже смартфоны с **Pay, где карта сбера сохранена), а последний месяц этот же банкомат никак не реагирует на поднесение карты/смарта. И в таком «непределенном» состоянии все банкоматы с NFC-площадкой в городе.
Работаю в сфере ЖКХ по приему платежей. Вставлю свои 5 копеек. Тут есть одна засада в плане шаблона и почему я своим не рекомендую делать такие вещи как шаблоны на платежи — изменение реквизитов получателя. Такое случается вполне часто. И если вы попытаетесь платить по шаблону. а не по тем реквизитам что стоят в платежном документе — деньги уйдут не туда и Вы об этом не узнаете вовремя. А это может быть проблема. Именно по этой причине делать шаблоны в массовом применении я бы не рекомендовал.
Для себя — делайте сколько угодно (что в Сбере собственно и сделано в кабинете). Но делать по другому — будет плохо.
Для себя — делайте сколько угодно (что в Сбере собственно и сделано в кабинете). Но делать по другому — будет плохо.
Шаблоны вы имеете ввиду в онлайн-банке? Допустим в сбере, при оплате через шаблон, проходит несколько страниц (с кнопкой «далее») с забитыми реквизитами. То есть сверить БИК/счет можно банально по трём последним цифрам, а не по всем 20ти. В случае изменения это бросится в глаза.
Ну, если не глядя прощелкать — сам себе буратино.
Ну, если не глядя прощелкать — сам себе буратино.
В онлайне это еще ладно. Ты все-таки чаще всего сидишь дома и дома же платишь. У тебя над душой нет толпы народа (даже чисто морально), может только кошка которая требует на колени и дети которые скачут вокруг. И то отвлекает и можно ошибиться. А шаблон в терминале когда ты летишь куда-то и решил по пути заплатить — потенциальный источник ошибок. Я своим на работе потому и не рекомендую шаблоны делать под такие операции — кассир торопится работать (з/п зависит от наработки), такие вещи легко пропускают.
Тут на буратину не свалишь, на усталость и фон посторонний легко.
Тут на буратину не свалишь, на усталость и фон посторонний легко.
Есть возможность на карте иметь готовые шаблоны. Но забивают их в отделении. А дальше в банкомате выбираешь, вводишь дату, сумму и все.
Однажды оплачивал учебу через банкомат. Как положено ввел реквизиты счета университета, НО т.к. ВУЗ имеет филиалы, то и в его реквизитах был субсчет, а ПО терминала такого функционала не имеет.
После такой оплаты пришлось несколько дней утрясать с бухгалтерией ВУЗа и СБ отмену платежа, т.к. деньги ушли в один из филиалов, а не в центр. бухгалтерию.
После такой оплаты пришлось несколько дней утрясать с бухгалтерией ВУЗа и СБ отмену платежа, т.к. деньги ушли в один из филиалов, а не в центр. бухгалтерию.
а сейчас нет шаблонов в терминалах? пару-тройку лет назад заводил шаблоны на квартплату и т.д., пока онлайн не стал пользоваться…
Ну вот как раз пару-тройку лет назад не было. Сейчас не знаю, тоже онлайном пользуюсь. Но очень сомневаюсь, что сделали как надо.
Тут на банкоматах пару месяцев назад софт поменяли — интерфейс тормозной до ужаса. Тыкаешь на экран — ноль эмоций, тыкаешь ещё раз — он как раз переварил первый клик, обновил окно и взял второй клик из очереди — т.е. попал на тот контрол, что «нарисовался» на этом месте на новом окне.
Например: «выдать наличные» — тишина, «выдать наличные» — (меняется окно на выбор суммы, на месте «выдать наличные» появляется кнопка «500 рублей», отрабатывает второе нажатие, банкомат выдаёт 500 и возвращает карту) — всё что в скобках пользователь не видит. Мужик так передо мной, матерясь, по 500 таскал с карты минут пять, пока я не понял, в чём дело и не подсказал.
Тут на банкоматах пару месяцев назад софт поменяли — интерфейс тормозной до ужаса. Тыкаешь на экран — ноль эмоций, тыкаешь ещё раз — он как раз переварил первый клик, обновил окно и взял второй клик из очереди — т.е. попал на тот контрол, что «нарисовался» на этом месте на новом окне.
Например: «выдать наличные» — тишина, «выдать наличные» — (меняется окно на выбор суммы, на месте «выдать наличные» появляется кнопка «500 рублей», отрабатывает второе нажатие, банкомат выдаёт 500 и возвращает карту) — всё что в скобках пользователь не видит. Мужик так передо мной, матерясь, по 500 таскал с карты минут пять, пока я не понял, в чём дело и не подсказал.
О, новый интерфейс ужасен и неинформативен. К примеру, поле ввода пин-кода — маленькие кружочки, нажимаешь цифру внутри маленького кружочка появляется ещё меньше кружочек цвета фона. Индикация какие купюры есть в наличие — маленькие (сантиметра полтора в ширину) иконки денег, против прежних цифр номиналов, где каждая была эти сантиметра полтора в высоту.
Кстати, интересно, а если пин-код не 4 символа а больше? Не все же стандартным пользуются, а установить можно и подлиннее.
Мне сказали — длиннее нельзя. Но официальный ответ из них выбить сложно, — просят молодую девочку по телефону надиктовать что-то.
зато болтает так что уши закладывает
Точно! Новый интерфейс — мрак! Моло того что блекло-невнятный дизайн, дык еще и тормоза.
У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане. Но по поводу кликов — это да — адъ полнейший. А уж про то как звучит фраза «Операция обрабатывается» — пипец просто. Особенно когда вносишь большую пачку денег. Плюс в том что после 10-й купюры банкомат перестает говорить фразу, но пока внесешь 10 купюр — закипать начинаешь уже.
Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.
Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.
У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом планеВо как. Хоть что-то логичное и полезное сделали.
Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.
Тормоза скорее всего этим и обусловлены.
не факт что на банкомате нет яндекс метрики
Не забываем, что на банкомат можно наклеить скиммер…
UFO just landed and posted this here
За 6-ю версию не скажу, но в 7-й версии Android есть настройка разрешений.
И нет никакой гарантии что из-за не выданного разрешения это приложение не свалится на середине транзакции и не пустит вас по квесту "Убедить сбербанк что вы не отдавали им все свои деньги просто так". Если вообще запустится.
Что значит нет никакой гарантии? Вам вообще кто-нибудь эту гарантию даёт? Это стандартный механизм в андроиде 6 и выше, и нечего говорить мол он там что-то ломает. Если что-то пошло не так, то отправьте багрепорт.
Никто не дает, все верно. Именно поэтому пользоваться данным механизмом в важном приложении крайне сомнительная затея. А зная поддержку Сбербанка я могу предсказать что при проблемах в приложении виноват окажусь именно я.
Вы пишете что что-то сломается в транзакции, в андроие 6. Я вам пишу что причем тут это вообще в данной теме? Вы понимаете разницу между «сливают информацию» и «багом»? Или вы хотите сказать что транзакция сломается, но деньги спишутся? Такое уже бывает обычно только в сказках, ибо мобильное приложение не участвует при совершении транзакции, оно лишь получает информацию, успешно или нет. Поэтому я не вижу ничего как вы пишете крайне сомнительного в этом деле. От слова вообще.
Господа минусяторы, вы в своём репертуаре. Минусуете, карму сливаете, но при этом не пишете причины. Сверху человек написал что в 6 и 7 андроиде есть управление разрешениями. Как вообще можно было этот комментарий сливать?! Я хренею с неадекватности таковых людей, молчаливых минусяторов.
Господа минусяторы, вы в своём репертуаре. Минусуете, карму сливаете, но при этом не пишете причины. Сверху человек написал что в 6 и 7 андроиде есть управление разрешениями. Как вообще можно было этот комментарий сливать?! Я хренею с неадекватности таковых людей, молчаливых минусяторов.
Банальный кейс: я прошу сделать какой-либо перевод денег, приложение зачем-то лезет куда не надо и куда я разрешения не давал. Система приложению туда залезть не дает, приложение это некорректно обрабатывает и отправляет на сервер некорректные данные. Сервер получает от приложения какие-то данные и что-то делает. В результате мои деньги уйдут не туда, не в том количестве или, в худшем случае мои данные уже на сервере из-за чрезмерного доверия к данным приложения будут испорчены. Нереальная ситуация? Маловероятная, может быть. Но вполне реальная.
В нормальной компании в таком случае передо мной извинятся и откатят некорректную транзакцию назад. Это само по себе может быть печально, например в случае если я пытался заплатить по кредиту, а из-за ошибки срок платежа прошел и мне начислили штраф, но это еще как-то. Внимание, вопрос: а что в такой ситуации сделает сбербанк?
Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными? Мне казалось цепочка очевидна, но все же: приложение запрашивает тонну разрешений, значит оно зачем-то хочет все эти данные. Это может быть ошибкой программистов, а может быть желанием получить как можно больше данных. При этом корректная работа приложения без этих разрешений не гарантируется. Собственно я вам на последний пункт в этой цепочке и указал.
>Нереальная ситуация?
если исходить из того что нереального как бы не бывает, ибо человеку свойственно ошибаться, то да, реальная. А если исходить из того, что все данные должны обрабатываться и проверяться исключительно на сервере (что они и делают), то ситуация чуть более, чем нереальная. Нет такого, что вы что-то некорректно отправили, и деньги ушли не туда. Фигня это всё. Такого нет лет… дцать. Посмотрите доклад на Mobius за 2015 год, там как раз люди с касперского выступали, говоря про сбербанк и небезопасную среду. Там речь о том, что сервер в принципе никогда не должен доверять тому, что отправляет клиент. Вот вообще никогда, потому что приложение можно легко декомпилировать и немного доработать для отправки некорректных данных. И если бы сервер полагался закрывая глаза на то что отправляет клиент… Да зная масштабы сбера, уже давно бы любой желающий бабло себе накручивал.
>Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными?
Я просто хочу сказать что на андроиде 6 и выше есть механизм ограничения этих данных, и он замечательно работает, только и всего. Я просто хотел указать что нету связи между «андроидом 6 и выше» и «приложение некорректно что-то обработает и деньги уйдут не туда».
Справедливости ради сделаю оговорку: такая связь есть для приложений, у которых в андроиде стоит API ниже 23. Тоесть приложение как бы говорит, мол плевали мы на ваши разрешения, мы их не поддерживаем. В таком случае приложение сразу запросит все разрешения у пользователя. Пользователь может их дать, а может потом их и убрать в системе. Но корректная работа не гарантируется. Но опять же, это не случай сбербанка, потому что а) они их поддерживают, и б) всё проверяется в обязательном порядке на сервере.
если исходить из того что нереального как бы не бывает, ибо человеку свойственно ошибаться, то да, реальная. А если исходить из того, что все данные должны обрабатываться и проверяться исключительно на сервере (что они и делают), то ситуация чуть более, чем нереальная. Нет такого, что вы что-то некорректно отправили, и деньги ушли не туда. Фигня это всё. Такого нет лет… дцать. Посмотрите доклад на Mobius за 2015 год, там как раз люди с касперского выступали, говоря про сбербанк и небезопасную среду. Там речь о том, что сервер в принципе никогда не должен доверять тому, что отправляет клиент. Вот вообще никогда, потому что приложение можно легко декомпилировать и немного доработать для отправки некорректных данных. И если бы сервер полагался закрывая глаза на то что отправляет клиент… Да зная масштабы сбера, уже давно бы любой желающий бабло себе накручивал.
>Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными?
Я просто хочу сказать что на андроиде 6 и выше есть механизм ограничения этих данных, и он замечательно работает, только и всего. Я просто хотел указать что нету связи между «андроидом 6 и выше» и «приложение некорректно что-то обработает и деньги уйдут не туда».
Справедливости ради сделаю оговорку: такая связь есть для приложений, у которых в андроиде стоит API ниже 23. Тоесть приложение как бы говорит, мол плевали мы на ваши разрешения, мы их не поддерживаем. В таком случае приложение сразу запросит все разрешения у пользователя. Пользователь может их дать, а может потом их и убрать в системе. Но корректная работа не гарантируется. Но опять же, это не случай сбербанка, потому что а) они их поддерживают, и б) всё проверяется в обязательном порядке на сервере.
Пробовал установить в прошлом месяце. Не дал доступ к списку контактов — проверка зависла.
И в шестой есть, но многие приложения просто закрываются, если им чего-нибудь не дать. Даже, если они данное разрешение не используют.
UFO just landed and posted this here
Есть настройка только «опасных» разрешений, а неопасные типа доступ к интернету, получение данных из других приложений (оверлей) или контроль телефоном через accessibility отозвать нельзя. Кроме того, если приложение требует столько очевидно ненужных для обычной работы разрешений это означает что никто не заморачивался на нормальную работу приложения когда разрешение не выдано.
Слышал, что Сбер через приложение, сливает телефонную книгу заемщика коллекторам.
Агенство ОБС?
сливает телефонную книгу заемщика коллекторамПро «сливает» не скажу, но доступ к телефонной книге есть и у приложений других банков. Причина проста — для удобства оплаты мобильного телефона тещи/брата/свата…
Про коллекторов ничего не скажу. У приложения есть фишка: показывать в списке контактов у кого есть сберовская карта. По-умолчанию в настройках сбола это включено.
Можно использовать отдельную учётную запись в Андроиде (начиная с 6, кажется), правда, все sms всё равно потенциально сливаются и несколько неудобно переключаться.
Заполнять телефонную книгу на этой учётке, естественно, не обязательно.
Ну, с архитектурной стороны — подход грамотный. Иначе приложение станет копией сайта.
А вот реализация со встроенным антивирусом — подкачала…
А вот реализация со встроенным антивирусом — подкачала…
Это которое постоянно сканирует телефон встроенным антивирусом Касперского, и выжирает батарею?
У них ужасное приложение, серьёзно.
У них ужасное приложение, серьёзно.
На ios никаких проблем, работает быстро и хорошо.
Кхм. Антивирус можно отключить. На GraceUX точно.
Оно еще отказывается работать на рутованных девайсах)
Это сейчас обыденная практика. Android Pay вообще отказывается работать, если: рут, либо разблокирован бутлодер, либо RAM кастомная. У меня по причине разблокированного бутлодера он не хочет работать.
А у меня все три пункта вместе: и CyanogenMod, и переразметка внутренней памяти, и рут как само собой разумеющееся (нужен хотя бы для смены региона WiFi).
Nexus 5X. Официальная прошивка, но разблокирован загрузчик, снято шифрование, установлено кастомное ядро (без рута). Android Pay работает.
Хм. Интересно. А я вот никак не могу понять как мне это побороть.
Может у вас сама прошивка отдаёт информацию мол у меня всё закрыто?
Может у вас сама прошивка отдаёт информацию мол у меня всё закрыто?
Самой прошивке пофиг, она может ничего и не знать. Через системные проперти можно узнать версию системы, номер сборки, название ядра и некоторые другие параметры типа статуса сертификации устройства (это сейчас выводится в приложении Play Маркет – Настройки, там в конце списка). Состояние загрузчика из самой системы вроде как и не узнать. Рут легко проверить по наличию файла 'su' или какими-то другими способами. Как понимаю, для банковских приложений, в т.ч. Google Pay (или, например, для аренды видео в Play Видео) главное – чтобы была оригинальная сборка системы и отсутствие рута. Хотя при разблокированном загрузчике никто не мешает читать и заменять пользовательские и системные файлы через кастомное рекавери.
А что такое оригинальная сборка системы? И как приложение узнаёт о её оригинальности?
На данный момент у меня сборка аля «user-debug». На релизной сборке всё работает, но мне нужная дебажная сборка системы, поэтому хочется починить на дебажной.
На данный момент у меня сборка аля «user-debug». На релизной сборке всё работает, но мне нужная дебажная сборка системы, поэтому хочется починить на дебажной.
Очень легко это все проверяется там используется обычный Verified Boot. В двух словах(и очень грубо пропуская тонкости) есть ключь в первичном не модифицируемом загрузчик им он проверяет вторичный загрузчик, дальше проверяется что не модефицированн он и что загрузчик заблокирован. проверяется подпись ядра. Дальше ядро проверяет хеши файловой системы на которой лежит образ.
Вобще там довольно много проверок, которые впринципе можно обойти. Например тотже Xposed или Magisk
Вобще там довольно много проверок, которые впринципе можно обойти. Например тотже Xposed или Magisk
Благодарю. Буду пробовать.
В конце того года случайно выяснил причину работоспобности Android Pay — причина оказалась в кастомном ядре ElementalX. Когда восстановил системные разделы для обновления до восьмого андроида (бут, рекавери, система), телефон зашифровался обратно (в своё время расшифровывал накопитель для ускорения работы), и перестал работать Pay. Повторная установка стороннего ядра решила проблему. Похоже, ядро обманывает систему, говоря ей что «всё ок», и не сообщает ей что бутлодер разлочен.
Однако, восьмой андроид, несмотря на обещанные оптимизации, не оправдал надежд, и телефону стало жить ещё сложнее. Установил LineageOS, который пока на базе седьмого андроида, там и в стоке Pay работает нормально.
Однако, восьмой андроид, несмотря на обещанные оптимизации, не оправдал надежд, и телефону стало жить ещё сложнее. Установил LineageOS, который пока на базе седьмого андроида, там и в стоке Pay работает нормально.
Да, я изрядно лоллировал, когда на моей xperia z3(прямо в отделении) приложуха не встала, ибо «богомерзкий рут».
Сони мне разрешает рутить аппрат, а СберБАНГ — нет. Весело.
Сони мне разрешает рутить аппрат, а СберБАНГ — нет. Весело.
Изначально на OnePlus, где штатно шёл Cyanogen (лицензированный, с заблокированным загрузчиком и без рута) многие приложения ругались на «небезопасную» прошивку – Сбер, Тинькоф, ещё кто-то. Всем писал жалобы, позже все исправились. Так что если теперь жалуется на рут, то хотя бы реально определяет, а не просто по наличию ключевых слов в версии системы.
Ужасное это у альфа банка. Хоть я сбербанк люто ненавижу, и пользуюсь Тинькофф банком и альфа банком (зп карта), но могу сказать что у сбера приложение очень хорошее, и что с ним сравнится только Тинькофф. Лучше этих двух банков на андроиде нет на данный момент.
Имхо, отечественные разработчики приложений со своей телеметрией вообще берегов не видят. Установленные Сбер онлайн и 2ГИС после подключения к WiFi на 2 минуты превращают мое устройство в картошку. Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)
А что за смартфон у вас, если не секрет? Пользуюсь описанным вами софтом на древнем Samsung Galaxy Note 3. Никаких превращений "в картошку", все летает.
Ммм… ИМХО, но в данном случае вопрос скорее к аппарату, а не к ПО
Нет уж! Вопросы (а лучше сразу выговоры с занесением в грудную клетку) только и исключительно к быдлокодерам. Процессор нормальный? Нормальный! Памяти достаточно? Да! Андроид? Андроид! Всё, какие ещё могут быть вопросы?
Вы посмотрите на этих программёров (и это ещё не вспоминая про остальные прослойки, про тестировщиков вообще забудем), сидят за каким-нибудь… макбуком, видя всё над чем «работают» только в эмуляторе… Всё что можно ожидать — получают сполна очень многие пользователи, не купившие себе топовый СамсуньгЪ Асемьног.
Ну ладно, расскажите, какие у вас (или вообще) вопросы или претензии к этому аппарату?
Вы посмотрите на этих программёров (и это ещё не вспоминая про остальные прослойки, про тестировщиков вообще забудем), сидят за каким-нибудь… макбуком, видя всё над чем «работают» только в эмуляторе… Всё что можно ожидать — получают сполна очень многие пользователи, не купившие себе топовый СамсуньгЪ Асемьног.
Ну ладно, расскажите, какие у вас (или вообще) вопросы или претензии к этому аппарату?
У древних аппаратов без поддержки ART были принципиальные проблемы с перевариванием multi dex приложений. Вообще жаловаться что на мобильной операционной системе выпущенной ПЯТЬ лет назад на современные приложения тормозят… ну это я не знаю из какой серии.
А где же хвалёное «автоопределение» и прочие фантастические возможности «экосистемы»? В какой момент наступает эта древность? Год назад не тормозило, два года назад не тормозило…
Какие вычисления производит, аж целый квадратный сантиметр (ну два-три) показывающий погоду, что он вообще смеет тормозить? Он на время делает телефон сервером погоды, вычисляя её в реальном времени?
Какие вычисления производит, аж целый квадратный сантиметр (ну два-три) показывающий погоду, что он вообще смеет тормозить? Он на время делает телефон сервером погоды, вычисляя её в реальном времени?
UFO just landed and posted this here
Приложение а) запросило прав кучу б) устанавливаться захотело только на внутреннюю память в) тащило с собой антивирус. Спасибо, не надо.
А зачем тогда вообще прогресс? Полагаю, что если что-то делаешь, то это надо делать хорошо.
Никому же не понравится, например, автомобиль с отлетающими колесами. Никто же не предложит ходить пешком. А случаев, когда он необходим, достаточно много.
Никому же не понравится, например, автомобиль с отлетающими колесами. Никто же не предложит ходить пешком. А случаев, когда он необходим, достаточно много.
UFO just landed and posted this here
В настройках можно включить режим инкогнито (по умолчанию отключен), чтобы вы не отображались значком по номеру телефона у других людей.
ФИО не видно, только Имя Отчество Ф. Это не только у них такое.
Я когда сбером пользовался, то очень радовала функция автоплатежа (с разными настройками), которой сейчас очень не хватает в другом банке:
1) Приходит счёт на оплату
2) Я получаю СМС вида: «Вам пришёл счёт на сумму {NNN}руб., отправьте {KKK} на номер 900 для отмены автоплатежа.»
3) Если не отменил, то на следующий день счёт будет оплачен автоматом.
1) Приходит счёт на оплату
2) Я получаю СМС вида: «Вам пришёл счёт на сумму {NNN}руб., отправьте {KKK} на номер 900 для отмены автоплатежа.»
3) Если не отменил, то на следующий день счёт будет оплачен автоматом.
UFO just landed and posted this here
Там бывали сообщения о блокировки автоплатежа.
К примеру, если приходит дюжина счетов на оплату вместо одного.
Помнится, жена телефон поменяла, а лишний блоатварь который шёл в нагрузку к андройду — не выпилила.
Так там пошёл достаточно бодрый траффик, вкупе с бодрыми сообщениями о нехватке средств на счету. Благо сбер на втором счёте в день автоплатёж автоматом затормозил.
Ну и коммуналка может не пройти, если цены поднимутся.
К примеру, если приходит дюжина счетов на оплату вместо одного.
Помнится, жена телефон поменяла, а лишний блоатварь который шёл в нагрузку к андройду — не выпилила.
Так там пошёл достаточно бодрый траффик, вкупе с бодрыми сообщениями о нехватке средств на счету. Благо сбер на втором счёте в день автоплатёж автоматом затормозил.
Ну и коммуналка может не пройти, если цены поднимутся.
Это не баг, а фича =) На самом деле, сколько сберовскими сервисами пользуюсь, раз 40 уже переводил деньги на карты разным людям, и моему внутреннему невротику всегда было приятно убедиться, что перевожу, куда надо. К тому же, фамилия не светится, только инициал, так что всё не так страшно. А бороться с потенциальным фродом надо уметь в любом случае самому пользователю. Не по ИО, так по чему-нибудь ещё развести попытаются, какая-нибудь условная баба Клава и так отправит «СПАСИТЕКОТИКОВ» на короткий номер, чтобы спасти несуществующих котиков от чего-то там. Между удобством и отсутствием фродной соц.инженерии я практически всегда выберу первое.
Это, во-первых, не только в мобильном приложении, а в Сбербанк.Онлайн тоже, а во-вторых, ФИО показывается для проверки — тому ли человеку вы собираетесь пять тысяч перевести. ИМХО, это удобно.
А ещё лучше кодом 900, чтобы вирусам удобнее было. Я сделал проще — не использую сбер, но есть те, кому приходится. Удобство и безопасность — это как раз сайт онлайн-банк на другом устройстве, чем привязанный телефон и без левых скриптов.
Сознательно не пользуюсь Сбербанком из-за множества проблем.
Зачем он? У того же Ситибанка и Райфа, и, по рассказам знакомых, Альфабанка, сервис гораздо лучше.
Да и рейтинг у них неплохой.
Зачем он? У того же Ситибанка и Райфа, и, по рассказам знакомых, Альфабанка, сервис гораздо лучше.
Да и рейтинг у них неплохой.
Я бы тоже не пользовался, но, к сожалению, есть принудиловка, например, на работе. Дают карту для зарплаты и будешь пользоваться. Бороться с этой системой очень трудно.
Мне тоже на работе выдали. Но у меня уже была другого банка, я написал заявление в бухгалтерию и мне зарплату скидывают на неё. Теоретически они обязаны выдавать или наличкой или на указанный мной банковский счет безналом.
Все это так
Во-первых, всегда можно написать заявление на счет в другом банке.
Во-вторых, можно сразу по приходу, сливать деньги в тинькофф. У нас почти все так делают.
Во-вторых, можно сразу по приходу, сливать деньги в тинькофф. У нас почти все так делают.
А наличку где снимают? Я давно уже подумываю отказаться от сбера, но останавливает практически полное отсутствие банкоматов других банков. По крайней меря я их вижу крайне редко.
В _любом_ банкомате россии без комиссии, если снимать от 3000р. Видите издалека будку, похожую на банкомат — значит там можно снять деньги с карты тинькова. Т.е. больше не нужно искать банкомат именно сбера, подойдет от агропромхрензачембанка.
Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100. надо уточнять. Спросите в чате прям на сайте — у них шикарная поддержка.
Все вышесказанное, разумеется, про дебетовую карту. Кредитки, как и везде, с подвохом.
Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100. надо уточнять. Спросите в чате прям на сайте — у них шикарная поддержка.
Все вышесказанное, разумеется, про дебетовую карту. Кредитки, как и везде, с подвохом.
> Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100
Пробовал в этом году — комиссии не было.
Пробовал в этом году — комиссии не было.
если снимать от 3000р
Уже неудобно. Часто требуются меньшие суммы, дв и ситуации бывают разные, я однажды 100 рублей снимал (банально лень было бежать до дома за наличкой, а на карте почти пусто).
Главное в сбере не снимать, иначе ограничение в 7500 на транзакцию дюже неудобно :)
А вы не думали, что каждый отдельный банк сотрудников для бухгалтерии — это отдельная ведомость на зарплату + отдельная платежка + отдельная выписка о списании д/с со счета?
Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.
И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.
При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
Больше ни у одного банка нет таких условий, как у Сбера!
Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ₽20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ₽6 тыс/год)
> Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.
И давно вам такие суммы наличных денег были нужны? Автомобили, квартиры покупаются за безнал, если что.
Ну а наличие комиссии, если наличные таки понадобились, вполне себе компенсируется капающими процентами на остаток накопительного счёта.
> И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.
Снимайте в Альфе — там нет лимитов.
> При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
И, собственно, что? Если не понадобилось за год столько денег снимать, все равно придётся заплатить 3к, в случае Т-банка же будет минимум +3% на остаток.
> Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ₽20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ₽6 тыс/год)
Я думаю, людям, у которых есть необходимость ежемесячно переводить подобные суммы, нет необходимости рассказывать про преимущества или недостатки того или иного продукта.
И давно вам такие суммы наличных денег были нужны? Автомобили, квартиры покупаются за безнал, если что.
Ну а наличие комиссии, если наличные таки понадобились, вполне себе компенсируется капающими процентами на остаток накопительного счёта.
> И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.
Снимайте в Альфе — там нет лимитов.
> При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
И, собственно, что? Если не понадобилось за год столько денег снимать, все равно придётся заплатить 3к, в случае Т-банка же будет минимум +3% на остаток.
> Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ₽20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ₽6 тыс/год)
Я думаю, людям, у которых есть необходимость ежемесячно переводить подобные суммы, нет необходимости рассказывать про преимущества или недостатки того или иного продукта.
Больше ни у одного банка нет таких условий, как у Сбера!— согласен. Среди известных банков, самые худшие условия у сбера.
Снимать столько налички — это очень редкий случай. Можно и до нормального банкомата дойти. Или бесплатно кинуть межбанком на тот же сбер и снять.
Не знаю никаких комиссий и ограничений на межбанк у тинькова. Причем слать можно на любой банк, в отличии от.
Сбер дерет комиссии за каждый чих.
Только что кинул 10к с тинькова на авангард card2card без комиссиий. Вы можете представить, что сбер даст такое сделать даже супер-платиновым клиентам?
У Сбера есть ограничение на снятие в стуки, в районе 50 000 рублей.
Так же никто не мешает с Тинкоффа переводить бесплатно деньги по межбанку на другой банк.
Опять же большинство людей миллионами не оперирует, так что тинькофф для большинства вполне себе выгодный вариант.
Так же никто не мешает с Тинкоффа переводить бесплатно деньги по межбанку на другой банк.
Опять же большинство людей миллионами не оперирует, так что тинькофф для большинства вполне себе выгодный вариант.
150 нынче у них. Подняли обратно с 50. Только по старым картам не подняли.
Прежде чем писать такое, хотя бы поверхностно изучили бы стандарты.
У всех банков есть карты разного типа: базовая, золотая, платиновая и т.д.
У Сбера, по социалками и другим стремным недокартам, которые нигде больше в мире не принимаются — 50/500 (сутки/месяц)
Стандартные — 150/1500.
Золотые — 300/3000
Платина — 500/5000
И ваш Тиньков, по сравнению с лимитами Сбера — лишь жалкое подобие банка. Попробуйте снять за месяц хотя бы 1 млн.
Я, даже покупая квартиру, не снимал наличку для этого, а перевёл с Тинькова по межбанку на нужный счёт в том же Сбербанке, открытый на моё имя для сделки. Без комиссий. Расскройте пожалуйста секрет зачем в современных реалиях снимать миллионы наличкой физ. лицу (кроме мутных схем конечно).
Ты находишься в городе Х.
У тебя розничный магазин на вмененке.
Поставщик твой в другом городе и заявляет, что если будешь покупать в наличку, то даст доп скидку в 5%.
Оформляешь на себя 2 золотые карты Сбера. Одну в своём городе, а вторую в городе поставщика.
В городе, где поставщик, находишь доверенное лицо, отдаёшь ему вторую карту он снимает в день по 300 тыс и как наберется 1,5 млн, несёт их поставщику. Месячный оборот получается 3 млн.
Человеку платишь за 10 снятий и 2 прогулки — 30 тыс.
Но при этом, сам выигрываешь: 3000х0,05=150-30=120 тыс/мес.
Вот конкретный пример, когда физлицо (ИП), являющееся честным налогоплательщиком, нуждается в снятиях/зачислениях по 3 млн/мес.
У Тинькова можно снимать только до 150 тыс/мес без комиссии.
Далее — 2%.
Следовательно, 3.000-150=2.850*0.02=57 тыс комиссии за снятия. (и 400 операций снятия денег, против 20 у Сбера).
В 2014 году приняли закон, который обязывает слать деньги туда, куда вы пожелаете. По заявлению в бухгалтерию. Без исключений.
Большинство не пробует даже, только ноют о принудиловке.
Большинство не пробует даже, только ноют о принудиловке.
UFO just landed and posted this here
Торговые организации, за зарплатный проект, могут получать скидку на эквайринг. Так что им проще найти более сговорчивого сотрудника, чем терять профит.
Всегда интересовал вопрос, а процент за перевод в межбанке не будет сниматся? Тоесть если пишешь заявление, то тебе обязанны всю сумму перечислить(работадатель из чих средст оплачивает комиссию за перевод)?
UFO just landed and posted this here
> А в 2017 приняли закон, что бюджетники должны получать только на карты МИР
Да, закон начинает действовать с 1 июля 2018 г.
> Так что уже не куда пожелаешь.
Ну так одно другому не противоречит. Что мешает в том же Тинькове завести карту МИР и попросить переводить деньги на неё?
Да, закон начинает действовать с 1 июля 2018 г.
> Так что уже не куда пожелаешь.
Ну так одно другому не противоречит. Что мешает в том же Тинькове завести карту МИР и попросить переводить деньги на неё?
UFO just landed and posted this here
UFO just landed and posted this here
Во-первых, это выгодно банкам. Стоимость операций для эквайеров почти на порядок ниже, чем у международных платёжных систем. Во-вторых, это выгодно торговым точкам — комиссии за эквайринг будут ниже.
И да, съездите в Португалию или Германию. Не уверен, что в мелких торговых точках вы сможете расплатиться Визой, потому что их владельцы принимают только местные карты из экономических соображений.
И да, съездите в Португалию или Германию. Не уверен, что в мелких торговых точках вы сможете расплатиться Визой, потому что их владельцы принимают только местные карты из экономических соображений.
UFO just landed and posted this here
для этого МИР готовится выпускать кобейджинговые карты. Там где есть МИР, работают как МИР, а там, где нет — как карта другой платежной системы
UFO just landed and posted this here
Ну я вот, например, поменял визу на карту Мир.
У нас главбух такая. Она ОЧЕНЬ рада карте МИР и не видит никаких проблем с ней.
UFO just landed and posted this here
Да, конечно. Дословно: "Вот отключат американцы вашу визу, будете плакать, а так будет Мир, который отключить нельзя".
И нельзя сказать, что она неправа — вероятность-то ненулевая, а ей, если что, потом с этим иметь лишний геморрой.
ничего странного в этом нет.
в любом зарплатном проекте, lbhtrnjhe b ,e[ufknthe банк дает определенные привелегии, чтобы они приняли условия банка для всех сотрудников.
ничего не мешает перевести все деньги на «нормальную» карту и жить дальше.
в любом зарплатном проекте, lbhtrnjhe b ,e[ufknthe банк дает определенные привелегии, чтобы они приняли условия банка для всех сотрудников.
ничего не мешает перевести все деньги на «нормальную» карту и жить дальше.
ну тут поговаривают что отказаться от карты МИР нельзя будет после НГ. Но лично я буду бороться до конца, ибо мне эта карта не нужна от слова совсем.
Этот закон практически не работает, т.к. работодатель в этом случае имеет право отказаться выплачивать з/п банковским переводом и начать платить наличными через кассу
Если не затруднит, можно пруф вот этого момента — про имеет право отказаться выплачивать на счет? Где это такое прописано про право отказаться? А что, если сотрудник формально и фактически трудоустроен в другом регионе или стране, где ни фирмы этой, ни кассы с наличными? В таком случае будет это право выполняться?
согласно ст. 136 ТК РФ «Заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо переводится в кредитную организацию, указанную в заявлении работника, на условиях, определенных коллективным договором или трудовым договором.». Эта формулировка не блещет точностью, но обычно место выполнения работы совпадает с местом нахождения организации, поэтому в этом случае работодатель может по собственной инициативе выплачивать з/п через кассу наличными, и в этом не будет нарушения закона. Если работа удаленная, то тут уже, конечно, будет сложнее сложнее использовать трюк и определяющими будут условия, заключенные в трудовом договоре.
Это теоретически… Моя бывшая фирма (две недели назад ушел на пенсию оттуда, чему несказанно рад !) была куплена частной корпорацией… Сразу же объявили что все идем в ихний банк, все пишут заявы в ихний пенсионный фонд, ну и в заключение: все вступают в профсоюз… Кто пытался что-то супротив сказать, сразу же лишили премии… Вот такая демократия…
есть принудиловка, например, на работе
Ну, по закону не могут. Просто заявление со всеми реквизитами в бухгалтерию и всё. Единственное — обслуживание карты (если платное) будет на вас, а не на организации, как в случае с зарплатным проектом.
Хуже, когда выбора нет, и единственный вменяемый банк в регионе — это сбер.
По закону не могут. А по факту бухгалтерия в госорганизациях вроде школ и детсадов интересно относится к законам.
Они просто работать не хотят.
Не всегда. Чаще сами работники, поворчав «на лавочке» как всё плохо, даже не пытаются написать заявление. Ну а основная масса банально не знает.
Есть тяжелые случаи (независимо, бюджетники или нет), когда руководство неофициально объявляет, что работаем только с этим банком, со всякими умниками с заявлениями будет отдельный разговор — тогда да, всё сложно.
Есть тяжелые случаи (независимо, бюджетники или нет), когда руководство неофициально объявляет, что работаем только с этим банком, со всякими умниками с заявлениями будет отдельный разговор — тогда да, всё сложно.
UFO just landed and posted this here
Дак Альфабанк самый дорогой банк из названых, а Сити и Райф есть далеко не в каждом городе, а Сбер есть практически везде.
Поэтому его и используют все, потому что всегда можно найти банкомат или отделение.
Поэтому его и используют все, потому что всегда можно найти банкомат или отделение.
1) Иногда стоит рассмотреть идею пожертвовать удобством, ради благой цели. В данном случае — снизить монополию сбера. Стараюсь принципиально не использовать сбер, если есть возможность. И вообще государственные предприятия.
2) Тинькофф позволяет пользоваться любым банкоматом. Не призываю пользоваться Тинькофф, призываю шире рассматривать варианты.
2) Тинькофф позволяет пользоваться любым банкоматом. Не призываю пользоваться Тинькофф, призываю шире рассматривать варианты.
В теории — да. А на практике, "любой банкомат" может вашу карточку съесть.
Точно так же и «не любой банкомат» может съесть карточку с тем же успехом. Тот же сбер, наверное, лидер в списке по количеству неисправных банкоматов, и с известным отношением к клиентам, так что пользоваться их банкоматами стоит осторожнее.
Точно так же и банкомат Сбера может со своей сберовской картой поступить.
Простите, просто очень неохота в один прекрасный момент разбираться с тонкостями системы страхования вкладов. Это самое важное. А так ещё у Сбербанка отделения и банкоматы на каждом углу натыканы, чего не скажешь про другие банки.
Если в в дефолтсити или еще где в милионнике — сбербанком может и можно пренебречь.
А во многих городах кроме сбера, нормальное количество банкоматов-терминалов по городу только у газпрома/втб/уралсиба. А помня их ИБ (не знаю, может сейчас чего улучшилось, но как-то хороших отзывов не встречал) уж лучше пользоваться сбером.
А во многих городах кроме сбера, нормальное количество банкоматов-терминалов по городу только у газпрома/втб/уралсиба. А помня их ИБ (не знаю, может сейчас чего улучшилось, но как-то хороших отзывов не встречал) уж лучше пользоваться сбером.
Тинькофф работает всюду, банкомат подходит вообще любой, в том числе и сберовский.
И прямо таки вообще без комиссий и внесение и снятие для дебетовой карты? Не верится как-то, что владельцы банкоматов, да тот же сбер, не имеют комиссий для чужих карт.
Да, снятие наличных в любом банкомате прям таки вообще без комиссий, если операции в пределах месячного лимита в 150к. Есть только нюанс, что некоторые банкоматы выдают только по 10-15к за раз. Хотя та же Альфа выдаст за раз сколько сможет.
А вот пополнения через любые банкоматы нет. Можно пополнять через МКБ, можно через card2card, месячный лимит на пополнение 300к. При превышении лимитов берётся комиссия.
Кстати, комиссий нет совсем при безналичных переводах.
А вот пополнения через любые банкоматы нет. Можно пополнять через МКБ, можно через card2card, месячный лимит на пополнение 300к. При превышении лимитов берётся комиссия.
Кстати, комиссий нет совсем при безналичных переводах.
Речь человек вел про ДЕБЕТОВЫЕ карты. Я тоже однажды клюнул на тинькова. Только выяснилось что бесплатное пополнение работает исключительно для кредитки. И никто нигде это не пишет.
С тех пор мне периодически звонят их манагеры, но никто еще не сумел ответить на вопрос о разнице в пополнении кредитной и дебетовой карт.
С тех пор мне периодически звонят их манагеры, но никто еще не сумел ответить на вопрос о разнице в пополнении кредитной и дебетовой карт.
вчера бесплатно пополнил дебетовую Тинькова переводом с почты.
Перед этим несколько раз пополнял бесплатно засасыванием денег с других карточек. Пока что сервис устраивает вполне
Перед этим несколько раз пополнял бесплатно засасыванием денег с других карточек. Пока что сервис устраивает вполне
Как только я получил карточку Тинькофф'а, я тут же пошел ее пополнить. Однако платежный терминал МКБ послал меня. И девочка, которая стояла в офисе банка ничем не смогла помочь. Т.е. пополнить дебетовую карточку через терминал я не смог вообще.
Последовала попытка перевода с МКБ на эту карточку. Оказалось за процентик.
В устном разговоре господа из Т-банка сказали, что тарифы по бесплатному пополнению работают исключительно для кредитных карточек.
Последовала попытка перевода с МКБ на эту карточку. Оказалось за процентик.
В устном разговоре господа из Т-банка сказали, что тарифы по бесплатному пополнению работают исключительно для кредитных карточек.
Хрень какую-то вам сказали, судя по всему. Постоянно пополняю через Связной и всё хорошо, дебетовая, комиссии нет.
Меня очень радует такая категоричность. Вы считаете, что я все это придумал и обливаю грязью достойный банк?
Я считаю, что либо вам сказали недостоверную информацию, либо через МКБ (что это?) действительно есть комиссия, в отличие от множества других точек приема. Из какого моего высказывания следует, что я вас обвиняю во лжи?
Давайте завяжем с этой темой.
МКБ — это московский кредитный банк. Через терминалы которого у Т-банка (в то время) было отдельно заявлено бесплатное пополнение.
Я, к сожалению, не могу поднять историю платежей. Карточка уже закрыта, с которой делались переводы в Т-банк и за которые я платил комиссию. Хотя, опять же, отдельно было заявлено, что из этого банка перевод д.б. без комиссии.
МКБ — это московский кредитный банк. Через терминалы которого у Т-банка (в то время) было отдельно заявлено бесплатное пополнение.
Я, к сожалению, не могу поднять историю платежей. Карточка уже закрыта, с которой делались переводы в Т-банк и за которые я платил комиссию. Хотя, опять же, отдельно было заявлено, что из этого банка перевод д.б. без комиссии.
Видимо Вас ввело в заблуждение что-то из формулировок других комментаторов.
У Т. бесплатно пополнить можно дебетовую карту только несколькими основными способами:
т.н. высасыванием — на сайте Т, вы вводите данные карты (любого банка), с которой хотите вывести деньги, и Т делает c2c запрос. Для вас это будет выглядеть как платеж с карты другого банка.
пополнение через различные сети типа связного/евросети — в их терминалах и через кассу. (Не путать со связной-банк.)
В некоторых банках — бесплатный межбанковский перевод по номеру счета. (зависит от банка, возможно)
Через банкоматы и терминалы других банков бесплатного пополнения никогда не было и вроде не предвидится, тут Вы правы.
У Т. бесплатно пополнить можно дебетовую карту только несколькими основными способами:
т.н. высасыванием — на сайте Т, вы вводите данные карты (любого банка), с которой хотите вывести деньги, и Т делает c2c запрос. Для вас это будет выглядеть как платеж с карты другого банка.
пополнение через различные сети типа связного/евросети — в их терминалах и через кассу. (Не путать со связной-банк.)
В некоторых банках — бесплатный межбанковский перевод по номеру счета. (зависит от банка, возможно)
Через банкоматы и терминалы других банков бесплатного пополнения никогда не было и вроде не предвидится, тут Вы правы.
Через платежные терминалы МКБ пополнение наличными кредитных и дебетовых карт Тинькова всегда было и остаётся бесплатным. Судя по всему, avlag пытался делать пополнение с какой-то другой карты, за что с него взяли комиссию.
не правы, Тинькоф позволяет пополнять свои карты через банкоматы Бин-банка, бесплатно, опять же.
Карточка уже закрыта, с которой
Вот тут и ошибка… Тиньков же не может навязать свои прекрасные тарифы другим отсталым банкам. Поэтому данные карты МКБ надо вводить на сайте тинькова, а не наоборот.
Вот тут и ошибка… Тиньков же не может навязать свои прекрасные тарифы другим отсталым банкам. Поэтому данные карты МКБ надо вводить на сайте тинькова, а не наоборот.
Дебетовую пополнить бесплатно до 200к в месяц через связной и других партнёров, 20к пересасыванием с других карт кажется…
Бред какой-то, пользуюсь именно дебетовой тинькова без всяких овердрафтов, пополняется без комиссии в любом связном, евросети, мтсах, мегафонах и еще в 100500 местах, что-то вас разводят.
не смогли потому что её нет. Пополняю через терминалы, переводом с других карт (через интерфейс Тинькова), пару раз ка кассе в Евросети. Ни копейки комиссии
Не несите чушь. У ТКС банка пополнение дебетовки бесплатное без всяких комиссий. А через их ИБ можно методом card2card сливать деньги с других банков также без %.
Разумеется, за лимиты выходить не следует.
И да, снятие в ЛЮБОМ банкомате страны от 3 т.р. также без %.
Разумеется, за лимиты выходить не следует.
И да, снятие в ЛЮБОМ банкомате страны от 3 т.р. также без %.
Сбер — 7500.
Снятие без комиссии, от 3к до 150к в мес. И еще бесплатный межбанк через ИБ. Пополнение бесплатное через их c2c сервис (есть момент, что банк с чьей карты будет производиться списание может брать комиссию, но так мало кто делает для дебетовых карт, на ум только Промсвязь приходит), так можно вытягивать некоторые кредитки в грейс (с Бинбанком работает, например).
Сама карта условно-бесплатная (если лежит 30к и больше, то за обслуживание не берут, если ей не пользоваться (0 операций в месяц), то тоже не берут), есть небольшой кэшбэк и какой-то процент на остаток. Да, еще курс валюты околорыночный (лучше только у БКС).
Это не самая лучшая карта в мире, но если сравнивать со Сбером, то всё таки она выигрывает.
Да, на карте еще есть PayPass (отличная штука, у Сбера я карт с ним не видел, хотя может быть что-то изменилось).
Сама карта условно-бесплатная (если лежит 30к и больше, то за обслуживание не берут, если ей не пользоваться (0 операций в месяц), то тоже не берут), есть небольшой кэшбэк и какой-то процент на остаток. Да, еще курс валюты околорыночный (лучше только у БКС).
Это не самая лучшая карта в мире, но если сравнивать со Сбером, то всё таки она выигрывает.
Да, на карте еще есть PayPass (отличная штука, у Сбера я карт с ним не видел, хотя может быть что-то изменилось).
Околорыночный курс валюты? Может у дебетовых по-другому, но для кредитных у ТКС издавна был достаточно высокий курс (банковская карта Я.Д. с момента их появления, а они до лета 2016 были ТКС).
PayPass у сбера ЕМНИП в начале 2016 появился для премиальных карт, постепенно дошел до золотых и классических. С мая 2017 уже все Visa/MC идут с NFC. У ТКС он был издавна, да. (если не ошибаюсь, с 2013 уже карта Я.Д была с paypass)/
PayPass у сбера ЕМНИП в начале 2016 появился для премиальных карт, постепенно дошел до золотых и классических. С мая 2017 уже все Visa/MC идут с NFC. У ТКС он был издавна, да. (если не ошибаюсь, с 2013 уже карта Я.Д была с paypass)/
Ах да, вот вам форма входа ТКС
У дебетовых конечно же, кредитки у них не выгодные вообще.
У меня с 2016 PayPass. И не премиум, а обычный MasterCard classic. Одна беда, видимо конкретная карта с дефектом антенны. Иногда работает отлично, иногда неделями не читает бесконтактно. Странная девушка в отделении предложила избегать ношения телефона в одном кармане с картой. А концепция бесплатной замены сломанного устройства ей разрушило мозг, кажется. Карту она как устройство не воспринимала. Получить тоже было сложно. Персонал не понимал, что от них хотят.
Он хорош пока вам не потребуется сделать то, что онлайн сделать нельзя. Ну, например, закрыть карту :) (личного опыта не имел, со слов друга)
Как пользователь Сбербанка, Райффайзена, Тинькофф-банка и, в некоторой степени, банка Билайна, я считаю Райффайзен худшим из перечисленных. Сбербанк средненький — что уже является огромным прогрессом по сравнению с тем, что он из себя когда-то представлял.
По моему личному опыту, лучший ситибанк среди райфа, авангарда, сбербанка, втб24. Райф второй.
Рейтинг составляла не по наличию проблем, а по реакции системы не проблему(так как проблемы неизбежны, если чем-то пользуешься часто). Ситибанк перезвонил сам, когда я спешила на сапсан, когда банкомат съел 5 тысяч рублей.
Все претензии, что я им выкатывала(это было трижды) они признавали проблемой со своей стороны, и извинялись, или платили какие-то компенсации морального ущерба.
Райфаззен показался довольно гибким и юзерофильным банком, но я перестала пользоваться их услугами, после того, как они без предупреждения убрали международную туристическую страховку из пакета услуг, который я у них покупала. Но в целом, на голову выше остальных банков, кроме ситибанка. Разве что они, по-моему, слишком следуют регламенту во всех случаях.
Сбербанк и втб24 ужас-ужас! В сбербанке я один раз чуть не упала в обморок от духоты(к счастью, помогли выйти на свежий воздух, когда я села на пол), когда у них в очередной раз сломалась электронная очередь, и в маленьком помещении банка набились старушки и все остальные, и опять воцарился хаос, как у них бывает регулярно.
Рейтинг составляла не по наличию проблем, а по реакции системы не проблему(так как проблемы неизбежны, если чем-то пользуешься часто). Ситибанк перезвонил сам, когда я спешила на сапсан, когда банкомат съел 5 тысяч рублей.
Все претензии, что я им выкатывала(это было трижды) они признавали проблемой со своей стороны, и извинялись, или платили какие-то компенсации морального ущерба.
Райфаззен показался довольно гибким и юзерофильным банком, но я перестала пользоваться их услугами, после того, как они без предупреждения убрали международную туристическую страховку из пакета услуг, который я у них покупала. Но в целом, на голову выше остальных банков, кроме ситибанка. Разве что они, по-моему, слишком следуют регламенту во всех случаях.
Сбербанк и втб24 ужас-ужас! В сбербанке я один раз чуть не упала в обморок от духоты(к счастью, помогли выйти на свежий воздух, когда я села на пол), когда у них в очередной раз сломалась электронная очередь, и в маленьком помещении банка набились старушки и все остальные, и опять воцарился хаос, как у них бывает регулярно.
Сити — ужасный банк, ужасный интернет-банк, да и его распространнённость (позакрывал все банкоматы не в отделениях и половину отделений) не оставляет ему шансов. Если ты не зарплатный клиент, то плюшек совсем не будет — деньги будут браться за всё.
Сити — ужасный банк
почему?
Года три назад у меня был длинный список, сейчас буду пробовать восстановить:
Нет бесплатного телефона 8800 — есть у вас 812, туда и звоните. Минут 10 ожидания.
Самостоятельно подписали на смс уведомления, при этом смс об их оплате не приходят совсем (целый ряд списаний оказывается никак не отражается в смсках). Косяк признавать отказались.
Эти уведомления (раньше ещё были на e-mail) приходили как попало: то и туда и сюда, то только в одно место, то вообще никуда.
Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.
ИБ на скриптах и с плохим интернетом даже баланс не посмотреть.
13 числа в пятницу (конечно не только 13го, но дважды совпадало) уже в 14:00 нельзя переводить деньги в другой банк в тот же день, только на следующий рабочий день. При этом легко может оказаться что это будет вторник, а не понедельник. При этом окошко в ИБ будет тебе говорить что перевод в тот же день возможен только в рабочие дни и в рабочее время.
Навязчивые телефонисты — раз в месяц стабильно звонили.
Кредит не взять если нет загранпаспорта (это со слов товарища, сам не проверял).
Льготные кредиты (зарплатный проект) дороже, чем в Сбере для простых смертных. То же и в кредитках.
Анкета на получение карточки на 4 листах со странными вопросами.
Есть скидки в магазинах при оплате их картой. Но чем дольше пользовался, тем меньше моих магазинов оставалось.
Есть странный кэшбэк, но работает только с кредиткой.
Ну и сворачивание деятельности: оставили несколько компаний у себя и свернули половину офисов, убрали все банкоматы, что не в офисах были установлены (раньше ещё хотя бы в крупных ТЦ были).
Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия), но два бесплатных снятия в месяц в чужом банкомате.
Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.
Нет бесплатного телефона 8800 — есть у вас 812, туда и звоните. Минут 10 ожидания.
Самостоятельно подписали на смс уведомления, при этом смс об их оплате не приходят совсем (целый ряд списаний оказывается никак не отражается в смсках). Косяк признавать отказались.
Эти уведомления (раньше ещё были на e-mail) приходили как попало: то и туда и сюда, то только в одно место, то вообще никуда.
Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.
ИБ на скриптах и с плохим интернетом даже баланс не посмотреть.
13 числа в пятницу (конечно не только 13го, но дважды совпадало) уже в 14:00 нельзя переводить деньги в другой банк в тот же день, только на следующий рабочий день. При этом легко может оказаться что это будет вторник, а не понедельник. При этом окошко в ИБ будет тебе говорить что перевод в тот же день возможен только в рабочие дни и в рабочее время.
Навязчивые телефонисты — раз в месяц стабильно звонили.
Кредит не взять если нет загранпаспорта (это со слов товарища, сам не проверял).
Льготные кредиты (зарплатный проект) дороже, чем в Сбере для простых смертных. То же и в кредитках.
Анкета на получение карточки на 4 листах со странными вопросами.
Есть скидки в магазинах при оплате их картой. Но чем дольше пользовался, тем меньше моих магазинов оставалось.
Есть странный кэшбэк, но работает только с кредиткой.
Ну и сворачивание деятельности: оставили несколько компаний у себя и свернули половину офисов, убрали все банкоматы, что не в офисах были установлены (раньше ещё хотя бы в крупных ТЦ были).
Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия), но два бесплатных снятия в месяц в чужом банкомате.
Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.
Тоже выкинул карту Сити
Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.
?? У меня с мужем всегда доходят мгновенно. Очень часто друг другу отправляем
Навязчивые телефонисты — раз в месяц стабильно звонили.
Никогда не звонили не по делу
Есть странный кэшбэк, но работает только с кредиткой.
Я у них селектами пользуюсь.
На селекты купили: смартфон маме в Мвидео, два монитора, навороченную мышку мужу, и один авиабилет
Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия),
Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.
Это как??
У Вас какой-то другой сити :(
?? У меня с мужем всегда доходят мгновенноА я не знаю как так. Менеджеры ихние говорят что так быть не должно, но вот. У нас зарплатный проект был в этом банке. Бухгалтерия всегда отправляла ведомости в день зарплаты. У кого карты в другом банке, тем приходило в тот же день, у кого в Сити — только на следующий, и они очень рады были, когда выдача зарплаты происходила в пятницу.
Никогда не звонили не по делуЕсли предложение кредита/кредитки — это по делу, то тогда да, всегда звонили по делу.
Я у них селектами пользуюсь.Чтоб они начислялись, нужна кредитка. А условия по ней не очень. Поэтому не заводил, потому воспользоваться не могу.
Это как??Ну значит это от зарплатного проекта всё-таки условия.
А билеты в цирк были, например, тут.
все-таки надежность Сбера, увы, много выше других… из-за этого вобщем-то и все проблемы… нет конкуренции.
Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть, АСВ может прогореть и введут какие- то меомрандумы, лимиты, временные моратории и списания… а сбер… закроют последним… увы…
Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть, АСВ может прогореть и введут какие- то меомрандумы, лимиты, временные моратории и списания… а сбер… закроют последним… увы…
>>>Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть
Вы всерьез думаете что банки закрываются только в результате кризиса?
У нас каждую неделю закрываются по несколько банков, и кризис тут ни при чем…
Просто поступила команда — уменьшить количество банков, вот эта команда и выполняется…
А вот сколько в итоге банков останется, знает только человек, отдавший команду на их сокращение…
А ваша мысль насчет держания денег в сбере очень даже разумна, он не закроется НИКОГДА…
Вы всерьез думаете что банки закрываются только в результате кризиса?
У нас каждую неделю закрываются по несколько банков, и кризис тут ни при чем…
Просто поступила команда — уменьшить количество банков, вот эта команда и выполняется…
А вот сколько в итоге банков останется, знает только человек, отдавший команду на их сокращение…
А ваша мысль насчет держания денег в сбере очень даже разумна, он не закроется НИКОГДА…
Ну ВТБ ещё скорее всего тоже дотянет до конца. И распространённость немного меньше, чем у Сбера.
Надежность сбербанка отлично подчеркивает 1991 год, когда обесценились вклады населения всего государства
Конечно! Самый надёжный. Надёжнейший, я бы даже сказал. Не подскажете ли, какой банк уже 25 лет никак не рассчитается с вкладчиками, сделавшие вклады 25 и более лет назад, ещё при СССР и некоторое время после? Что, однако, видимо не вызывает смущения у руководства этого банка, равно как и у заявителей, что Сбер — самый надёжный.
к чему эти ненужные эмоции и вспоминание умершей страны СССР. В которой не было кстати Сбербанка, а были сберкассы. Еще вспомните царскую Россию…
По факту — «сбер» на данный момент, прямо сейчас самый надежный банк России, тут правильно отметили, что наверно еще ВТБ близок. Увы, частные банки все под расстрелом.
По факту — «сбер» на данный момент, прямо сейчас самый надежный банк России, тут правильно отметили, что наверно еще ВТБ близок. Увы, частные банки все под расстрелом.
К тому, что:
1. если вам кажется, что имеется чрезмерная эмоциональность и вы взяли на себя смелость быть арбитражной инстанцией в плане нужности или ненужности, то я, в свою очередь, на это скромно замечу, что вы, возможно, несколько завышено оцениваете значимость своих суждений;
2. по поводу «умершей» — т.е. я по этой логике могу сегодня взять у члена вашей семьи крупную сумму денег в долг и если он, не дай Б-г, завтра окочурится, то я уже и никому и ничего не должен? Ещё своего прадедушку вспомните, ха…
3. Отделения Сбербанка и сейчас часто называют сберкассами (расположены эти отделения в большинстве своём по адресу старых сберкасс, правопреемником которых и являются Сбербанк) Иначе — я сегодня открываю компанию скажем СберПрима, предлагаю ряд товаров/услуг, получаю какую то часть предоплатой, затем завтра перерегистрирую компанию на СберУльтра и всё? Никому ничего не должен? Ведь это же не СберПрима, а СберУльтра, СберПрима жеж умерла, а СберУльтра материализовалась из вакуума и никакого отношения к деньгам взятым СберПрима не имеет, правильно? По факту, после перерегистрации СберУльтра прямо сейчас вот в деревне Хрюковка Скопинского района — самая надёжная компания и это индульгирует её от прошлых обязательств и отменяет все её массовые и циничные кидки в этом случае, ведь правда? Ведь если эта компания некоторое время никого не кидала, то прошлое ограбление населения страны ничего не значит, ведь так? Заходите, не бойтесь, мы уже с прошлого четверга с людоедством завязали.
1. если вам кажется, что имеется чрезмерная эмоциональность и вы взяли на себя смелость быть арбитражной инстанцией в плане нужности или ненужности, то я, в свою очередь, на это скромно замечу, что вы, возможно, несколько завышено оцениваете значимость своих суждений;
2. по поводу «умершей» — т.е. я по этой логике могу сегодня взять у члена вашей семьи крупную сумму денег в долг и если он, не дай Б-г, завтра окочурится, то я уже и никому и ничего не должен? Ещё своего прадедушку вспомните, ха…
3. Отделения Сбербанка и сейчас часто называют сберкассами (расположены эти отделения в большинстве своём по адресу старых сберкасс, правопреемником которых и являются Сбербанк) Иначе — я сегодня открываю компанию скажем СберПрима, предлагаю ряд товаров/услуг, получаю какую то часть предоплатой, затем завтра перерегистрирую компанию на СберУльтра и всё? Никому ничего не должен? Ведь это же не СберПрима, а СберУльтра, СберПрима жеж умерла, а СберУльтра материализовалась из вакуума и никакого отношения к деньгам взятым СберПрима не имеет, правильно? По факту, после перерегистрации СберУльтра прямо сейчас вот в деревне Хрюковка Скопинского района — самая надёжная компания и это индульгирует её от прошлых обязательств и отменяет все её массовые и циничные кидки в этом случае, ведь правда? Ведь если эта компания некоторое время никого не кидала, то прошлое ограбление населения страны ничего не значит, ведь так? Заходите, не бойтесь, мы уже с прошлого четверга с людоедством завязали.
Много букв, но смысла мало. Честное слово не понимаю, ка кобъяснить очевидное. Сбербанк, крупнейший банк России, государственный, в случае нарастания катастрофы, естественно что его будут сохранять до последнего, естественно, что частные банки умрут первыми, естественно, что при превышении некоего порога катастрофы, повторится и 91 год, и деньги пропадут и в сбере. ну опять же он умрет последним… вот как можно с этим спорить… А при распаде страрны в 91 умер и Банк СССР, посмотрел — ну да 4 года как сберкассы переименовали в Сбербанк СССр, которого давно нет… С тех пор как я написал этот пост — умерли 2-3 банка из первых 15, еще пара банков — на нервах, правда деньги вкладчиков не пропали, но нервы помотали.
Хоть убей не понимаю как объяснять очевидное…
Хоть убей не понимаю как объяснять очевидное…
По факту верно сказано — если не произойдёт общенационального катаклизма, как в 91м, ничего со сбером не будет. По крайней мере неожиданно.
ну, во-первых, баннерорезки таки не средство безопасности и в статье указано что режут они только часть запросов.
во-вторых, я тоже пользуюсь баннерорезками только там, где баннеров полный перебор. так как считаю удаление баннеров неуважением к ресурсу, который за счет них живет.
во-вторых, я тоже пользуюсь баннерорезками только там, где баннеров полный перебор. так как считаю удаление баннеров неуважением к ресурсу, который за счет них живет.
> они только часть запросов
Добавить в фильтры то, что не отрубилось.
> который за счет них живет
Для этого обычно есть донат.
Добавить в фильтры то, что не отрубилось.
> который за счет них живет
Для этого обычно есть донат.
тем самым запутывая рекламодателя — просмотры есть, а клиентов нет.
Если не отключаете баннеры только из-за желания поддержать автора… лучше так не делать.
Если не отключаете баннеры только из-за желания поддержать автора… лучше так не делать.
То естья по вашему должен по каждому баннеру кликать? Это еще больше запутает рекламодателя.
Да и вообще. Почему сразу клиентов нет? Реклама контекстная, так что временами даже интересная.
Да и вообще. Почему сразу клиентов нет? Реклама контекстная, так что временами даже интересная.
нет. если вы не пользуетесь контекстной рекламой, то отключите ее и не испытывайте угрызений совести.
это ровно то же самое, что ходить на концерты местного хора единственным зрителем из жалости к ним. То есть, вроде как слушаете, но если они вдруг в шутку скажут «а мы больше не будем выступать», то с радостным криком «наконец-то», побежите из зала.
это ровно то же самое, что ходить на концерты местного хора единственным зрителем из жалости к ним. То есть, вроде как слушаете, но если они вдруг в шутку скажут «а мы больше не будем выступать», то с радостным криком «наконец-то», побежите из зала.
что значит не пользоваться рекламой? если среди 1000 показов я увижу интересную для меня вещь и из 1000 таких интересных вещей я одну-две куплю — это я пользуюсь или из жалости смотрю? покупатель рекламы сам решает кому и что показывать. если попадание в цель 0.001% и но не окупается то это уже его проблема.
Судя по реакции на этот мой коммент, местное население предпочитает охать и истерить вместо любых попыток обезопасить себя своими же руками.
«Охать и истерить» — это неотъемлемая часть построения правильного гражданского общества. Нельзя проблемы касающиеся интересов общества скрывать, замалчивать и обходить стороной. Да, можно и нужно заботиться о личной безопасности и цифровой гигиене, но точно так же нужно не оставлять такие случаи без внимания, иначе все может так и остаться.
И поэтому надо писать в спортлото на ГТ, а не в саппорт Сбера. Так победим!
Вы не очень внимательно читали. Я до того, как написал сюда, пытался найти этот самый саппорт Сбера.
На почту не ответили, в FB сначала отписку бросили, на видео не ответили.
В розовых единорогов я перестал верить раньше…
На почту не ответили, в FB сначала отписку бросили, на видео не ответили.
В розовых единорогов я перестал верить раньше…
Если банк-посмешище, пусть эта информация будет публичной. Их саппорт самый некомпетентный из всех, что я пробовал (тинькофф, точка, открытие, связной)
До Деда Мороза достучаться вероятнее.
Прямо так и вижу эту картину: «У вас в личном кабинете куча опасных скриптов» — «Ай-ай, какое безобразие, уже убираем! Спасибо вам за сигнал!»
Прямо так и вижу эту картину: «У вас в личном кабинете куча опасных скриптов» — «Ай-ай, какое безобразие, уже убираем! Спасибо вам за сигнал!»
на практике можно говорить, что не существует никакого саппорта у сбера. саппорт у них занят только поддержкой работающего открытого функционала (клиент не знает, куда нажать и т.п.).
и с чего вы опять берёте, что что-то здесь происходит «вместо»? в жизни чаще происходит не «вместо», а «вместе». и автор заметки об этом прямо написал — он написал, что обращался в службу поддержки.
и с чего вы опять берёте, что что-то здесь происходит «вместо»? в жизни чаще происходит не «вместо», а «вместе». и автор заметки об этом прямо написал — он написал, что обращался в службу поддержки.
Есть способы выйти на начальника смены в том же колл центре, на таком уровне вопросы решаются уже более качественным образом, по крайней мере сообщают что реально можно сделать а что вероятно так и останется нерешённым по заявке, ещё можно достучаться до руководителя отделения, там тоже люди с хорошим опытом и определёнными полномочиями, это из того с чем самому приходилось сталкиваться, но для этого для начала самому нужно оценить реальность решения своего вопроса в организации такого масштаба.
Я думаю если бы Сбер не поленился и посчитал такие запросы, то их было бы сильно больше одного, причём они(вроде) убирали аналитику гугла, но потом она опять всплыла. Увы безопасники в крупных банках весьма выборочно подходят к популярной в нынешнее время теме конфиденциальности пользовательских данных.
Есть сервисы которые защищены по полной, а есть интернет банк и мобильное приложение(а в случае сбербанка ещё включённый по умолчанию мобильный банк на волшебном номере 900, через который трояны вполне могут тащить деньги)
Можно поподробнее про кражи с «мобильного банка» Сбера? МБ пользуюсь, а приложение Сбера не ставлю из (своих параноидальных) соображений безопасности. Андроид.
Можно поподробнее про кражи с «мобильного банка» Сбера?А там разве не достаточно отправить СМС (без паролей) на номер Сбера, чтобы перевести деньги куда угодно? Была, вроде, история, когда пенсионерке подключили мобильный банк на номер, который она указала как контактный (номер внука), а когда тот его сменил, номер вернулся обратно в пул оператора, и его присвоили какой-то новой симке. С которой новый владелец и отправил что-то вроде «перевести ХХХ денег на счёт YYY».
Но за достоверность истории не ручаюсь (а гуглить лень).
Украли мою мобилу. Сразу заблокировал симку, на следующий день восстановил номер.
И при попытке активировать приложение на новом телефоне, получил от Сбера СМС с просьбой верифицировать новую симку.
Позвонил в банк, ответил на кучу вопросов оператора, после чего они верифицировали мою новую симку.
После этого смог продолжить пользоваться Сбером.
То же было и с Ситибаном.
Ноябрь 2015 года.
из каких это постов вы поняли, что «истерят» именно «вместо»? я пользуюсь и сбером, и резалками. теперь буду ещё осторожнее. по возможности — через кассу с тётечкой.
просто заметка хороша и по изложению, и по детализации. вот и реакции достаточно бурные.
не волнуйтесь: все всё поняли правильно.
просто заметка хороша и по изложению, и по детализации. вот и реакции достаточно бурные.
не волнуйтесь: все всё поняли правильно.
«через кассу с тётечкой.» это совковое убожество берет еще больше комиссий, чем обычно.
я про отделения сбербанка говорил. (разве там берут комиссию?)
в кассе сбера:
1,5% мин. 30 руб. макс. 1000 руб. перевод на дебетовую карту другого клиента сбера за пределами одного города (онлайн за ту же операцию дерут 1%)
4% за обналичку карты другого банка.
1,5% мин. 30 руб. макс. 1000 руб. перевод на дебетовую карту другого клиента сбера за пределами одного города (онлайн за ту же операцию дерут 1%)
4% за обналичку карты другого банка.
Если вам надо регулярно переводить в другой город — откройте ещё одну карту, в том городе.
Далее, через Сбербанк-онлайн, переводите со своей карты на свою другую (без комиссии) и со своей другой переводите нужному человеку (опять же, без комиссии).
я могу ошибаться, но без комиссии в другой город это будет только в пределах макро-региона.
Читайте внимательнее!
Если вы переводите деньги внутри своего аккаунта, с одной карты на другую, то нет никакой комиссии!
Да, такой хак вроде работает, но проблема одна: откройте ещё одну карту, в том городе. То есть хоть раз физически надо сгонять в другой регион (внутри одного смысла нет, и так без комиссий).
Живу в Москве.
Родители в другом регионе.
При очередном посещении родителей, открыл карту.
Как минимум, годовое обслуживание окупается за счёт экономий на комиссиях при переводах.
В дополнение получил дополнительный инструмент: держу на ней 3-5 тыс руб и использую для интернет-платежей. И если не взломают, то не много потеряю.
Основные средства держу на другой карте, которую кроме как в банкоматы и терминалы Сбера (внимательно убедившись в отсутствии дополнительного левого оборудования), больше никуда не сую.
Проблема решилась двумя тиньковыми. Совет у вас так себе. Во-первых надо поехать в другой город, во-вторых если с картой что-то случилось, надо снова ехать в другой город. И вообще если хоть что-то от банка нужно, надо идти в офис в другом городе.
А я не знаю, зачем мне куда-то ехать, если есть интернет.
При этом при всем терпеть худший сервис и никакущие условия по этим двум картам.
А я не знаю, зачем мне куда-то ехать, если есть интернет.
При этом при всем терпеть худший сервис и никакущие условия по этим двум картам.
Курган — Тюмень Тюмень-Екб Курган-Екб комиссия есть. В топку этот сбер, больше ни на что не годится
Потому что области разные.
а что тогда у сбера является «макро-регионом»? dewil
Питер в Северо-Западном находится.
Москва — Центральный.
Ростов н/д — Южный.
Вот между этими регионами комиссия есть, а внутри них нет.
Москва — Центральный.
Ростов н/д — Южный.
Вот между этими регионами комиссия есть, а внутри них нет.
Сибирский банк Сбера — Новосибирск, в его ведении находятся Кемеровская область и Алтайский край (и еще ряд регионов), между ними переводы карта-карта идут с комиссией.
PS: Но есть лайфхак — можно в Кемерово на алтайскую карту внести в Сбере деньги по номеру банковского счета, платеж будет идти дольше, но без комиссии ;)
PS: Но есть лайфхак — можно в Кемерово на алтайскую карту внести в Сбере деньги по номеру банковского счета, платеж будет идти дольше, но без комиссии ;)
лайфхак, это ножками в отделение топать?
Ага, в кемерово
Спасибо, я за хайтек, пусть даже с комиссией.
Чтобы топать в отделение, нужно:
— остаться без счета/карты в банке с дешевым межбанком;
— увидеть комиссию больше, чем стоит ваше время. Ладно, если 1000 перевести надо, а если 1000000? Меня жаба задавит отдавать 1500 комиссии ;)
— иметь отделение сбера на расстоянии 100 метров.
— остаться без счета/карты в банке с дешевым межбанком;
— увидеть комиссию больше, чем стоит ваше время. Ладно, если 1000 перевести надо, а если 1000000? Меня жаба задавит отдавать 1500 комиссии ;)
— иметь отделение сбера на расстоянии 100 метров.
PS: Пропустил время на редактирование комментария ;)
А вообще я про регионы писал, чтобы показать структуру сбера — платежи карта-карта идут с комиссией, если регионы выдачи карт отличаются, даже если они относятся к одному тербанку. Платежи по номеру счета идут без комиссии в пределах тербанка (несколько регионов).
Между тербанками переводы без комиссии идут со своего счета на свой (я так друзьям транзит устраивал — у меня карты разных регионов есть, и они через меня деньги на нужный регион переводили бесплатно).
А вообще я про регионы писал, чтобы показать структуру сбера — платежи карта-карта идут с комиссией, если регионы выдачи карт отличаются, даже если они относятся к одному тербанку. Платежи по номеру счета идут без комиссии в пределах тербанка (несколько регионов).
Между тербанками переводы без комиссии идут со своего счета на свой (я так друзьям транзит устраивал — у меня карты разных регионов есть, и они через меня деньги на нужный регион переводили бесплатно).
Тут уже кому что важней и удобней.
В Алтайский край (Барнаул, Шипуново) из Нска — комиссия есть
К сожалению или счастью, баннерорезки тоже делают люди. Я предпочитаю видеть сайт так, как его задумал автор. Было много неприятных ошибок вмешательства резаков в процедуры регистраций и отправки данных. Но и это всего лишь мое мнение. У Вас оно может быть совсем другим. Думаю, что до поры, до времени.
Глюки действительно иногда бывают. Но в сравнении с количеством г-на, которое они вычищают, это примерно как муравей против стада слонов. Гораздо лучше держать включенными всегда и изредка добавлять исключения.
Не спорю, я просто практически не посещаю, например, новостники, которые вот этим всем загажены.
Тут уже особенности и привычки. У меня список посещаемых ресурсов достаточно невелик, все они с историей и с уважением относятся к посетителям. В результате муравьев становилось гораздо больше в пропорциях к одному слону, а, главное, эти муравьи возникали очень неожиданно, когда забывал отключать резак и про него вообще забывал.
Тут уже особенности и привычки. У меня список посещаемых ресурсов достаточно невелик, все они с историей и с уважением относятся к посетителям. В результате муравьев становилось гораздо больше в пропорциях к одному слону, а, главное, эти муравьи возникали очень неожиданно, когда забывал отключать резак и про него вообще забывал.
Если только сайт не завязал свои скрипты на рекламную начинку, или его авторы не нагадили в список фильтров. Я и такое видел.
А зря, как раз там можно много чего порезать лишнего. Бывает у некоторых на компах заходишь на сайты и становиться страшно от количества рекламы, хотя у меня на этих же сайтах её нет вообще или по минимуму.
Итить…
А вкладка «инкогнито» в браузере ситуацию не улучшит? Просто я, как и вы, баннерорезками не пользуюсь…
А вкладка «инкогнито» в браузере ситуацию не улучшит? Просто я, как и вы, баннерорезками не пользуюсь…
Поясню чуть подробнее. В силу некоторых ограничений на ноуте можно ходить в инет либо из хрома, либо через ТОР. Вот я и прикидываю возможные варианты. Если все это напрасно — то тогда вообще не буду в ЛК заходить с этой машины…
Все это напрасно, поскольку данные отображаются на самом сайте СберОнлайна. И заберутся оттуда, независимо от того, какой IP будет у Вас. Баннерорезак в данном случае лишь попытка простым способом отключить скрипты, которые пользователю не нужны.
О, мощные минуса. На ГТ теперь стало неуместно задавать вопросы по теме?
«Пропал дом!», (с) проф. Преображенский
«Пропал дом!», (с) проф. Преображенский
Не улучшит.
Вообще никак не повлияет. Режим «инкогнито» — это режим в котором ваш браузер не оставляет следов в вашей истории. На всё остальное это никак не влияет. Его правильнее было бы назвать «режим с выключенной историей», потому-что люди, порой, неверно понимают его назначение.
«режим с выключенной историей»
Если одним словом, то это называется «режим амнезии».
Если одним словом, то это называется «режим амнезии».
потому-что люди, порой, неверно понимают его назначение.Именно. Хотя браузеры при открытии приватного окна пытаются объяснить, что оно из себя представляет, но кто это читает?
Не совсем. Изначально оно позиционировалось как режим «без старых кук и истории». То есть в головах у создателей этого режима вы приходили на сайт «инкогнито» (с точки зрения владельца сайта). Понятно, что оставалось сочетание UA/IP, но добросовестные сайты и не используют эти данные для идентификации.
Это потом уже появились flash-куки, идентификация по рендерингу canvas и прочие хитрости, из-за которых идентифицировать реального пользователя с почищенными включением инкогнито куками стало не проблемой.
Так что теперь все называют этот режим «порно-режимом».
(впрочем, с ситуацией на видео не поможет, но это надо семь пядей во лбу иметь, чтобы эти счетчики перехватить и вставить свои скрипты — как минимум нужно свой корневой CA в систему жертве протащить). Хотя всё это не отменяет того, что гугл в один прекрасный день решит использовать свою метрику как всеобщий кейлоггер.
Это потом уже появились flash-куки, идентификация по рендерингу canvas и прочие хитрости, из-за которых идентифицировать реального пользователя с почищенными включением инкогнито куками стало не проблемой.
Так что теперь все называют этот режим «порно-режимом».
(впрочем, с ситуацией на видео не поможет, но это надо семь пядей во лбу иметь, чтобы эти счетчики перехватить и вставить свои скрипты — как минимум нужно свой корневой CA в систему жертве протащить). Хотя всё это не отменяет того, что гугл в один прекрасный день решит использовать свою метрику как всеобщий кейлоггер.
как минимум нужно свой корневой CA в систему жертве протащить
К сожалению, если рассматривать вирус или админа домена, то задача становится очень просто реализуемой и при этом снаружи не будет никаких симптомов вмешательства.
А так, да, суть статьи была в том, что те, кому доверяют, ничем не обязаны Сбербанку, как и все их сотрудники. Не вижу причины, почему бы Google не заинтересовался таким подарком, позволяющим мониторить (в сугубо внутренних целях и без огласки наружу) платежи крупнейшего банка России. Вторая часть — это то, что кое-кому внутри, возможно, хотелось бы у Google эту инициативу перехватить. Если уж совсем дальше двигаться, то кое-кто может и сам себе сертификаты выписывать. Уже были прецеденты.
Админ домена может и сам сайт интернет-банка подменить. Да и гуглу устраивать атаку на банки опасно для репутации.
Куда реальнее другой вариант, когда одну из этих метрик попросту взламывают.
Почему вы считаете что данные странички не могут учитываться гуглом в метрике "состоятельный клиент" которую он в обезличенном виде продаёт рекламодателям, ведь устанавливая на сайт его службы вы соглашаетесь с тем что анонимизированные ваших клиентов могут использоваться на усмотрение крупнейшей рекламно-поисковой площадки?
В Firefox в приватном режиме есть защита от отслеживания. Об этом написано прямо на начальной странице приватного режима:
Насколько хорошо это работает не знаю. Большая часть всякой аналитики у меня и так вырезана.
Некоторые веб-сайты используют трекеры, которые могут следить за вашими действиями в Интернете. С Защитой от отслеживания, Firefox будет блокировать множество трекеров, которые могут собирать информацию о вашем поведении в Интернете.
Насколько хорошо это работает не знаю. Большая часть всякой аналитики у меня и так вырезана.
Не только в вашей, но ещё при этом он не делится с серверами вашей имеющейся историей. Примерно как очистить куки и историю посещений и зайти на сайт, а при закрытии вкладки повторить.
UFO just landed and posted this here
Вкладка инкогнито никак не защищает вас от отслеживания в на том сайте, где вы сами ввели логин и пароль.
Этот механизм может помешать сопоставить ваши профили на разных сайтах, если вы перезапускали режим инкогнито между заходами туда, но в пределах одного сайта механизм "анонимных" вкладок не работает никак.
Странно что сторонние скрипты вставляют в такую интимную вещь как ЛК, я понимаю ТП которая не понимает что почем, отписалась, но вставляли то скрипты программеры.
Ghostery — и нет проблем) Ну а баннеры смотерь — на свой вкус
UFO just landed and posted this here
подмена одного из того списка с которого сайт грузит скрипты где-то между вами и интернетом на свой хост, и раздача с него скрипта типа
object.addEventListener(«keydown», function(event) { console.log(event.keyCode) });
ну или любой друго вариации того же кода.
мест которые подменяют что-то между вами и интернетом — полно. тот же самый провайдер для показа страницы «сайт заблокирован роскомнадзором» вмешивается в ваш трафик.
object.addEventListener(«keydown», function(event) { console.log(event.keyCode) });
ну или любой друго вариации того же кода.
мест которые подменяют что-то между вами и интернетом — полно. тот же самый провайдер для показа страницы «сайт заблокирован роскомнадзором» вмешивается в ваш трафик.
Хм, а как подмену сертификата оранизовать? Они же по https раздаваться должны
Именно за этим они и придуманы, сертификаты, чтобы не подменяться, но кого это останавливало? Ну будет источник недоверенный с какого-нибудь rutarget.ru, большое дело…
Подмену никакой делать не надо. Нужно просто внедрить доверенный сертификат на машине жертвы, либо обладать возможностью подписывать сертификаты у доверенного центра. Тогда все браузеры будут верить, что любой HTTPS-сайт может лежать на вашем сервере.
подмена одного из того списка с которого сайт грузит скрипты где-то между вами и интернетом на свой хост, и раздача с него скрипта типа
А что в таком случае помешает перехватить сам сайт сбера и выдавать фишинговую страницу? К чему тогда вообще сложности со сторонними сервисами? Я не особо разбираюсь в этой теме, но подозреваю что если кто-то может получить доступ такого рода, то сделать он может что угодно и с чем угодно. Сбер не защищаю, сторонние счетчики не должны жить на страницах с приватной инфой.
Ну у сбера EV сертификат. И его очень сложно подделать.
А можно узнать что не так с комментарием? Может вы знаете как легко получить EV сертификат на любой домен?
Так же, как и обычный. Добавить в хранилище трояном, политиками домена, взломать любой центр сертификации, купить у коррумпированного сотрудника или надавить со стороны государства.
Прецеденты же уже были.
Как я уже писал ниже. Добавление в хранилище не дает возможости получить EV серт. Чтобы была зеленая плашка от EV серта нужно непросто добавить свой сертефикат в доверенные. Нужно также изменения в самом браузере.
Понимаете что EV гораздо труднее подделать.
Очень мало реальные сценарии.
Понимаете что EV гораздо труднее подделать.
зломать любой центр сертификации, купить у коррумпированного сотрудника или надавить со стороны государства.
Очень мало реальные сценарии.
Спасибо, не знал что там в EV дополнительная проверка. Но последние три варианта остаются осуществимыми.
Прецеденты же уже были.
Ну это не совсем прецеденты. Если разобрать все ситуации мозиллы и почитать официальные ответы от startssl, то становится ясно, что да они накосячили(конкретно startssl). Но совсем немного. Там только пару нюансов с косячной выдачей DV сертов. Но на то они и DV.
Еще не было вроде ни одного прецедент с EV сертами. Так-как за это такое можно очень сильно отхватить поэтому EV всегда и выдается вручную. И наверняка там требуется согласование не одного сотрудника.
Да 100% защиты нету. Но все таки EV подделать на порядок сложнее, что я и говорил в своем первом коментарии.
Еще не было вроде ни одного прецедент с EV сертами. Так-как за это такое можно очень сильно отхватить поэтому EV всегда и выдается вручную. И наверняка там требуется согласование не одного сотрудника.
Да 100% защиты нету. Но все таки EV подделать на порядок сложнее, что я и говорил в своем первом коментарии.
К сожалению, не было возможности снять видео о действительно неприятных вещах, т.е. том, что можно забрать изнутри личного кабинета. У многих сложилось впечатление, что речь идет только о воровстве пароля. Фишинговая страница сбера украдет пароль, который все равно надо будет подтвердить через СМС.
Подменой чужих скриптов можно будет видеть все, что будет видеть пользователь и забирать весь его ввод.
На фишинговой странице пользовательских данных не будет.
Подменой чужих скриптов можно будет видеть все, что будет видеть пользователь и забирать весь его ввод.
На фишинговой странице пользовательских данных не будет.
Если есть доступ к сертификатам на машине — можно сделать полноценный mitm, проксируя запросы через себя, сохраняя ответы (в том числе токены), подменяя любые скрипты и далее по пунктам. ИМХО это даже проще, чем мастерить фишинговую страницу. Говорить в таком контексте об «уязвимых сторонних скриптах» — всё равно что затыкать течи в разломившемся пополам корабле.
А можете раскрыть тему, куда нибудь выложить как это делается, вы точно подменили внешний скрипт, а не кусочек страницы сбербанка? Просто есть такая штука same origin policy, которая запрещает элементам странички с разных доменов ровно такие штуки делать. С одного домена можно.
Если минусуете, комментируйте pls, что не понравилось
Я не минусовал, но ниже уже писал, что не могу выложить суть проделанного, чтобы не привлекать внимание злоумышленников. В свете того, что Сбербанк сейчас занимается мной вместо того, чтобы хотя бы на время разбирательств убрать скрипты, кто-нибудь может действительно поснимать данные, которые ему не предназначались.
Не вполне понятно как SOP защищает от этой атаки. Если на странице есть тэг <script src="..."> — то он будет загружен и выполнен независимо от домена.
От добавления левого внешнего скрипта может спасти CSP — но от подмены существующего скрипта не спасает ничего.
Впрочем, все это ерунда, потому что вместо подмены скрипта можно с тем же успехом подменять саму страницу сайта.
Если говорить о конкретно случае на видео, то пользовался
кстати, еще не проверил откуда jquery грузят…
Мне не жалко было бы рассказать все в подробностях, но как бы кто-нибудь за взлом не привлек. Дураков-то хватает…
$(document).keypress(function(e)
кстати, еще не проверил откуда jquery грузят…
Мне не жалко было бы рассказать все в подробностях, но как бы кто-нибудь за взлом не привлек. Дураков-то хватает…
Как временное средство может помочь Privacy Badger — он регулирует работу с ресурсами третьих сторон, позволяя на лету их разрешать, ограниченно разрешать (только куки) или запрещать.
Не только сбер этим занимается, 99.9% других тоже не брезгуют, Потом правда начинают говорить, что они тут не виноваты. Я давно уже все подобные сайты прописываю в hosts
0.0.0.0 doubleclick.net
и прочие
Года два назад на хабре подымалась эта тема, но видиму сберу зачем то это надо.
0.0.0.0 doubleclick.net
и прочие
Года два назад на хабре подымалась эта тема, но видиму сберу зачем то это надо.
UFO just landed and posted this here
Такой у меня hosts
Заголовок спойлера
0.0.0.0 player.kmpmedia.net
0.0.0.0 mc.yandex.ru
0.0.0.0 an.yandex.ru
0.0.0.0 banerator.net
0.0.0.0 ads.electronix.ru
0.0.0.0 counter.yadro.ru
0.0.0.0 mg.yadro.ru
0.0.0.0 adriver.ru
0.0.0.0 ad.adriver.ru
0.0.0.0 partner.googleadservices.com
0.0.0.0 imgg.marketgid.com
0.0.0.0 marketgid.com
0.0.0.0 c.marketgid.com
0.0.0.0 st3.recreativ.ru
0.0.0.0 c.imrk.net
0.0.0.0 w1010.am15.net
0.0.0.0 jsc.marketgid.com
0.0.0.0 counter.marketgid.com
0.0.0.0 yandex.st
0.0.0.0 recreativ.ru
0.0.0.0 w1120.am15.net
0.0.0.0 am15.net
0.0.0.0 c.100im.info
0.0.0.0 content.rbc.medialand.ru
0.0.0.0 engine.rbc.medialand.ru
0.0.0.0 www.tns-counter.ru
0.0.0.0 hgads.ru
0.0.0.0 googleads.g.doubleclick.net
0.0.0.0 www.googleadservices.com
0.0.0.0 pagead2.googlesyndication.com
0.0.0.0 kimus.ru
0.0.0.0 st.ladycash.ru
0.0.0.0 ad.smaclick.com
0.0.0.0 adsunflower.com
0.0.0.0 adfuture.cn
0.0.0.0 mayitek.com
0.0.0.0 cs7050.vk.me
# 0.0.0.0 ssl.gstatic.com
0.0.0.0 psv4.vk.me
0.0.0.0 h2.msn.com
0.0.0.0 sO.2mdn.net
0.0.0.0 graph.facebook.com
0.0.0.0 tracker.convead.io
0.0.0.0 mscrl.microsoft.com
# 0.0.0.0 crl.microsoft.com
0.0.0.0 spynet2.microsoft.com
0.0.0.0 spynetalt.microsoft.com
0.0.0.0 logc181.xiti.com
0.0.0.0 advertising.cadsoft.de
0.0.0.0 adservone.com
0.0.0.0 meofur.ru
0.0.0.0 www.marketgid.com
0.0.0.0 a.ads1.msn.com
0.0.0.0 a.ads2.msads.net
0.0.0.0 a.ads2.msn.com
0.0.0.0 a.rad.msn.com
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 a-0002.a-msedge.net
0.0.0.0 a-0003.a-msedge.net
0.0.0.0 a-0004.a-msedge.net
0.0.0.0 a-0005.a-msedge.net
0.0.0.0 a-0006.a-msedge.net
0.0.0.0 a-0007.a-msedge.net
0.0.0.0 a-0008.a-msedge.net
0.0.0.0 a-0009.a-msedge.net
0.0.0.0 ac3.msn.com
0.0.0.0 ad.doubleclick.net
0.0.0.0 adnexus.net
0.0.0.0 adnxs.com
0.0.0.0 ads.msn.com
0.0.0.0 ads1.msads.net
0.0.0.0 ads1.msn.com
0.0.0.0 aidps.atdmt.com
0.0.0.0 aka-cdn-ns.adtech.de
0.0.0.0 a-msedge.net
0.0.0.0 az361816.vo.msecnd.net
0.0.0.0 az512334.vo.msecnd.net
0.0.0.0 b.ads1.msn.com
0.0.0.0 b.ads2.msads.net
0.0.0.0 b.rad.msn.com
0.0.0.0 bs.serving-sys.com
0.0.0.0 c.atdmt.com
0.0.0.0 c.msn.com
0.0.0.0 cdn.atdmt.com
0.0.0.0 cds26.ams9.msecn.net
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 db3aqu.atdmt.com
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 ec.atdmt.com
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 flex.msn.com
0.0.0.0 g.msn.com
0.0.0.0 h1.msn.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 lb1.www.ms.akadns.net
0.0.0.0 live.rads.msn.com
0.0.0.0 m.adnxs.com
0.0.0.0 msedge.net
0.0.0.0 msftncsi.com
0.0.0.0 msnbot-65-55-108-23.search.msn.com
0.0.0.0 msntest.serving-sys.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 preview.msn.com
0.0.0.0 rad.live.com
0.0.0.0 rad.msn.com
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 schemas.microsoft.akadns.net
0.0.0.0 secure.adnxs.com
0.0.0.0 secure.flashtalking.com
0.0.0.0 settings-sandbox.data.microsoft.com
127.0.0.1 settings-win.data.microsoft.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 ssw.live.com
0.0.0.0 static.2mdn.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-bn2.metron.live.com.nsatc.net
127.0.0.1 vortex-cy2.metron.live.com.nsatc.net
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 www.msftncsi.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 m.hotmail.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 s.gateway.messenger.live.com
0.0.0.0 s0.2mdn.net
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 view.atdmt.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com0.0.0.0 mpa.one.microsoft.com
0.0.0.0 api.skype.com
0.0.0.0 static.skypeassets.com
0.0.0.0 apps.skype.com
0.0.0.0 pricelist.skype.com
0.0.0.0 ui.skype.com
# 0.0.0.0 yastatic.net
0.0.0.0 www.googletagmanager.com
0.0.0.0 l.sharethis.com
0.0.0.0 w.sharethis.com
0.0.0.0 edge.sharethis.com
0.0.0.0 et-code.ru
0.0.0.0 wsp.marketgid.com
0.0.0.0 cat.fr.eu.criteo.com
0.0.0.0 csm.nl.eu.criteo.net
0.0.0.0 cstatic.weborama.fr
0.0.0.0 tpc.googlesyndication.com
0.0.0.0 www.googletagservices.com
0.0.0.0 cas.criteo.com
0.0.0.0 target.smi2.ru
0.0.0.0 cdn.onthe.io
0.0.0.0 www.google-analytics.com
0.0.0.0 tt.onthe.io
0.0.0.0 target.smi2.net
0.0.0.0 pipki.r.worldssl.net
0.0.0.0 cdn.onthe.io
0.0.0.0 img.chipfind.ru
0.0.0.0 r.rbc.ru
0.0.0.0 mc.yandex.ru
0.0.0.0 an.yandex.ru
0.0.0.0 banerator.net
0.0.0.0 ads.electronix.ru
0.0.0.0 counter.yadro.ru
0.0.0.0 mg.yadro.ru
0.0.0.0 adriver.ru
0.0.0.0 ad.adriver.ru
0.0.0.0 partner.googleadservices.com
0.0.0.0 imgg.marketgid.com
0.0.0.0 marketgid.com
0.0.0.0 c.marketgid.com
0.0.0.0 st3.recreativ.ru
0.0.0.0 c.imrk.net
0.0.0.0 w1010.am15.net
0.0.0.0 jsc.marketgid.com
0.0.0.0 counter.marketgid.com
0.0.0.0 yandex.st
0.0.0.0 recreativ.ru
0.0.0.0 w1120.am15.net
0.0.0.0 am15.net
0.0.0.0 c.100im.info
0.0.0.0 content.rbc.medialand.ru
0.0.0.0 engine.rbc.medialand.ru
0.0.0.0 www.tns-counter.ru
0.0.0.0 hgads.ru
0.0.0.0 googleads.g.doubleclick.net
0.0.0.0 www.googleadservices.com
0.0.0.0 pagead2.googlesyndication.com
0.0.0.0 kimus.ru
0.0.0.0 st.ladycash.ru
0.0.0.0 ad.smaclick.com
0.0.0.0 adsunflower.com
0.0.0.0 adfuture.cn
0.0.0.0 mayitek.com
0.0.0.0 cs7050.vk.me
# 0.0.0.0 ssl.gstatic.com
0.0.0.0 psv4.vk.me
0.0.0.0 h2.msn.com
0.0.0.0 sO.2mdn.net
0.0.0.0 graph.facebook.com
0.0.0.0 tracker.convead.io
0.0.0.0 mscrl.microsoft.com
# 0.0.0.0 crl.microsoft.com
0.0.0.0 spynet2.microsoft.com
0.0.0.0 spynetalt.microsoft.com
0.0.0.0 logc181.xiti.com
0.0.0.0 advertising.cadsoft.de
0.0.0.0 adservone.com
0.0.0.0 meofur.ru
0.0.0.0 www.marketgid.com
0.0.0.0 a.ads1.msn.com
0.0.0.0 a.ads2.msads.net
0.0.0.0 a.ads2.msn.com
0.0.0.0 a.rad.msn.com
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 a-0002.a-msedge.net
0.0.0.0 a-0003.a-msedge.net
0.0.0.0 a-0004.a-msedge.net
0.0.0.0 a-0005.a-msedge.net
0.0.0.0 a-0006.a-msedge.net
0.0.0.0 a-0007.a-msedge.net
0.0.0.0 a-0008.a-msedge.net
0.0.0.0 a-0009.a-msedge.net
0.0.0.0 ac3.msn.com
0.0.0.0 ad.doubleclick.net
0.0.0.0 adnexus.net
0.0.0.0 adnxs.com
0.0.0.0 ads.msn.com
0.0.0.0 ads1.msads.net
0.0.0.0 ads1.msn.com
0.0.0.0 aidps.atdmt.com
0.0.0.0 aka-cdn-ns.adtech.de
0.0.0.0 a-msedge.net
0.0.0.0 az361816.vo.msecnd.net
0.0.0.0 az512334.vo.msecnd.net
0.0.0.0 b.ads1.msn.com
0.0.0.0 b.ads2.msads.net
0.0.0.0 b.rad.msn.com
0.0.0.0 bs.serving-sys.com
0.0.0.0 c.atdmt.com
0.0.0.0 c.msn.com
0.0.0.0 cdn.atdmt.com
0.0.0.0 cds26.ams9.msecn.net
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 db3aqu.atdmt.com
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 ec.atdmt.com
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 flex.msn.com
0.0.0.0 g.msn.com
0.0.0.0 h1.msn.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 lb1.www.ms.akadns.net
0.0.0.0 live.rads.msn.com
0.0.0.0 m.adnxs.com
0.0.0.0 msedge.net
0.0.0.0 msftncsi.com
0.0.0.0 msnbot-65-55-108-23.search.msn.com
0.0.0.0 msntest.serving-sys.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 preview.msn.com
0.0.0.0 rad.live.com
0.0.0.0 rad.msn.com
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 schemas.microsoft.akadns.net
0.0.0.0 secure.adnxs.com
0.0.0.0 secure.flashtalking.com
0.0.0.0 settings-sandbox.data.microsoft.com
127.0.0.1 settings-win.data.microsoft.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 ssw.live.com
0.0.0.0 static.2mdn.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-bn2.metron.live.com.nsatc.net
127.0.0.1 vortex-cy2.metron.live.com.nsatc.net
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 www.msftncsi.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 m.hotmail.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 s.gateway.messenger.live.com
0.0.0.0 s0.2mdn.net
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 view.atdmt.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com0.0.0.0 mpa.one.microsoft.com
0.0.0.0 api.skype.com
0.0.0.0 static.skypeassets.com
0.0.0.0 apps.skype.com
0.0.0.0 pricelist.skype.com
0.0.0.0 ui.skype.com
# 0.0.0.0 yastatic.net
0.0.0.0 www.googletagmanager.com
0.0.0.0 l.sharethis.com
0.0.0.0 w.sharethis.com
0.0.0.0 edge.sharethis.com
0.0.0.0 et-code.ru
0.0.0.0 wsp.marketgid.com
0.0.0.0 cat.fr.eu.criteo.com
0.0.0.0 csm.nl.eu.criteo.net
0.0.0.0 cstatic.weborama.fr
0.0.0.0 tpc.googlesyndication.com
0.0.0.0 www.googletagservices.com
0.0.0.0 cas.criteo.com
0.0.0.0 target.smi2.ru
0.0.0.0 cdn.onthe.io
0.0.0.0 www.google-analytics.com
0.0.0.0 tt.onthe.io
0.0.0.0 target.smi2.net
0.0.0.0 pipki.r.worldssl.net
0.0.0.0 cdn.onthe.io
0.0.0.0 img.chipfind.ru
0.0.0.0 r.rbc.ru
Вот спасибо. У меня список гораздо скромнее.
Почему некоторые нули, некоторые локальные, а некоторые закомментированы?
Я думаю что 0.0.0.0 правильнее чем 127.0.0.1
Хотя в других источниках используется 127…
Закоментированы — значит понадобились наверное.
Хотя в других источниках используется 127…
Закоментированы — значит понадобились наверное.
А меня и нули смущают, 127.0.0.1 и остальные loopback адреса — запрос будет завёрнут на локальную машину. А вот как поведёт себя 0.0.0.0 — для меня загадка, будет ли попытка соединения отброшена или как будет разруливать встроенный в ОС маршрутизатор, адрес же корректный и в зависимости от реализации или местоположения может означать разные вещи.
А вот заведомо не верный адрес, скажем, вида(взят с потолка) 431.12.117.526 не корректен с точки зрения протокола и вроде как не должен как либо участвовать в маршрутизации. Такие адреса должны сразу отбрасываться без обработки. Но чёрт его знает что начудили в конкретных реализациях и какие там баги.
А вот заведомо не верный адрес, скажем, вида(взят с потолка) 431.12.117.526 не корректен с точки зрения протокола и вроде как не должен как либо участвовать в маршрутизации. Такие адреса должны сразу отбрасываться без обработки. Но чёрт его знает что начудили в конкретных реализациях и какие там баги.
Можно использовать и нули, и локальный. Но т.к. ноль это не реальный адрес, а как бы ответ, что не существует, то и таймаута на установку соединения скореевсего не будет.
Курируемый hosts файл с бонусными ништяками и на github.
http://winhelp2002.mvps.org/hosts.htm
Ну все не настолько плохо, хотя проблема действительно есть. Больше 10% банков подключают сторонние скрипты там, где это делать не надо
По моим наблюдениям меньше 0,0001% сайтов не используют сторонние ресурсы.
Просто для банков это может более критично, чем например для первого канала или сайта гос.услуг.
Чем больше сторонних ресурсов, тем легче найти дырку и немного подправить скрипт.
А потом кто знает, что завтра вставит фейсбук в свой счетчик для сайта гос.услуг когда его нагнёт АНБ или ФСБ нагнет яндекс (это пример).
Просто для банков это может более критично, чем например для первого канала или сайта гос.услуг.
Чем больше сторонних ресурсов, тем легче найти дырку и немного подправить скрипт.
А потом кто знает, что завтра вставит фейсбук в свой счетчик для сайта гос.услуг когда его нагнёт АНБ или ФСБ нагнет яндекс (это пример).
Ну для объективности не так-то просто в современном браузере подменить скрипт по SSL :)
А ещё там есть скрипт group-ib, который мониторит поведение юзеров и подгружаемые скрипты на изменения.
А ещё там есть скрипт group-ib, который мониторит поведение юзеров и подгружаемые скрипты на изменения.
не так-то просто в современном браузере подменить скрипт по SSLИ не надо, достаточно быть админом «дабл-клика» или «рутаргета», что бы иметь возможность получить доступ к любому аккаунту Сбера.
К счастью, недостаточно — ещё SMS перехватить надо. Без них только переводы между своими счетами/картами. Утешение, конечно, слабое.
Я так предполагаю, что мысль автора всё же про «автозалив», который не осуществим в данных условиях.
Вы ведь код из смс на клавиатуре набираете? А занчит его можно так-же перехватить и использовать как логин и пароль.
В случае атаки вам напишут «код уже использован», а в это добрый админ гипотетического даблклика будет хозяйничать в вашем лично кабинете.
В случае атаки вам напишут «код уже использован», а в это добрый админ гипотетического даблклика будет хозяйничать в вашем лично кабинете.
Я вам больше того скажу, формграббер даже скриншоты кликов нужного радиуса виртуальных клавиатур делают, собирают в одну картинку горизонтальную и распознают на антикапче. Но сути инжекта со стороны mitm-атаки это не меняет. А владельцем сервисов компрометация подобная не выгодна, они зарабатывают больше, чем возможно будет украсть таким объемом платежей. Я уже промолчу, что обнал такого кол-во платежей и вообще с юридической стороны ответственность, уж лучше один раз миллиард украсть у банка даже если поймают, чем миллион томов то потерпевших потом в деле иметь.
Всё, о чём вы рассуждаете в реальности глупости на том же уровне преступников, которых ловят.
Всё, о чём вы рассуждаете в реальности глупости на том же уровне преступников, которых ловят.
Как вы хитро связали участников этого обсуждения с преступниками. Или показалось?
Допустим по какой-то причине ключи от вашей квартиры дают, ну например, управдому, который получает прилично, и скорее всего вас грабить не будет. Странно? Как по мне, лучше-бы они не давали мои ключи. Тем более клиент сбербанка от того, что статистику собирает яндекс и гугл, — ничего не получает.
Допустим по какой-то причине ключи от вашей квартиры дают, ну например, управдому, который получает прилично, и скорее всего вас грабить не будет. Странно? Как по мне, лучше-бы они не давали мои ключи. Тем более клиент сбербанка от того, что статистику собирает яндекс и гугл, — ничего не получает.
1. Показалось, перечитайте последнее предложения моего комментария, там совершенно без каких либо намёков и скрытых смыслов передана мысль.
2. Вы переводите ветку разговора в другую тему. Я против действий Сбербанка в личном кабинете и вообще во всём, что связанно с безопасностью моих финансовых операций, которые Сбербанк не может гарантировать и снимет с себя любую ответственность при первом же инциденте.
2. Вы переводите ветку разговора в другую тему. Я против действий Сбербанка в личном кабинете и вообще во всём, что связанно с безопасностью моих финансовых операций, которые Сбербанк не может гарантировать и снимет с себя любую ответственность при первом же инциденте.
Этого может быть достаточно, учитывая ещё то, что у людей могут быть пароли одинаковые. А у даблклика/гугла и доступ к твоему телефону есть :-)
Полагаю, что большинство пользователей не меняют пароль, который им банкомат выдал.
У гугла, конечно, доступ к СМС есть (но не у всех Android). У даблклика — вряд ли. Всё же, думаю, что «телефонными» сервисами и аналитикой занимаются разные команды, и вероятность того, что они скооперируются, чтобы меня ограбить, очень мала.
У гугла, конечно, доступ к СМС есть (но не у всех Android). У даблклика — вряд ли. Всё же, думаю, что «телефонными» сервисами и аналитикой занимаются разные команды, и вероятность того, что они скооперируются, чтобы меня ограбить, очень мала.
Зачем? Скрипт с рутаргета грузится на странице где пользователь авторизован, соответственно он может манипулировать формами от его лица.
Как он может ввести код, который пришёл ко мне на телефон в СМСке?
Код нужен только для авторизации, для проведения операций со счетом его никто не просит.
Нужен, либо смс-пароль, либо распечатанный через банкомат код.
Код все-таки просит для всего, можно спрятать оригинальную форму заполнив ее данными злоумышленника и отображать введенные пользователем данные в фиктивной, этакий фишинг поверх оригинального клиента, вряд-ли многие будут вчитываться в содержимое смс в поисках кода подтверждения
Вы его сами введете же в сайтовую форму. Только она может быть уже совсем не той, что была раньше.
Да при таком раздолье и дубликат симки в каком-нибудь замухосранском офисе билайна-мэтээса-мегафона-теледва за сто баксов выпустить можно. Прецеденты, к сожалению, были. :(
за сто баксов
Какие там сто баксов,
Пишут, что паспорта не сливали ) md.mos.ru/presscenter/news/detail/7701814.html
При смене симкарты автоматом блочится получение СМС на этот номер.
Пример вектора?
Одни дебилы придумывают трафик внутри страны закольцевать, другие — всякую шваль в ЛК крупнейшего банка страны засовывают. Вот лучше бы первые на вторых сначала внимание обратили.
тогда они зациклят "*валь" внутри страны и засунут его в трафик… *сарказм*
А что плохого в закольцовке трафа? Или это норма, когда траф спб-мск ходит через тот же Амстердам? Безопасности это точно не добавит.
UFO just landed and posted this here
То что трафик идет не по прямой вообще на безопасность не влияет. В отличии от уменьшения связности.
Хотел много написать о теории, но решил ограничиться простым примером:
«Что плохого в закрытии объездных дорог? Или это норма, когда машина вместо 10 км делает крюк в 20? Безопасности это точно не добавит.»
«Что плохого в закрытии объездных дорог? Или это норма, когда машина вместо 10 км делает крюк в 20? Безопасности это точно не добавит.»
> Или это норма, когда машина вместо 10 км делает крюк в 20?
В том и дело, что обычно не норма. Когда есть дорога 10 км, зачем всех отправлять в объезд на дорогу в 100 км? Лучше и быстрее ехать по прямой. Объезд это хорошо, когда он резерв.
А теперь посчитаем, когда траф так бегает между уралом и уралом. Через германию/амстердам/…
Понимаю причины — каналы через тот же амстердам шире и дешевле, чем прямые.
В том и дело, что обычно не норма. Когда есть дорога 10 км, зачем всех отправлять в объезд на дорогу в 100 км? Лучше и быстрее ехать по прямой. Объезд это хорошо, когда он резерв.
А теперь посчитаем, когда траф так бегает между уралом и уралом. Через германию/амстердам/…
Понимаю причины — каналы через тот же амстердам шире и дешевле, чем прямые.
Так обычно и ездят эти 10 км. А вот когда затор, пробка, быстрее/надежнее/дешевле/… в обход, то и объезжают. Это вы в пробке можете час простоять, а если у пользователя пинг будет в полчаса…
Вы хотя бы ознакомьтесь как роутинг происходит и сколько там всякого, тот же BGP. Вроде технический ресурс, а рассуждения на уровне: я вижу, что по прямой на карте быстрее. А если там нет связности и только резервный dsl канал на 100 мб/с, как вы собрались 1 Гб/с протолкнуть?
Вы хотя бы ознакомьтесь как роутинг происходит и сколько там всякого, тот же BGP. Вроде технический ресурс, а рассуждения на уровне: я вижу, что по прямой на карте быстрее. А если там нет связности и только резервный dsl канал на 100 мб/с, как вы собрались 1 Гб/с протолкнуть?
Не удивлен, этож сбер, у них же бигдата и все такое.
Вроде же все скрипты идут через https и кто угодно по пути подменить скрипт не сможет. Или все таки есть возможность подмены?
Представим себе ситуацию когда злоумышленник просто пошаманит над корпоративным DNS, в пределах одного офиса, и сделает так чтобы запросы к tag.rutarget.ru — шли к нему домой.
Попробуйте повторить и удивитесь, что ответит браузер :)
Наверно если ДНС корпоративный, то и машины могут быть в домене, то и сертификаты корневые можно добавить? это вопросы, сам винду не админю. С другой стороны, если есть возможность добавить корневые сертификаты на компьютер, то и сторонние скрипты не сильно нужны в ЛК, можно и весь трафик до сбера поснифать.
FireFox по умолчанию не пользуется системным хранилищем сертификатов для валидации (можно ли настроить, что пользовался — не знаю).
Через доменные политики можно добавить и в firefox'овское хранилище сертефикатов.
Единственное как я писал выше саму страничку сбера лучше не подменять так-как там EV серт и вот его просто так не подделаешь.
Единственное как я писал выше саму страничку сбера лучше не подменять так-как там EV серт и вот его просто так не подделаешь.
я где-то не так давно читал, что EV-превратились в тыкву и уже ничего не значат, т.е. ничем от обычных не отличаются… могу ошибаться....
Вся фишка в том что неполучится сделать самоподписанный EV сертефикат, тоесть получить заветную зеленую плашку с названием фирмы. Так-как списко корневыхс сертефикатов с возможностью выдавать EV жестко прописывается в коде.
Таким образом вам недостаточно добавить корневой сертефикат в доверенные вам также нужно еще изменения в коде браузера внести(чтобы получить плашку), что напорядок сложнеею
Таким образом вам недостаточно добавить корневой сертефикат в доверенные вам также нужно еще изменения в коде браузера внести(чтобы получить плашку), что напорядок сложнеею
Нет спасибо товарищ полковник, пробуйте вы это сами )
Я же на видео без монтажа и фотошопа показал, что работает :)
Если так, то что мешает сразу сайт «Сбербанка» подменить? Зачем возиться со сторонними скриптами?
А данные о пользовательских картах откуда взять? Речь о том, что внутри ЛК может быть очень много, чем заинтересуются отдельные люди. Я писал об этом выше.
А смысл? Подменять целый банк если можно просто поменять номер карты при переводе денег другому клиенту на левый — сторонним скриптом. Это одна строчка кода.
Но ведь точно так же можно подменить любой скрипт, который подгружается непосредственно с сайта Сбербанка. Никакой разницы.
Речь же идёт не о локальной подмене скрипта, а о возможности подмены его со стороны "метрик", не принадлежащих сбербанку. Эта ситуация не может быть проконтролирована ни пользователем, ни Сбербанком без глубокого анализа, т.к. сертификат Сбербанка фактически здесь не участвует, а данные (скрипты) со стороны "метрик" будут выглядеть вполне легитимными, будучи подтвержденными их (метрик) сертификатами. Вот и получается ситуация, когда без особого привлечения внимания можно поменять скрипт на пару дней для сбора "нужных данных".
Представим себе ситуацию когда злоумышленник просто пошаманит над корпоративным DNS, в пределах одного офиса, и сделает так чтобы запросы к tag.rutarget.ru — шли к нему домой.Я подумал, что речь идёт о ситуации, когда такое делает администратор какой-то организации, пользователи которой используют «Сбербанк Онл@йн».
Если здесь имелся в виду именно администратор «Рутаргета» — тогда да, всё правильно, просто я неверно понял контекст.
Править скрипты и говорить что оригинальные скрипты данные сливают — не совсем правильно, как мне кажется.
Но ghostery — это да, должен быть включен:) Да и noscript по умолчанию должен запрещать все, а по необходимости включать нужные. Но это не спасет если сбер или еще кто включит все эти метрики в свои скрипты и будет раздавать как свои — и без них работать не будет.
Но ghostery — это да, должен быть включен:) Да и noscript по умолчанию должен запрещать все, а по необходимости включать нужные. Но это не спасет если сбер или еще кто включит все эти метрики в свои скрипты и будет раздавать как свои — и без них работать не будет.
Вот для таких случаев есть uMatrix.
Ага, а при этом обрезать функционал приложения из-за рута — это же безопасность, вы что. Ох уж эти двойные стандарты.
Мир спасен, так делает не только Сбербанк.
Прошелся по топам, у многих инсторанных банков аналитика на login-pge от google.
К сожалению google и yandex метрики свершившийся зло.
doubleclick это тот же Google.
А rutarget дочка Сбербанка.
Прошелся по топам, у многих инсторанных банков аналитика на login-pge от google.
К сожалению google и yandex метрики свершившийся зло.
doubleclick это тот же Google.
А rutarget дочка Сбербанка.
Что — то мне подсказывает, что самый большой трэшоган можно найти в «Почта Банке» )
Сайт на обед закрывается?
UFO just landed and posted this here
Вы смеётесь, но иногда у них действительно перевод на карту зачисляется три-четыре дня.
UFO just landed and posted this here
формально межбанк может идти до 6 дней
Ну знаете… Формально, я когда начинаю пользоваться платёжными картами, я ожидаю от сервиса скорости работы, соответствующей скоростям современных технологий. Я, конечно, понимаю, что в офертах у абсолютного большинства банков написано про три рабочих дня и т.д. но на практике большинство банков делает всё максимально быстро. И вот когда я этого не получаю, у меня возникают вопросы — за что я плачу вообще комиссию и всё остальное?
За шесть дней я и сам могу бабки куда угодно отвезти ногами.
За шесть дней я и сам могу бабки куда угодно отвезти ногами.
С картами не всё так просто, бывали случаи когда после перечисления иб вам показывает остаток на карте, вы снимаете деньги(переводите) и попадание на проценты за овердрафт на 1 день, т.е. по факту то что отображено в иб мгновенно, может быть совсем не тем чем кажется
я могу ошибаться или что-то могло измениться, но по крайней мере раньше процедура была следующая, упрощенно:
1. вы инициируете межбанковский перевод
2. деньги с вашего счета уходят на кор счет банка
3. происходит всякая магия с взаиморасчетами между банками
4. деньги попадают на кор счет банка получателя
5. деньги переводятся непосредственно на счет получателя.
Шесть дней появляются из того правила, что деньги могут лежать на кор счету не более трех дней. Соответственно, максимально возможные 6 дней — это три дня на кор счету вашего банка плюс три дня на кор счету банка получателя.
Если я ошибаюсь или что-то изменилось, кто-нибудь знающий может меня поправить.
1. вы инициируете межбанковский перевод
2. деньги с вашего счета уходят на кор счет банка
3. происходит всякая магия с взаиморасчетами между банками
4. деньги попадают на кор счет банка получателя
5. деньги переводятся непосредственно на счет получателя.
Шесть дней появляются из того правила, что деньги могут лежать на кор счету не более трех дней. Соответственно, максимально возможные 6 дней — это три дня на кор счету вашего банка плюс три дня на кор счету банка получателя.
Если я ошибаюсь или что-то изменилось, кто-нибудь знающий может меня поправить.
Это я всё знаю.
Вы мне скажите другое лучше — с какого хрена меня, как потребителя, должны вообще волновать все эти внутренние процедуры?
Вы мне скажите другое лучше — с какого хрена меня, как потребителя, должны вообще волновать все эти внутренние процедуры?
Если отправлять по банковским реквизитам карты — да. Схема такая. И при ней вроде не берется комиссия в процентах, а фиксированная и небольшая. Деньги могут идти несколько дней. А вот если по номеру карты — там через процессинговый центр и зачисление почти моментальное. Но в этом случае чаще всего берут комиссию от суммы.
Они подключают сторонние JS уже давно, тоже пару лет назад писал об этом.
Но тогда был только google насколько помню, а теперь целый зоопарк.
Но тогда был только google насколько помню, а теперь целый зоопарк.
Я при оплате квитанций за квартиру в Сбербанк-онлайн, по-ошибке ввёл не свой лицевой счёт (ошибся на 1): увидел ФИО соседа и его задолженность по квартплате. Тоже наверное персональные данные.
(ошибся на 1): увидел ФИО соседа и его задолженность по квартплатеНет повода вам не верить, но если ошибиться на 1 цифру — система будет выдавать сообщение «Ошибочный код плательщика». Поскольку там контрольная сумма запилена. А про фамилию — тут я ХЗ как проверить. Но если пробивать номер плательщика ЖКУ на сайте bm.ru — там выдают только сумму к оплате (с разбивкой по статьям затрат). Ну и информацию «оплачено/неоплачено».Фамилий нет.
Какой там «ошибочный код».
Лицевые счета заканчиваются на номера квартир.
Можно хоть весь подъезд «обшарить».
Лицевые счета заканчиваются на номера квартир.
Можно хоть весь подъезд «обшарить».
Лицевые счета заканчиваются на номера квартир.Точно нет.
Мы ведь говорим о десятизначных счетах для ЖКУ Москвы?
http://www.bm.ru/ru/personal/platezhi-i-perevody/oplata-uslug/kvartplata/
Нет. Я не из Москвы.
И у меня л/с ТОЧНО заканчивается на номер квартиры.
И у меня л/с ТОЧНО заканчивается на номер квартиры.
Это, скорее всего, у вас одна из УК, у которой договор со Сбером об оплате и выставлении счетов.
Они тупо отдают Сберу список ЛС-ФИО. Сбер позволяет вам платить по любому ЛС (Было бы странно, если бы вам запретили заплатить К/П за маму)
Почему они при этом показывают вам ФИО, привязанное к ЛС? Ну это вопрос. Но данные слил не Сбер — данные слила УК, передав третьему лицу.
Возможно у вас с УК в договоре есть какой-то хитрый пункт, которые позволяет ей это делать.
Ну и у УК со Сбером — такой же пункт, прикрывающий уже Сбер.
Но это уже домыслы.
Аналогично плачу через сбер К/П и тоже интересовался подобным вопросом.
Они тупо отдают Сберу список ЛС-ФИО. Сбер позволяет вам платить по любому ЛС (Было бы странно, если бы вам запретили заплатить К/П за маму)
Почему они при этом показывают вам ФИО, привязанное к ЛС? Ну это вопрос. Но данные слил не Сбер — данные слила УК, передав третьему лицу.
Возможно у вас с УК в договоре есть какой-то хитрый пункт, которые позволяет ей это делать.
Ну и у УК со Сбером — такой же пункт, прикрывающий уже Сбер.
Но это уже домыслы.
Аналогично плачу через сбер К/П и тоже интересовался подобным вопросом.
ТСЖ у меня.
Договора с ТСЖ никакого нет.
Как, думаю, и у всех тех, кто покупал квартиры не у застройщика (который собственно ТСЖ и организовал и людей туда «вступил»).
Технически наверное это произошло так как Вы и описываете.
Сбер видимо это не считает разглашением личных данных — иначе мог бы поправить ТСЖ, указать ему на ошибку.
У меня отношение к этой ситуации — нейтральное.
Договора с ТСЖ никакого нет.
Как, думаю, и у всех тех, кто покупал квартиры не у застройщика (который собственно ТСЖ и организовал и людей туда «вступил»).
Технически наверное это произошло так как Вы и описываете.
Сбер видимо это не считает разглашением личных данных — иначе мог бы поправить ТСЖ, указать ему на ошибку.
У меня отношение к этой ситуации — нейтральное.
ВНЕЗАПНО есть города кроме Москвы, какая неожиданность.
ЛС и ФИО передают сберу поставщики услуг, сам сбер тут не при кухне — что дали, то и вывел. Редко у кого ЛС содержит контрольную сумму (даже не знаю примеров), некоторые более ответственные в ФИО скрывают фамилию (собственно, как и сам сбер), и ФИО будет вида «Иван Иванович И.»
Можно разными способами кодировать плательщика. Кто-то заморочивается, кто-то не хочет. Аналогично и с фамилиями — на кого-то наехали и они лицевой счёт теперь пишут вместо фамилии, а на кого-то ещё не наехали и они передают полностью ФИО. Но это целиком и полностью лежит на том, кто эти реестры сливает в СБ и сам СБ тут вообще ни при чём — показывает лишь то, что он получил.
Гораздо более печально, что любой сосед может увидеть Ваш долг, а вот ФИО владельца можно узнать и без Сбера на вполне законных основаниях через рос реестр.
Через банкомат сбера можно посмотреть ФИО и долг по интернету просто по номеру договора, не засвечивая карту, анонимно, выбрав оплату наличными.
А как можно отличить «вас» от «не вас»? Требовать паспорт с пропиской и разрешать платить за квартиру только одному человеку?
С одной стороны кого-то смущает. Но это удобно. Точно видишь свою фамилию (ИО у меня не показывает, на сколько помню, я про банкомат) и знаешь, что не ошибся.
В госуслугах Москвы (веб или приложение — разницы нет) можно ввести ЛЮБОЙ АДРЕС и код плательщика и без какой-либо дополнительной верификации вводить показания чужих водосчетчиков. Очень легко кому-нибудь устроить ненужный геморрой.
Что за паника? Ну переслал данные, для google analytics, Сбер может отключить и пересылать google analytics через свои сервера, это вообще не проблема.
Хватит истерить. То что накликали на странице Сбербанка является данными доступными Сбербанку для обработки, а он уже как хочет так эти данные и обрабатывает, через google, rutarget…
Хватит истерить. То что накликали на странице Сбербанка является данными доступными Сбербанку для обработки, а он уже как хочет так эти данные и обрабатывает, через google, rutarget…
Проблема не в том, что Сбер обрабатывает данные, а в том, что он доверяет целостности скриптов, запускаемых в контексте его страницы на компьютере пользователя, загружаемых с серверов сторонних организаций. Если возникнет гипотетическая ситуация, что злоумышленник сможет подменить скрипт google analytics/rutarget/… (например, если он администрирует те сервера, где он лежит), то станет возможным, например, редактирование полей формы платежа перед тем, как она будет отправлена из браузера на сервера Сбера.
Накликали тебе — сам отправляй, обрабатывай. А не так: вот тебе рабочее место, сам смотри что тут пользователь кликает.
Поясню для тех, кто не очень в теме.
Та же метрика пишет в логи всё, до чего может дотянуться — нажатия клавиш, движения и клики мыши, введённые значения полей по onblur, прокрутку и т.д. Потом всё посещение можно посмотреть в вебвизоре просто как видеозапись визита.
У гугла функционал чуть слабее, но принцип похожий.
Что там в остальных счётчиках понатыкано или теоретически может быть понатыкано — вообще не понятно.
Сбер, Яндекс, Гугл — большие конторы с большим штатом в техподдержке. Теоретически туда может пробраться мальчиш-плохиш, или просто бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом, и получить доступ к ЛК всяких интересных личностей (бизнесменов, политиков, активистов и т.п.). При этом если обычно при входе в ЛК прилетает SMS-ка, то здесь не будет даже этого, т.к. они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет. Украсть деньги таким образом не получится (нужно подтверждение операций по SMS, а для этого нужно выкрасть телефон или сделать дубликат симки), но сам список операций может оказаться уже достаточно жареным, особенно если про политиков речь.
Также не забываем такой вариант, что пароли от яндекс.метрики можно украсть или подобрать.
Ну и самое плохое это всякие рутаргеты и даблклики — там значительно более низкий уровень работы безопасников просто в силу масштабов.
Та же метрика пишет в логи всё, до чего может дотянуться — нажатия клавиш, движения и клики мыши, введённые значения полей по onblur, прокрутку и т.д. Потом всё посещение можно посмотреть в вебвизоре просто как видеозапись визита.
У гугла функционал чуть слабее, но принцип похожий.
Что там в остальных счётчиках понатыкано или теоретически может быть понатыкано — вообще не понятно.
Сбер, Яндекс, Гугл — большие конторы с большим штатом в техподдержке. Теоретически туда может пробраться мальчиш-плохиш, или просто бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом, и получить доступ к ЛК всяких интересных личностей (бизнесменов, политиков, активистов и т.п.). При этом если обычно при входе в ЛК прилетает SMS-ка, то здесь не будет даже этого, т.к. они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет. Украсть деньги таким образом не получится (нужно подтверждение операций по SMS, а для этого нужно выкрасть телефон или сделать дубликат симки), но сам список операций может оказаться уже достаточно жареным, особенно если про политиков речь.
Также не забываем такой вариант, что пароли от яндекс.метрики можно украсть или подобрать.
Ну и самое плохое это всякие рутаргеты и даблклики — там значительно более низкий уровень работы безопасников просто в силу масштабов.
> Бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом,
И не надо забывать, что эти бармалеи могут иметь корочки и даже постановление суда, заставляющее этого сотрудника заткнуться навечно, сделав вид, что ничего не было.
И не надо забывать, что эти бармалеи могут иметь корочки и даже постановление суда, заставляющее этого сотрудника заткнуться навечно, сделав вид, что ничего не было.
Украсть деньги таким образом не получится (нужно подтверждение операций по SMSПользователь сам и введет код из смс, скрипт только подменит получателя и сумму.
Подтверждение по SMS при достаточном желании и умении перехватить тоже не проблема.
На самом деле от этого очень просто защититься — отключить JS в браузере. Только вот Сбербанк.Онлайн работать так не будет.
они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет
Простите, а вы сами-то Метрикой пользовались хоть раз? Это не видеозапись, это именно что как бы запись. Вебвизор покажет движения мышкой по странице, но не покажет, что было на самой странице. Такое возможно только в том случае, если страница, на которой регистрируются действия, есть в публичном доступе.
Рекомендую ставить для полей и форм флаги типа -metrika-nokeys и -visor-no-click. Это решит проблему записи данных карт.
https://yandex.ru/support/metrika/general/counter-webvisor.xml
https://yandex.ru/support/metrika/general/counter-webvisor.xml
И как вы определитель что метрика эти данные именно "не собрала" а не неотобразила владельцу домена?
Вопрос то не в том что там реально собирается и анализируется, а в том как оно может быть использовано не только сбербанком?
Наличие бесплатного сервиса метрики как-бы намекает что его владелец заинтересован в использовании данных собранных изнутри сайта.
Глянул в devtools, а сбербанк дергает localhost по разным портам по https. Это норма или у меня завелись гости? :)
Посмотрел, у меня тоже ))))
UFO just landed and posted this here
теории заговора прям) Проверяет запущен ли клиентский софт на компе, чтобы взаимодействовать по API.
Судя по портам, это rdp/vnc/teamviewer/etc, но вот зачем туда ломиться?
тыц
я думаю тут ответ очевиден.
они пытаются убедиться, что сейчас компом управляет человек перед монитором, а не кто-то удаленно.
но почему я не могу удаленно подключиться к домашнему компу и там запустить банк-клиент? выходит по версии банка, я так не могу.
они пытаются убедиться, что сейчас компом управляет человек перед монитором, а не кто-то удаленно.
но почему я не могу удаленно подключиться к домашнему компу и там запустить банк-клиент? выходит по версии банка, я так не могу.
Ну сам факт проверки не говорит о том, что вы так не можете. Вполне вероятно, что при обнаружении удаленного доступа выскочит предупреждение чтобы предупредить пользователя на случай если он об этом не знает, но с возможностью продолжить. Или там по коду явно блокировку видно?
Опрашивая порты rdp или vnc нельзя никаким образом определить, что к ним кто-то подключен. Можно только определить, что на них запущен какой-то сервис.
Сбер сам себя через прокси на localhost дергает.
То, что это штатная функция сбера — да, насколько это норма — каждый решает для себя…
То, что это штатная функция сбера — да, насколько это норма — каждый решает для себя…
Это еще цветочки, недавно было обсуждение на banki.ru про то, что приложение сберовское всю телефонную книгу (а возможно и не только ее) — сливает на сервер.
http://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=298381
Я проверить не смог, у меня Сбербанк.Онлайну все разрешения на iOS зарезаны, ибо нечего ему лазить где не надо…
http://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=298381
Я проверить не смог, у меня Сбербанк.Онлайну все разрешения на iOS зарезаны, ибо нечего ему лазить где не надо…
Они дают возможность отсылать деньги на карту по номеру телефона.
А еще строить социальные графы, вести работу по взысканию задолженности, предлагать клиенту таргетированную рекламу в зависимости от его контактов, продавать мою телефонную книгу партнерам и т.д.
Применений этим данным можно найти очень много, я понимаю.
Но закон о защите ПД 152-ФЗ (статью 6) тоже нарушать не стоит, ни под один из пунктов обработка ФИО и телефонов третьих лиц (а у меня в телефонной книге еще и дни рождения и адреса записаны) не подходит.
Применений этим данным можно найти очень много, я понимаю.
Но закон о защите ПД 152-ФЗ (статью 6) тоже нарушать не стоит, ни под один из пунктов обработка ФИО и телефонов третьих лиц (а у меня в телефонной книге еще и дни рождения и адреса записаны) не подходит.
Это распрекрасно делается и без телефонной книги и, даже, без телефона, иначе это была бы уникальная фишка телефонных приложений, но ведь через сайт это как-то работает.
«Рокетбанковское» тоже сливает, но об этом я узнал ещё при установке приложения, там это сразу написано.
Да с вашими рутированными андроидами гемора больше, чем с этой проблемой Сбера. Очередная псевдоистерия, не более.
И какой гемор вам от наших рутированных андроидов?
UFO just landed and posted this here
Какая беда безопасникам до нашей дыры? Наша дыра — наши проблемы. Мы самостоятельно приняли решение жить с дырой!
Всегда странно читать подобные высказывания. Вы хотя бы раз устанавливали программы, предоставляющие su на Android? Они все спрашивают разрешение на выполнение конкретной команды, причем сразу нажать кнопку подтверждения нельзя, нужно выждать небольшой таймаут, несколько секунд. Просто так произвольная программа не может выполнить какую-либо команду от root без ведома пользователя.
Root на Android — механизм, подобный UAC на Windows, только еще и видно выполняемую команду, в отличие от Windows.
Где здесь дыра? Мнений, подобных вашему, очень много, я что-то упускаю?
Root на Android — механизм, подобный UAC на Windows, только еще и видно выполняемую команду, в отличие от Windows.
Где здесь дыра? Мнений, подобных вашему, очень много, я что-то упускаю?
Единственных два метода прочитать файлы приложения которые не зашарены — это простое чтение этих файлов если приложение установлено на SD карту и чтение их с помощью рута. Ошибки безопасности типа открытого контентпровайдера который разрешает читать все бе разбору не рассматриваем. Очевидно, что если приложение хранит, к примеру, пароль или другие секретные данные то разработчики не хотят чтоб эти файлы кто-нибудь читал, поэтому запрещают оба этих метода. А SU для рутованного телефона можно и без попапа написать, проблем никаких.
Еще один популярный метод защиты — проверка подписи приложения. Она гарантирует что приложение не было изменено атакующим. К сожалению, это можно подделать на рутованных телефонах. Так что да, рут — это большая дыра в безопасности.
Еще один популярный метод защиты — проверка подписи приложения. Она гарантирует что приложение не было изменено атакующим. К сожалению, это можно подделать на рутованных телефонах. Так что да, рут — это большая дыра в безопасности.
А SU для рутованного телефона можно и без попапа написать, проблем никаких.Написать можно, безусловно, и они есть, но как вы их установите на устройство из, скажем, вредоносного приложения? Чтобы установить свой suid-бинарник, нужно воспользоваться уже существующим su, который будет запрашивать действие пользователя.
На компьютерах любое приложение может читать данные и настройки любого другого приложения пользователя, что, по вашей логике, должно являться просто вопиющей дырой в безопасности. Тем не менее, почему-то все считают администраторский доступ именно на Android чем-то плохим, а на компьютерах — нет.
Разъясните, пожалуйста, я на полном серьезе не понимаю.
Тут формально 2 проблемы:
1.root на многих устройствах можно получить без участия пользователя.
- Телефон в себе совмещает 2 функции — вроде платёжного поручения и безусловного акцепта(3ds через смс)
Другое дело что права root у приложенич могут быть и без su, поэтому смысла большого в его детектировании особо нет, т.е. по факту это защита для тех кто поставил root ради взлома игрушек, у таких по мнению безопасников как раз вирусы и живут.
1.root на многих устройствах можно получить без участия пользователя.Вы подразумеваете различные уязвимости ядра? Действительно, можно. И ни антивирус, ни встроенные в банковское приложение проверки от такого не защитят.
Это справедливо и для десктопных систем, да и вообще для компьютеров в целом.
Телефон в себе совмещает 2 функции — вроде платёжного поручения и безусловного акцепта(3ds через смс)Ничего не понял. А банковская программа здесь причем?
- Я про это и написал, это никак не обойти.
- Рутовое приложение в теории может накликать в клиенте операцию по шаблону интерфейса, а потом втихую подтвердить её через смс затерев следы, если "рута нет" вы даже print screen в приложения банка не сделаете (что кстати прикрывает ещё и от некоторых социально-инженерных видов мошенничества, но это другая тема)
p.s. я против текущего подхода к безопасности в приложении сбербанка, поэтому у меня его нет, по мне им надо было делать две версии, для всех и для тех кому не всё равно.
В руте ничего плохого нет. Но наличие его очень часто подразумевает открытый загрузчик и кастомное рекавери. А вот это уже огромная дыра в безопасности.
Ага, конечно, пусть только вирусы используют уязвимости андроида, а самому пользователю — ни-ни! Меня всегда умиляют подобные выпады на рутованые андроиды.
Я уже как несколько лет пользуюсь вот таким решением, которое можно добавить в /etc/hosts
127.0.0.1 tpc.googlesyndication.com googleads.g.doubleclick.net doubleclick.net googleadservices.com www.googleadservices.com pagead2.googlesyndication.com www.google-analytics.com google-analytics.com
127.0.0.1 tpc.googlesyndication.com googleads.g.doubleclick.net doubleclick.net googleadservices.com www.googleadservices.com pagead2.googlesyndication.com www.google-analytics.com google-analytics.com
UFO just landed and posted this here
У меня издавна стоит Unbound на роутере, в нем можно сделать например так:
Таким образом все поддомены будут отдаваться с нулями.
Делал парсер hosts для преобразования под Unbound и выпиливания из него некоторых доменов с последующим полным баном вышеуказанным способом
local-zone: "doubleclick.net" redirect
local-data: "doubleclick.net A 0.0.0.0"Таким образом все поддомены будут отдаваться с нулями.
Делал парсер hosts для преобразования под Unbound и выпиливания из него некоторых доменов с последующим полным баном вышеуказанным способом
Особенно совет полезен тем, кому по работе надо лазить в гуглоаналитику и т.п.
А может кто-то из тех кто негативно относится к «слежке» сказать, что именно не нравится? Спрашиваю не спора ради, никому свою точку зрения не навязываю, просто я лично не понимаю негатива вызванного подобными статьями и мне любопытно, в чем соль?
Им не нравится просто сам факт того, что кто-то возможно что-то узнает про них. При этом учитывая неплохую осведомленность о работе этих сервисов, и ресурс на котором идет обсуждение, более чем уверен что в своих проектах они эту самую аналитику прикручивают только в путь.
Мне лично не нравится то, что я этот процесс никак не контролирую по-умолчанию и ничего взамен не получаю.
Представьте, что за вами круглосуточно ходит человек с камерой и блокнотом, заходит с вами в магазин, в гости к друзьям, в туалете пристраивается рядом, что-то записывает, снимает… Неприятно?
PS: Да, я знаю про Ghostery, NoScript, и т.д.
Представьте, что за вами круглосуточно ходит человек с камерой и блокнотом, заходит с вами в магазин, в гости к друзьям, в туалете пристраивается рядом, что-то записывает, снимает… Неприятно?
PS: Да, я знаю про Ghostery, NoScript, и т.д.
и ничего взамен не получаю
Неправда, получаете.
Маркетинговые данные, которые собирает (например, с помощью этих инструментов) и которыми пользуется Сбербанк, приводят к повышению эффективности его работы (иначе этих счётчиков там и не стояло бы).
Повышение эффективности его работы приводит к повышению качества услуг и/или снижению их себестоимости.
В конечном итоге всё отражается на цифрах в годовом отчёте банка.
Утрированно: не будь этих счётчиков — процент по депозиту в Сбербанке был бы самую чуточку выше.
В банках я лет 15 отработал, из них в Сбере 11, работал в казначейских подразделениях. К сожалению, или к радости — но процентная ставка по вкладам от затрат банка зависит далеко не в первую очередь. Куда больше учитываются тенденции по процентным ставкам в экономике, состояние ликвидности и открытой валютной позиции банка, конкурентная среда и т.д.
Вы кстати, в последнем предложении попутали — или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)
Вы кстати, в последнем предложении попутали — или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)
Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег )) про проценты при переводе на карту открытую в другом регионе слышали? Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу? Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.
> про проценты при переводе на карту открытую в другом регионе слышали?
Нет, не слышал. Можете предъявить пруф?
> Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?
Если есть другая полноценная карта Сбера, то лимиты будут сильно больше. Переводите на неё деньги и снимаете чере банкомат.
> Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.
Мне везёт. И в очередях стоять не приходится, и даже не было проблемы с получением выписки с карты в другом регионе.
Нет, не слышал. Можете предъявить пруф?
> Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?
Если есть другая полноценная карта Сбера, то лимиты будут сильно больше. Переводите на неё деньги и снимаете чере банкомат.
> Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.
Мне везёт. И в очередях стоять не приходится, и даже не было проблемы с получением выписки с карты в другом регионе.
Комиссия есть. Ее нет, если переводить на свою же карту, открытую в другом регионе. Если на карту другого человека, то да.
Про комиссию в 1% на сайте написано. Когда надо было переводить десятки тысяч в месяц, дешевле и проще оказалось открыть всем карты тинькова.
Как-то я зашел в сбер и захотел снять 150к без комиссий. ТРОЕ сотрудников рассказывали, как это сделать. Сначала в кассе с очередью, потом в банкомате… В итоге я сделал, все как они сказали и попал на 500р.
«выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?
" есть другая полноценная карта" -таких сбер еще не придумал.
Как-то я зашел в сбер и захотел снять 150к без комиссий. ТРОЕ сотрудников рассказывали, как это сделать. Сначала в кассе с очередью, потом в банкомате… В итоге я сделал, все как они сказали и попал на 500р.
«выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?
" есть другая полноценная карта" -таких сбер еще не придумал.
Комиссии по картам это ограничения платежной системы. Хотите снимать без комисси больше открывайте более дорогие карты. Именно лимитами и отличаются Gold и Platinum
Хочу просто снимать свои деньги (хотя бы в кассе) в сбербанке, без комиссии и ограничений по количеству снятого в день.
Откройте счет… Карты это другой инструмент и регулируется платежными системами у них вообщем-то примерно одинаковые правила в любой точке мира… Возможно есть банки, которые не дают лимита на снятие наличных с карты, но я таких не знаю. Ещё раз повторюсь цвет карт как раз определяет лимиты снятия все остальное это доп. плюшки.
Имею дебетовую карту Сбера, с бесплатным годовым обслуживанием. Снимаю без комиссии, ни разу не платил за это, что в кассе снимал по 250к разово, что через банкоматы. Ограничения — 500к в сутки. Я думаю, если кому-то мало полмиллиона в сутки, наверно у него будут деньги заплатить несколько тысяч рублей в год за какой-нить Platinum…
У меня сейчас есть gold от сбера. Где мои 7% на остаток и 1% кешбека? Где курьер, который привезет потерянную карту? Где поддержка онлайн в чате?
Захочу подключить несчастные смс — буду стоять с бабульками в очереди на кассу.
И за все это вы предлагаете еще и платить больше? Это сбер должен солидно доплачивать своим клиентам за страдания.
Захочу подключить несчастные смс — буду стоять с бабульками в очереди на кассу.
И за все это вы предлагаете еще и платить больше? Это сбер должен солидно доплачивать своим клиентам за страдания.
У меня сейчас есть Gold не от сбера. Где мои 7% на остаток и 1% кешбэка? Где курьер, который привезёт потерянную карту? Где поддержка онлайн в чате?
А смс в сбере подключается в любом ихнем банкомате / терминале, один фиг договор на ДБО вы скорее всего уже ранее подписали.
А смс в сбере подключается в любом ихнем банкомате / терминале, один фиг договор на ДБО вы скорее всего уже ранее подписали.
Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера. Иногда кажется, что там индусы всё пишут, настолько много багов.
Или «ой, этот номер мы не знаем, на него смс подключить можно только в офисе».
Или «ой, этот номер мы не знаем, на него смс подключить можно только в офисе».
> Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера.
Ага. Перевод с карты на карту у жены выглядел так: подойти к банкомату, получить деньги, переложить их в купюроприёмник, скормив обратно. Проблема решилась только перечислением зарплаты на другую карту.
Ага. Перевод с карты на карту у жены выглядел так: подойти к банкомату, получить деньги, переложить их в купюроприёмник, скормив обратно. Проблема решилась только перечислением зарплаты на другую карту.
Нет, карты внутри банка за пределы его процессинга не выходят, оправдывать их можно чем угодно но не МПС.
Хотите снимать без комисси больше открывайте более дорогие карты. Именно лимитами и отличаются Gold и Platinum
Все эти Gold и Platinum давно себя дискредитировали, тот же Gold чуть ли не бомжам бесплатно впаривают. Это раньше было круто — повышенные лимиты, персональные менеджеры
> Все эти Gold и Platinum давно себя дискредитировали
А разве это не закономерное следствие перехода платёжных систем на онлайн-транзакции? Для нас это может показаться дикостью, но в США, на родине кредитных карт, массовый переход на онлайн-транзакции с использованием кредитных карт происходит только сейчас.
Собственно, высокий статус карты означал, что её владелец имеет большой кредитный лимит, и магазин мог быть уверен, что в случае оффлайн-транзакции не получит проблем. Сейчас же, с высоким проникновением интернета, и наличие средств и владение картой (онлайн пин-код) проверяется прямо в момент совершения покупки.
А разве это не закономерное следствие перехода платёжных систем на онлайн-транзакции? Для нас это может показаться дикостью, но в США, на родине кредитных карт, массовый переход на онлайн-транзакции с использованием кредитных карт происходит только сейчас.
Собственно, высокий статус карты означал, что её владелец имеет большой кредитный лимит, и магазин мог быть уверен, что в случае оффлайн-транзакции не получит проблем. Сейчас же, с высоким проникновением интернета, и наличие средств и владение картой (онлайн пин-код) проверяется прямо в момент совершения покупки.
> «выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?
Представьте себе, он её выдал прямо на месте.
> " есть другая полноценная карта" -таких сбер еще не придумал.
У меня Visa Gold с бесплатным обслуживанием валяется.
Представьте себе, он её выдал прямо на месте.
> " есть другая полноценная карта" -таких сбер еще не придумал.
У меня Visa Gold с бесплатным обслуживанием валяется.
http://www.sberbank.ru/ru/person/paymentsandremittances/remittance/in/beznal_rus/beznal_cc_rus
> про проценты при переводе на карту открытую в другом регионе слышали?
> Нет, не слышал. Можете предъявить пруф?
Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.
> Нет, не слышал. Можете предъявить пруф?
Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.
Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег ))
Меньше денег — нет. Удобство — да. Чтобы сделать удобно — надо выбить под это дело бюджет, а где бюджет — там премии, бонусы и прочие приятные менеджерскому сердцу вещи.
А выбивать бюджет (и премии потом) гораздо легче, когда у тебя есть аналитика, собранная с десятков тысяч человек.
Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег ))
Не-а.
Там, как и везде, сидят такие же лентяи, которые думают, как им бы работать поменьше, а результат получать получше.
Простой вопрос: как по-вашему, добавление счётчиков на сайт банку экономически выгодно или экономически невыгодно?
"Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?"
Нет. Не слышал. Могу снимать по 300.000 в сутки, в любом регионе России, без комиссии.
MasterCard Gold.
Круто, а я вот что — то не хочу, последний раз когда ходил в сбер, операторша на кассе забыла провести платеж (перевод между счетами), бумажку о переводе дала, а деньги не списала. Потом она меня нашла как то в вотзапе, звонит мне и говорит, типа я не могу закрыть смену, потому что у меня висит не проведенный платеж, давайте вы мне кинете денег на сберовскую карту, а я за вас уже у себя проведу платеж )
Интересно очень, чем это в итоге закончилось?) вы её послали или перевели деньги?) а может вы встретили и вы ей ещё и палку кинули?)
Вот честно, я бы не стал делать это через кассу, потому что вопрос стоимости моего времени. Пойти в Сбер, встать в очередь, затем к кассиру, затем обратно до точки отправления.
И да, ещё проверить работу кассира. По моим наблюдениям, количество их косяков — примерно 1:150, а это очень много.
В итоге я ее послал конечно, на следующий день сделал перевод в другом отделении. Я бы тоже не стал это делать через кассу, но к сожалению у сбербанка есть свои представления об удобстве. У меня просто кончилась кредитка, ее нужно было погасить, но как только она кончилась она исчезла из сбер — онлайна, и Усе ))) Приплыли, теперь денег на нее можно кинуть только через кассу.
<офтоп>Да, я ей кинул палку, а она как побежит за ней</офтоп>
<офтоп>Да, я ей кинул палку, а она как побежит за ней</офтоп>
Вынужденно держу 4 карты.
- Кредитная.
- Голдовая (для крупных оборотов, так как плачу программистам, юристам и иным подрядчикам) + она даёт небольшой приоритет мне как клиенту.
- Старая зарплатная (с прошлой работы). Держу на ней запасные деньги. На всякий случай.
- Карта другого региона. Обычно на ней 3-5 тыс. Использую её для интернет-платежей, ну и чтобы родителям периодически отправлять деньги, в другой регион, без комиссии.
Ежемесячно у меня по 30-100 платежей и 1-3 временные блокировки автоматизированным антифродом и проблема решается 3-4-х минутным звонком в Сбер.
В отделения хожу чисто ради терминалов и банкоматов, с сотрудниками их не общаюсь, поскольку об услугах и продуктах банка знаю лучше их самих.
вопрос стоимости моего времени— говорит человек, который сам ходил за карточкой в банк.
Который находится в 70 метрах от моего подъезда, рядом с продуктовым супермаркетом?
Ну да, есть такое дело, потратил 15 минут на заявку и 10 минут чтобы не забрать.
И в последующий год сэкономил около ₽70 тыс на комиссиях (столько заплатил бы комиссий Тинькову).
₽70 тыс за 25 минут… Считаю это очень хорошим заработком.
*10 минут, чтобы забрать.
Что за 70к? Даже если слать межбанком во всякие сберы и альфы, комиссий все равно не будет.
Когда надо было открыть расчетный счет ИП, тиньков облажался — аж 5 дней на заявку на сайте не отвечал. Точка прислала курьера с документами на следующий день. Сбер вообще не рассматривался — обслуживание дорогое, поддержки нет, ходить куда-то надо.
Когда надо было открыть расчетный счет ИП, тиньков облажался — аж 5 дней на заявку на сайте не отвечал. Точка прислала курьера с документами на следующий день. Сбер вообще не рассматривался — обслуживание дорогое, поддержки нет, ходить куда-то надо.
> А может кто-то из тех кто негативно относится к «слежке» сказать, что именно не нравится?
Дело в технических деталях. Любой скрипт — это возможность преобразовать всю страницу целиком, её внешний вид или поведение. Это идеальный способ MITM атаки. Это только на первый взгляд кажется, что скрипт добавляет одну кнопочку — веб технологии не имеют средств по ограничению функционирования скрипта одним элементом, он работает со всей страницей.
То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.
Может произойти какая-нибудь трагическая случайность, программистская ошибка или атака хакеров. Тут работает чисто закон больших чисел и теория вероятности. В общем и целом можно рассчитывать на правильное поведение сайтов.
Второе опасение — это намеренное вредительство. Здесь уже вопрос не в теории вероятности, а в теории игр. Можно сказать, что монетизация такой уязвимости может не перекрыть репутационных потерь и прочего геморроя. Но на надо заметить, что часть из этих третьих лиц находится по ту стороны границы, вне нашей юрисдикции и привлечь к ответу их невозможно. Так что и бояться им нечего.
Плюс нельзя забывать о том, что всё это большие компании, и в них может завестись крыса, которой плевать на репутацию компании, а хочется набить свой кошелёк. Такое регулярно, например, случается у нас в стране, отчего по ней гуляют разнообразные базы данных — банков, телефонных операторов, даже МВД. А ещё нельзя исключать целенаправленную атаку спецслужб недружественной нам страны.
Судя по откровения сноудена, викиликс и другим слитым документам (WannaCry тоже в NSA разработан) совести у них нет от слова совсем.
Дело в технических деталях. Любой скрипт — это возможность преобразовать всю страницу целиком, её внешний вид или поведение. Это идеальный способ MITM атаки. Это только на первый взгляд кажется, что скрипт добавляет одну кнопочку — веб технологии не имеют средств по ограничению функционирования скрипта одним элементом, он работает со всей страницей.
То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.
Может произойти какая-нибудь трагическая случайность, программистская ошибка или атака хакеров. Тут работает чисто закон больших чисел и теория вероятности. В общем и целом можно рассчитывать на правильное поведение сайтов.
Второе опасение — это намеренное вредительство. Здесь уже вопрос не в теории вероятности, а в теории игр. Можно сказать, что монетизация такой уязвимости может не перекрыть репутационных потерь и прочего геморроя. Но на надо заметить, что часть из этих третьих лиц находится по ту стороны границы, вне нашей юрисдикции и привлечь к ответу их невозможно. Так что и бояться им нечего.
Плюс нельзя забывать о том, что всё это большие компании, и в них может завестись крыса, которой плевать на репутацию компании, а хочется набить свой кошелёк. Такое регулярно, например, случается у нас в стране, отчего по ней гуляют разнообразные базы данных — банков, телефонных операторов, даже МВД. А ещё нельзя исключать целенаправленную атаку спецслужб недружественной нам страны.
Судя по откровения сноудена, викиликс и другим слитым документам (WannaCry тоже в NSA разработан) совести у них нет от слова совсем.
Откровение Сноудена и Евангелие от Ассанжа… Еще немного и можно регистрировать церковь параноиков.
То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.
Так а какие альтернативы? Писать банковские сайты на чистом HTML?
UFO just landed and posted this here
Смените банк. У моего отца закреплена з/п карточка в этом банке. Почти неделю отображался неверный баланс на счёте и только спустя полторы недели исправили проблему и то со словами «там не нажимайте».
Как мило, что Сбербанку в вопросах обработки секретных данных вы доверяете больше, чем Гуглу и Яндексу.
А у гугла или Яндекса лежат все ваши деньги да?
Ну, если Яндекс-деньги… Хотя постойте, это тоже Сбербанк.
А почему они тогда карту Тинькоффа выдают?
Кто выдаёт карту Тинькоффа? Втб24???
Я.Д уже года полтора выдают свои карты. Даже больше — летом 2016 уведомили что все Тинькоффовские карты Я.Д. прекратят свою работу через пару месяцев вне зависимости от даты на карте и надо перевыпустить карту по льготной цене (10 рублей или даже 1 рубль, не помню).
У гугла и яндекса намного больше моих денег, чем у Сбербанка (потому что конкретно в Сбербанке моих денег что-то около нуля). А лежащую у гугла мою личную информацию и архив почты я бы оценил дороже, чем мои депозиты во всех банках и стоимость всех принадлежащих мне акций.
Тут маленький нюанс, что Google и Яндекс к тайне банковских вкладов вообще никак не относятся. Помните, как все смс Мегафона в Яндексе всплыли? Вот и тут такая же история может получиться. Возможно, что и с худшими последствиями, поскольку завязана на деньги и более точные данные.
Тут маленький нюанс, что Google и Яндекс к тайне банковских вкладов вообще никак не относятся.
А что, Сбербанк к ней относится? И вообще, что, «тайна банковских вкладов» есть в России?
Помните, как все смс Мегафона в Яндексе всплыли?
Любопытен факт, что это была проблема Мегафона и при этом достижение Яндекса («все яндексовые механизмы работали отлично»).
Вот и тут такая же история может получиться.
А может не получиться. FUD-ом балуетесь?
Глянул в Приват24 (Украина) — лежат 2 (две) гугл аналитики.
[Паранойя мод он]
А различным адблокам вы доверяете? Этим маленьким и гордым компаниям. А ведь эти расширения имеют гораздо больший доступ к данным на всех вкладках вашего браузера, и они об этом пишут, но мамой клянутся что не собирают их и не хронят. Пока что… :)
[/Паранойя мод офф]
Ну вот, а потом тех, у кого скрипты в браузере по умолчанию выключены, например, меня, называют параноиками.
Я бы ещё накатал заяву, что онлайн-банк не работает с отключенными скриптами. Точнее, не так: он прекрасно работает, но из функциональных элементов зачем-то убрали href, оставив только переход на другие страницы по onclick.
Я бы ещё накатал заяву, что онлайн-банк не работает с отключенными скриптами. Точнее, не так: он прекрасно работает, но из функциональных элементов зачем-то убрали href, оставив только переход на другие страницы по onclick.
блин. а я то думал, что хотя-бы у них все серьезно(
В метрике, например, есть визор, который записывает все движения мыши и изменения на экране
Честно говоря, это какая то жесть, со стороны сбера. Подключать сторонние скрипты на своем домене. И подмена кода скриптов посередине тут совсем не причем. Сбер может поручиться за всех сотрудников всех тех компаний, чьи скрипты он подключает, что они не имеют возможности временно или постоянно поменять код подключаемых скриптов для каких то своих целей? По моему абсолютно любые скрипты сбер должен грузить только с серверов принадлежащих ему. Куда смотрят безопастники сбера, хз.
UFO just landed and posted this here
так ведь ещё и flash висит
Не забывайте у Сбера рекордная прибыль и рекордные дивиденды.И это на фоне приличного кризиса в стране.
http://www.rbc.ru/newspaper/2017/05/29/59286d7e9a79471ccc5f92a4
http://www.rbc.ru/newspaper/2017/05/29/59286d7e9a79471ccc5f92a4
Давеча писал в три разных компании — в местный расчетный центр для ЖКУ, в сбер и куда-то еще по поводу наличия метрики и прочей лабудени в личных кабинетах. РРЦ ответили что действительно, статистика иначально предполагалась только на основном сайте, в ЛК ее быть не должно, и с некоторой задержкой выпилили. Сбер и еще один сервис написали красивую отписку по аналогии вашей…
А между тем я постоянно разрываюсь между удобством мобильного приложения вообще и идиотизмом сберовского приложения(привет, говноантивирус) в частности.
А между тем я постоянно разрываюсь между удобством мобильного приложения вообще и идиотизмом сберовского приложения(привет, говноантивирус) в частности.
Жесть. Как жить без адблоков и скрипторезалок?
… Сначала я начал пользоваться ghostery и просто банерорезками, но когда я себе поставмил uMatrix и посмотрел где эти метрики есть… в общем, начал осознавать, что либо у нас в некоторых структурах работают совершенно некомпетентные люди, причем, на управляющих должностях, либо они, мягко говоря плохие люди. Именно поэтому я теперь в интернеты хожу только с фильтрами загружаемых ресурсов, назовем их так. А любимым сбером онлайн пользуюсь на чистом от контактов и прочей лишней для банка информацией, по моему мнению, девайсе. Да, это несколько стесняет, зато это и более надежно.
Кстати, обратите внимание, что на страницах, где Вы вводите карточные данные зачастую та же самая метрика есть, причем, почти везде.
Кстати, обратите внимание, что на страницах, где Вы вводите карточные данные зачастую та же самая метрика есть, причем, почти везде.
Карта привязана к мобильнику.
Решил посмотреть баланс карты через номер 900.
Но вместо БАЛАНС набрал цифру 900, хз почему затупил, отправил.
Сбер прислал: введите номер хххх для подтверждения оплаты услуг сотовой связи с карты.
Снова отправил БАЛАНС
Пришел баланс.
Отправил 300, чтобы на мобильнике пополнить баланс.
И вот тут САМОЕ интересное:
деньги улетели на мобильник БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!
Это КАК ТАК?
Решил посмотреть баланс карты через номер 900.
Но вместо БАЛАНС набрал цифру 900, хз почему затупил, отправил.
Сбер прислал: введите номер хххх для подтверждения оплаты услуг сотовой связи с карты.
Снова отправил БАЛАНС
Пришел баланс.
Отправил 300, чтобы на мобильнике пополнить баланс.
И вот тут САМОЕ интересное:
деньги улетели на мобильник БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!
Это КАК ТАК?
Это КАК ТАК?Вроде бы главный привязанный телефон пополняют по упрощенной схеме. В других банках точно такая фишка есть, за сбербанк не скажу, но предполагаю…
У сбера до какой-то суммы свой номер можно пополнять «БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!»
Вы привели пример идеально сработавшей системы подтверждения — когда ввели что-то не то, банк запросил подтверждение; когда ввели что хотели — банк выполнил без лишних вопросов.
Это всегда ТАК, когда инструкции к товару (услуге) не читаются.
Есть более крутые методы ограничения подобного. RequestPolicy или umatrix. Там можно явно сказать куда конкретному сайту надо ходить, а куда точно нет.
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, …либо я админ компьютера или домена.
Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, …
Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка
Не переживайте, мы как-нибудь обойдемся без ссылки на пост в комментариях к этому самому посту.
Да писал, как отдельный пост, а в коммент вставляя не поправил. Со всяким случается :-)
Вижу с вашего аккаунта пост в песочницу, опубликовать его?
Пока не надо, спасибо. Я его всё равно уже сюда в коммент закину. Что-нибудь более развёрнутое напишу.
Я бы рекомендовал воздержаться от подобных выпадов (фигово получается):
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер.
В пользу чего-нибуть такого:
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер.
В пользу чего-нибуть такого:
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
> Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
Вы ведь понимаете, что гуглу пофиг все ваши соглашения, он в другой юрисдикции. Если местный суд или спецслужбы скажут, что надо отдать информацию, он отдаст. А штаты очень любят обвинять россиян по надуманным поводам.
И вообще, зачем вам увеличивать поверхность атаки? Неужели нельзя было самим продублировать функциональность скриптов.
Вы ведь уже не новички, которые сайт про котиков делают. Для них уровень безопасности «я никому не интересен» достаточен. Но не для банка, который с деньгами работает.
Вы ведь понимаете, что гуглу пофиг все ваши соглашения, он в другой юрисдикции. Если местный суд или спецслужбы скажут, что надо отдать информацию, он отдаст. А штаты очень любят обвинять россиян по надуманным поводам.
И вообще, зачем вам увеличивать поверхность атаки? Неужели нельзя было самим продублировать функциональность скриптов.
Вы ведь уже не новички, которые сайт про котиков делают. Для них уровень безопасности «я никому не интересен» достаточен. Но не для банка, который с деньгами работает.
Раз пошла такая пьянка, подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства;
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства;
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
а Фамилия, Имя, Отчество есть у эксперта?
Не специалист, но разве нет бесконечно малой вероятности, что сам гугл может оказаться зловредом и подменить скрипт? Как бы вы ни мониторили скрипты, мгновенно вы не отреагируете, а значит возможна утечка части данных. Очевидно, что избавиться от этого довольно легко — достаточно загружать скрипты со своих серверов.
Не специалист, но разве нет бесконечно малой вероятности, что сам гугл может оказаться зловредом и подменить скрипт?
Тоже не специалист, но как понял — статья именно об этом.
))) все передаваемые данные до байта проверяются. Если вдруг скрипт изменится — он моментально вылетит.
А вы можете вместо скобочек кратко написать, каким образом это происходит? Сэкономьте людям время, пожалуйста. Проверка идёт через клиент, раз сам скрипт грузится со стороннего сервера. Пока с ваших слов получается, что вы загружаете копию скрипта и делаете побайтовое сравнение. Как вы понимаете, это довольно абсурдно звучит.
Бекенд СБОЛ при сборке страницы и перед отправкой ее клиенту запросто может запускать проверку подключенных скриптов, а точнее — проверять некий параметр конфигурации, куда с некоей частотой записывается результат проверки скриптов. В итоге клиенту будет отдана страница либо с той частью html-кода, где данные скрипты подключаются, либо нет. В чем проблема-то?
Может, не спорю. Но в вашем подходе всё равно что-то вроде состояния гонки есть.
Ради использования такого подхода стоит задаться тремя вопросами:
1. Нужен ли функционал, который предоставляют подключенные скрипты, в СБОЛ?
2. Что дешевле, разрабатывать решения, предоставляющие этот функционал, или же всего лишь проводить аудит этих решений и разработать модуль, контролирующий поведение бекенда в зависимости от результатов аудита?
3. Удовлетворит ли секьюрность решения с аудитом внутренним требованиям безопасности разработчика и требованиям законов?
Ответы, на мой взгляд, очевидны.
1. Нужен ли функционал, который предоставляют подключенные скрипты, в СБОЛ?
2. Что дешевле, разрабатывать решения, предоставляющие этот функционал, или же всего лишь проводить аудит этих решений и разработать модуль, контролирующий поведение бекенда в зависимости от результатов аудита?
3. Удовлетворит ли секьюрность решения с аудитом внутренним требованиям безопасности разработчика и требованиям законов?
Ответы, на мой взгляд, очевидны.
Извините, анонимный Эксперт службы Кибербезопасности, но меня лично Вы совершенно зря задели… После того как Вы начали писать в комментариях ересь, можно было бы вообще проигнорировать это исчадие беллетристики, но многие читающие стали неправильно истолковывать мое молчание.
Буду последователен.
Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.
Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).
Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.
В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?
Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?
Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.
Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.
Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.
Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?
Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…
Буду последователен.
Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.
Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).
Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.
В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?
Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?
Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.
Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.
Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.
Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?
Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…
Вообще слова сбербанка более убедительны. «ничего не менял» и «поменял сертификат» это две разные вещи. Если атакующий имеет доступ к клиентскому устройству то совершенно ничего что происходит на этом устройстве уже не защищено. Ставь кейлоггеры, заменяй браузеры и страницы со скриптами целиком — защиты уже нет. Понятно, что гугл может изменить скрипт для создания бэкдора, но это крайне маловероятно.
Зачем вы намеренно вводите людей в заблуждение, демонстрируя подобные видео без каких-либо пояснений того, что было сделано для осуществления подмены скриптов? Совершенно очевидно, что вы для этого добавили свой собственный центр сертификации в браузер или ОС, для чего нужен доступ к машине от имени администратора. Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.
Нельзя же пользоваться неосведомленностью людей. Вы разом занижаете планку уважения к себе.
Нельзя же пользоваться неосведомленностью людей. Вы разом занижаете планку уважения к себе.
> Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.
Этот скрипт может подменить любой сотрудник Гугла или Яндекса, имеющий доступ к админке соответствующего их сервиса.
Что совершенно не вяжется с даже минимальными требованиями безопасности — доступ к таким вещам должен быть строжайше ограничен, и уж точно ни в коем случае не должен свободно предоставляться сторонним организациям!
Этот скрипт может подменить любой сотрудник Гугла или Яндекса, имеющий доступ к админке соответствующего их сервиса.
Что совершенно не вяжется с даже минимальными требованиями безопасности — доступ к таким вещам должен быть строжайше ограничен, и уж точно ни в коем случае не должен свободно предоставляться сторонним организациям!
Выпустить X.509-сертификат на sberbank.ru тоже может владелец любого удостоверяющего центра. Более того, это неоднократно случалось, в отличие от подмены метрик Яндекс и doubleclick.
Я ни в коем случае на защищаю наличие метрик на сайте Сбербанка и не только, но это не повод для ввода людей, не разбирающихся в информационной безопасности, в заблуждение подобными видео без пояснений.
Я ни в коем случае на защищаю наличие метрик на сайте Сбербанка и не только, но это не повод для ввода людей, не разбирающихся в информационной безопасности, в заблуждение подобными видео без пояснений.
Могу ошибаться, но ведь браузеру вроде бы должно быть достаточно один-единственный раз получить public key из подлинного источника, после чего поддельные удостоверяющие центры уже не страшны?
Скрипты же заново качаются при каждом заходе…
Скрипты же заново качаются при каждом заходе…
один-единственный раз получить public key из подлинного источника
При первом заходе — только если правильно настроен Public Key Pinning (HPKP), а он не настроен (лишь sberbank.ru отдает некий "equifax_sha256" от Equifax Secure CA, у поддоменов HPKP нет)
Даже до первого захода будет защита если есть HSTS Preloading (https://hstspreload.org/) и preload HPKP / static Public Key Pinning (который есть лишь для крупнейших сайтов — https://security.stackexchange.com/questions/143500/are-there-any-mechanisms-to-preload-http-public-key-pinning "big vendors currently restrict the preloaded public key pins to their own properties and some high profile sites (Google, Facebook, Twitter, etc.)").
Еще включенный на домене обычный HSTS не даст пользователю нажатием кнопки проигнорировать сертификат, не подписанный доверенным корневым центром.
От подмены скриптов мог бы защитить атрибут integrity тега script (если ссылка идет на конкретную версию скрипта) — https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity (Chrome 45+, Firefox 43+); https://frederik-braun.com/using-subresource-integrity.html (A CDN that can not XSS you: Using Subresource Integrity, 2015)
Настройки HSTS/HPKP по доменам:
https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) Incomplete No pins matched pin-sha256="/1aAzXOlcD2gSBegdf1GJQanNQbEuBoVg+9UlHjSZHY="; max-age=1512000
https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=node2.online.sberbank.ru&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=stat.online.sberbank.ru&latest
RC4 Yes INSECURE
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
https://www.ssllabs.com/ssltest/analyze.html?d=scr.online.sberbank.ru&s=77.244.212.55&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
https://www.ssllabs.com/ssltest/analyze.html?d=mc.yandex.ru&s=93.158.134.119&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=tag.rutarget.ru
POODLE (SSLv3) Vulnerable INSECURE
RC4 Yes INSECURE
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=google-analytics.com&s=216.58.194.196&latest
Strict Transport Security (HSTS) Yes
HSTS Preloading Chrome Edge Firefox IE
Public Key Pinning (Static) Yes includeSubDomains: true pin-sha256: 7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y= pin-sha256: h6801m+z8v3zbgkRHpq6L29Esgfzhj89C1SyUCOQmqU=
https://www.ssllabs.com/ssltest/analyze.html?d=mc.webvisor.org
RC4 Yes
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
Скрипты же заново качаются при каждом заходе…
Скрипты могут кэшироваться (в теории)
Для улучшения качества услуг можно просто устроить опрос пользователей, а не «втихушку» собирать данные.
Сам факт наличия метрики третьей стороны (именно третьей стороны) на странице уже сам по себе возмутителен. И неважно какие соглашения о конфиденциальности существуют в ПС.
Использование сторонних метрик, кроме прочего — для меня как признак «дешевизны» сервиса.
Хотите делать правильно — разработайте собственную метрику. Или в сбере денег пожалели?
Сам факт наличия метрики третьей стороны (именно третьей стороны) на странице уже сам по себе возмутителен. И неважно какие соглашения о конфиденциальности существуют в ПС.
Использование сторонних метрик, кроме прочего — для меня как признак «дешевизны» сервиса.
Хотите делать правильно — разработайте собственную метрику. Или в сбере денег пожалели?
" Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка"
не знаю что там с контролем, но пароль к ЛК можно получить, имея на руках украденный телефон и просто номер карты..., И отключить эту фичу нельзя, мне отказали по крайней мере.
причем телефон может быть заблокирован, пароль приходит в первой-второй строке и высвечивается на экране, если включены предпросмотры СМС.
не знаю что там с контролем, но пароль к ЛК можно получить, имея на руках украденный телефон и просто номер карты..., И отключить эту фичу нельзя, мне отказали по крайней мере.
причем телефон может быть заблокирован, пароль приходит в первой-второй строке и высвечивается на экране, если включены предпросмотры СМС.
Ужас какой, я еще в сентябре 2015 отправлял в Сбербанк бумажное обращение на эту тему, за 1.5 года так и не пофиксили.
Сделал репост вашей записи на FB, ответ пришел тут же, аналогичный.
Гениальная реакция…
Здравствуйте, Максим!
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами. Собранные данные доступны исключительно Сбербанку.
Гениальная реакция…
Недавно обнаружил очередной косяк в Сберонлайн. Началось все с того, что перестали приходить оповещения об операция на емейл. Пошел смотреть настройки оповещений — все ок. Пошел в личные данные — нету емейла. И добавить его не получается: после добавления все выглядит хорошо и даже приходит письмо на указанный адрес, но после выхода из лк емейл «забывается». Однако, сюрприз-сюрприз, настройки оповещения так и остаются настроенными на емейл.
Таким образом, человек перестает получать какие-либо уведомления об операциях, потому что настроена отправка на емейл, но адреса — нет.
Написал в поддержку, сначала они сказали, что, цитирую: «На данный момент, функционал изменения персональных данных в Сбербанк Онлайн полностью не реализован. Для корректного отражения информации и указания актуального адреса электронной почты, необходимо обратиться в любой офис банка и подать письменное заявление.» Нормально так. То, что раньше можно было указать емейл безо всяких визитов в офис, они, видимо, забыли.
После того как я поинтересовался о том, куда же делся ранее указанный адрес, сказали, что ответят в течение 6 дней. Жду ответа с нетерпением.
Короче, если у кого-то настроено оповещение на емейл — самое время проверить, что с ним все в порядке.
Таким образом, человек перестает получать какие-либо уведомления об операциях, потому что настроена отправка на емейл, но адреса — нет.
Написал в поддержку, сначала они сказали, что, цитирую: «На данный момент, функционал изменения персональных данных в Сбербанк Онлайн полностью не реализован. Для корректного отражения информации и указания актуального адреса электронной почты, необходимо обратиться в любой офис банка и подать письменное заявление.» Нормально так. То, что раньше можно было указать емейл безо всяких визитов в офис, они, видимо, забыли.
После того как я поинтересовался о том, куда же делся ранее указанный адрес, сказали, что ответят в течение 6 дней. Жду ответа с нетерпением.
Короче, если у кого-то настроено оповещение на емейл — самое время проверить, что с ним все в порядке.
Банк гонится за прибылью и готов пойти на все.
хотел по существу что то прочитать, один мусор и нытье про свои болячки, кому и как удобно/неудобно ходить к банкомату.
У бинбанка тоже самое, написал им, жду реакции.
Привет, Олег!
Ваши доводы, на мой вкус, выглядят убедительно. Ссылку на Вашу статью разослал коллегам. У меня у самого есть весомые личные причины для недоверия Сбербанку. Сердечно благодарю Вас за то, что не поленились опубликовать эти сведения о фактах.
Олег, скажите, пожалуйста, планируете ли Вы донести эту инфу до правоохранительных органов? Ибо, если Вы правы, работники СБ совершили преступление. По меньшей мере, статья 137 «Нарушение неприкосновенности частной жизни».
--
Ваши доводы, на мой вкус, выглядят убедительно. Ссылку на Вашу статью разослал коллегам. У меня у самого есть весомые личные причины для недоверия Сбербанку. Сердечно благодарю Вас за то, что не поленились опубликовать эти сведения о фактах.
Олег, скажите, пожалуйста, планируете ли Вы донести эту инфу до правоохранительных органов? Ибо, если Вы правы, работники СБ совершили преступление. По меньшей мере, статья 137 «Нарушение неприкосновенности частной жизни».
--
Не волнуйтесь, подписав любой договор с большинством крупных банков вы подписали и допник, который прикрывает банк со всех сторон.
Николай, насытьте этот свой довод конкретикой, пожалуйста: законодательство, условия договоров и судпрактика.
Мне не пришлось пользоваться десятком банков, но вот в нескольких крупных в пакет документов входит согласие на обработку, причём там немало пунктов.
При оформлении заявки на ипотеку, есть ещё и доп. пункты про родственников, семейное положение и т.п.(из личного опыта, можно отказаться но перспективы получить кредит после этого туманны).
Из личного опыта, ещё была такая бумажка у работодателя, по которой пришлось очень со многим согласиться, в том числе и в интересах банка представлявшего зарплатный проект.
Понятно что что-то из этого вполне может быть злоупотреблением права, что-то можно отменить через суд, чем-то не будут пользоваться, но юристы на всякий случай включают в такие бумаги всё что только можно туда вписать, причина думаю понятна.
Сейчас погуглил, полно свободных решений по аналитике. Странно, что все крупные компании доверяют яндексу и гуглу.
из пальца высосанная чушь! такие скрипты есть у всех банков и они сами больше всего заинтересованы в безопасности, т.к. несут ответственность за бабосики и в случае чего будут возвращать
Kaspersky Internet Security с безопасными платежами поможет?
Печально видеть столько людей, озабоченных посягательством сберабанка на информацию об их переходах по страницам браузера. Почта, к примеру, не примет от Вас заявление, если Вы не укажете паспортные данные. На мой, субъективный взгляд это гораздо опаснее. По неподтвержденным данным, коллекторские (возможно и не только) конторы имеют доступ к данным Пенсионного фонда и налоговой, где полностью расписаны официальные выплаты еще с 90х. Ну и наверное ни для кого не секрет, что тайну переписки по SMS у нас не гарантирует ни один сотовый оператор. По поводу удобно/не удобно, хорошо/плохо: банков в РФ еще много и есть выбор.
баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков.
Вот даже интересно, что за глюки такие, можно пример? Пользуюсь блокировщиками сколько себя помню, раньше adblock, сейчас ublock, никогда никаких глюков не замечал.
Я уже нахватал минусов выше, хотя не заставляю никого отказываться от резаков, а в данном случае еще и предлагаю их использовать.
Поскольку подавляющее большинство резаков выкидывают скрипты по шаблону названий, иногда по ошибке выкидывается что-то нужное. Сам лично на что налетал — невозможность создания событий в гугл-календаре, проблемы с навигацией в каком-то инет-магазине. После чего отключил, когда правил код своего форума в веб-интерфейсе и в итоге, при сохранении кода, получил вместо нового варианта удаление старого…
Поскольку подавляющее большинство резаков выкидывают скрипты по шаблону названий, иногда по ошибке выкидывается что-то нужное. Сам лично на что налетал — невозможность создания событий в гугл-календаре, проблемы с навигацией в каком-то инет-магазине. После чего отключил, когда правил код своего форума в веб-интерфейсе и в итоге, при сохранении кода, получил вместо нового варианта удаление старого…
olegon-ru, а чем обоснован выбор гиктаймс в качестве ресурса для публикации, а не хабра? В аудитории среди которой можно запустить хайп?
fryday, я хайпа вообще не ожидал, если честно. На хабре у меня учетки нет, как не было и здесь. Началось все вообще с моего форума (ссылка на который есть в статье), значительно раньше. Просто на форуме посоветовали написать, я и сделал это. Такого ажиотажа, если честно, не ожидал.
На Хабре такого бы не было, вам бы там сразу популярно объяснили почему это будет работать, а если предоставится возможность для реализации данной атаки, то такой способ это overkill ;)
Вся тяжесть текущей ситуации в том, что я и так знаю, почему это будет работать. Но меня обвиняют в умении пользоваться видеоредакторами, хотя видеоредакторы — это, на самом деле, та область, в которой я мало что понимаю и даже ман по ffmpeg до конца не дочитал еще.
Я к сожалению опечатался, и там должно было быть не работать. Точнее не работать, как реалистичный вектора атаки. Если у меня есть возможность реализовать MITM, мне абсолютно без разницы, какие скрипты там подключаются.
ман по ffmpeg до конца не дочитал ещеОткройте man ffmpeg-all и ужаснитесь!
Объясните, почему это будет работать, пожалуйста. Каким образом мне провести атаку, если я не Яндекс.Метрика и не doubleclick, без доступа к компьютеру пользователя с правами администратора, чтобы импортировать ему свой CA в ключницу?
Просто надо уметь банерорезки настраивать на глючащих сайтах, вносить в исключения ненужные сайты и будет счастье. Всю жизнь ими пользуюсь, глюки на сайтах крайне редки, за последние пол года ни одного не припомню. В основном приходится вносить исключения для скрипта или банить сам скрипт проверки на установленный блокировщик.
если так всего бояться — откуда у вас уверенность, что та самая баннерорезка не подселит тот самый скрипт-кейлоггер в один прекрасный день незаметно для вас. если так смотреть — это более вероятно, чем описанные варианты с кражей домена у гугла, и огласка намного меньше будет.
к тому же, в наше время, если бы вы знали кухню регистраторов и защитников тоаврных знаков — домен слямзить у гугла уже будет нереально — затаскают и обложат так, что мало не покажется. к тому же, в описанном случае роскомнадор скорее всего сработает моментально
к тому же, в наше время, если бы вы знали кухню регистраторов и защитников тоаврных знаков — домен слямзить у гугла уже будет нереально — затаскают и обложат так, что мало не покажется. к тому же, в описанном случае роскомнадор скорее всего сработает моментально
Напомню, что совсем недавно домен гугла забыли продлить, хорошо, что его перехватил бывший сотрудник гугла, а не кто-то еще. Проблема еще в том, что домен воровать совершенно необязательно. Можно его перенаправить в локальных масштабах.
Про баннерорезку могу так же напомнить, что существуют баннерорезки с открытым кодом. Но и это уход в сторону от сути вопроса и правильного пути его разрешения: убрать сторонние скрипты из личного кабинета.
Про баннерорезку могу так же напомнить, что существуют баннерорезки с открытым кодом. Но и это уход в сторону от сути вопроса и правильного пути его разрешения: убрать сторонние скрипты из личного кабинета.
Новость на Рамблере: «Как отметил эксперт Олег Калабухин, в систему „Сбербанка Онлайн“ внедрены сторонние приложения и счетчики, которые имеют доступ к личной информации клиентов».
https://news.rambler.ru/business/37020698-v-sberbanke-onlayn-naydena-uyazvimost/
https://news.rambler.ru/business/37020698-v-sberbanke-onlayn-naydena-uyazvimost/
Давайте напишем Герману Оскаровичу письмо, пусть своим специалистам по голове настучит.
UFO just landed and posted this here
зато у них 9к разрабов в сбертехе
Та же проблема и с другими Банками может быть.
Сейчас проверил Тинькова, там скрипты аналитики Гугла грузятся со своего поддомена static.tinkoff.ru, походу есть такая возможность. На первый взгляд там не нашел ничего со сторонних доменов.
Но, если я правильно понял суть проблемы, то не обязательно подменять скрипты и домены локально, из полей ввода можно данные тырить и плагинами к браузеру и еще чем-нибудь.
Тут вопрос только слива персональных данных не задумываясь сторонним организациям.
Сейчас проверил Тинькова, там скрипты аналитики Гугла грузятся со своего поддомена static.tinkoff.ru, походу есть такая возможность. На первый взгляд там не нашел ничего со сторонних доменов.
Но, если я правильно понял суть проблемы, то не обязательно подменять скрипты и домены локально, из полей ввода можно данные тырить и плагинами к браузеру и еще чем-нибудь.
Тут вопрос только слива персональных данных не задумываясь сторонним организациям.
Думаю что тут все же больше вопросов о том, что мы надеемся на безопасное приложение по последним стандартам безопасности, а по факту это сборная солянка продуктов сторонних организаций, которые возможно! не так тщательно относятся к данным пользователям.
Ну если более научно: Надежность системы это произведение надежности всех компонент
Ну если более научно: Надежность системы это произведение надежности всех компонент
еще живы в памяти истории
А если запретить всё, кроме выхода на IP сбера и т.п.?
Много интересного написали, но я не могу понять, как можно в продукте который должен быть безопасным использовать не верифицированные внешние решения?
Да конечно, вероятность атаки с этой стороны не велика, но она не равна нулю, а значит должна быть нивелированна.
Да конечно, вероятность атаки с этой стороны не велика, но она не равна нулю, а значит должна быть нивелированна.
Согласен, вероятность не велика, потому о ней скорее и не думали.
Если помните, как-то были популярны трояны, подменявшие в hosts ip ВК и пересылающие на страницу обманку для кражи пароля. Тут же достаточно подменить сторонний скрипт и пользователь может не заметить, в отличие от подмены полного сайта.
Если помните, как-то были популярны трояны, подменявшие в hosts ip ВК и пересылающие на страницу обманку для кражи пароля. Тут же достаточно подменить сторонний скрипт и пользователь может не заметить, в отличие от подмены полного сайта.
Новости подхватили статью Олега Кулабухова olegon-ru
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
А вот в корпоративном разделе сбера https://sbi.sberbank.ru:9443/ic/dcb скрипты гугла грузятся со сбера, а не гугла. Странно...
UFO just landed and posted this here
Интересно, а для чего делается вот это?
Просто открыл главную страницу.
Просто открыл главную страницу.
https://roem.ru/02-06-2017/251478/q-for-sber/
А вы про потенциальную возможность слива данных рассуждаете.
А вы про потенциальную возможность слива данных рассуждаете.
Сбербанк на конференциях, абсолютно не стесняясь, рекламирует себя как обработчика BigData, а "Data" у них ну прям очень "Big". В этой ситуации меня удивляет не сам факт слива статистических данных, а тот факт, что они позволяют зарабатывать на ней сторонним конторам вроде гугла.
Что это мы, в самом деле. Рассказываем про ошибки и потенциальные уязвимости, и как всё может пойти не так. А у сбербанка и намерения не было хранить тайны своих клиентов.
НЛПшный текст прям какой-то. :) Хайпо-заточенный.
«не удалось связаться»
«исправить утечку данных»
«Обнаружил я эту гадость»
«часть зловредов»
«Я даже не обиделся, просто записал видео.»
Короче, нет времени объяснять — плюсуй статью!
Как-то так. :)
«не удалось связаться»
«исправить утечку данных»
«Обнаружил я эту гадость»
«часть зловредов»
«Я даже не обиделся, просто записал видео.»
Короче, нет времени объяснять — плюсуй статью!
Как-то так. :)
На почту приходят письма с адреса «Спасибо от Сбера» все в реферальных ссылках clientrix.cplsb.ru от компании RapidSoft. Кто-нибудь пробовал отписываться, также продолжают приходить письма?
Я что-то последнее время на тему тотального наблюдения тоже приморочился.
Поставил firewall (древний Аутпост агнитумовский) и в нем решил тупо заблокировать всяческие даблклики и гугланалитики.
А про сбербанк… ну а что тут скажешь. Я уже перестал пытаться что-то сделать с бесконечно приходящими смс-ками с паролем для андроид приложения (которого у меня нет).
Поставил firewall (древний Аутпост агнитумовский) и в нем решил тупо заблокировать всяческие даблклики и гугланалитики.
А про сбербанк… ну а что тут скажешь. Я уже перестал пытаться что-то сделать с бесконечно приходящими смс-ками с паролем для андроид приложения (которого у меня нет).
Кстати, а кто хозяин Сбербанка?
https://www.youtube.com/oembed?url=http%3A//youtube.com/watch%3Fv%3DGc-b-Fn35YE&format=json
Сбербанку мало данных смертных — нужно ещё больше, попутно подзаработав и на торговцах: https://news.rambler.ru/business/37147373-sberbank-predlozhil-predostavit-bankam-vozmozhnost-okazyvat-uslugi-virtualnyh-kass/
Я прям заинтригован кто же первый получит на эту "деятельность" лицензию и останется фактическим монополистом пока через пару лет кто нибудь не поднимет шумиху и не вынудит ФАС разбираться...
Как Сбербанк Онлайн сливает данные пользователей