Comments 34
Специалист СМП-банка Павел Головлёв рассказал «Известиям», что они в качестве идентификатора используют IP-адрес:
— Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса. Банк, конечно, будет учитывать идентификаторы, так как без этого невозможно реализовать блокировку по этому признаку.
Он вообще понимает о чем говорит? Даже если опустить то, что в мобильной сети ip динамический, то как связана потеря устройства с потерей ip?
Может журналисты переврали? Ну не верится, что специалист крупного банка настолько глуп.
Я один раз пришёл в офис одного упомянутого в топике банка. Они там РЕАЛЬНО такие.
Может вырвано из контекста. Например, он говорил о юридических лицах, к физлицам эту «технологию» не применяют.
Скорее всего вся эта статья о том, что банки теперь обязаны реализовать у себя галочку «я буду заходить только с этого IP», но включать или не включать — остаётся на усмотрение клиента:
Многие банки и так имеют такую функцию, в чём проблема-то?
Оператор… на основании заявления клиента… устанавливает
Многие банки и так имеют такую функцию, в чём проблема-то?
Хочется надеяться. Поскольку он " Начальник управления безопасности информационных технологий". С другой стороны, куда без политики: СМП-банк — Ротенберга. А спортсмены, да еще и друзья сами-знаете-кого-нельзя-спрашивать-о-состоянии-здоровья — люди довольно своеобразные.
В том числе — и в подборе персонала.
В том числе — и в подборе персонала.
Однажды мне не удалось сделать оплату переводом в иностранный интернет-магазин, потому что «Адрес — это дом и улица, адрес не может быть someonlineshop.net!», причём это были официальные реквизиты магазина. В соседнем отделении девочка помоложе спокойно провела платёж. Эти люди как будто не с этой эпохи вообще.
Очень даже верится. Сидит чей-нить родственник на месте начальника, ничерта вообще не понимает и есть какой-нить зам, работающий за копейки, который и делает за него всю работу. Но с журналистами общаться никогда ему никто и не даст.
IPv6?
Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление.
Привет ADSLщикам, 3Gшникам и заNATовцам.
Это бред сивой кобылы, что не делает ЦБ в плане повышения безопасности ради безопасности, выходит просто адова жесть через жопу.
С ДБО работаю в Банках уже 13 лет… ни одного нормального закона или рекомендации от ЦБ я не встречал.
С ДБО работаю в Банках уже 13 лет… ни одного нормального закона или рекомендации от ЦБ я не встречал.
Возможно я окажусь не прав, но посыл этого бредового мероприятия, по моему мнению, таков.
Сейчас среднестатистический гражданин, сидя в халате и тапках за домашним компом, или находясь где-то в дороге с ноута/планшета/смарта может в пару кликов перемещать свои финансы так, как ему угодно. С появлением интернет-банкинга эта задача решается чрезвычайно быстро и гибко, быстро, без очередей в банковское окошко и банкомат.
Задача данного «проекта» — ограничить население в возможности свободного перемещения собственных средств.
Ограничивать, конечно, это функция и неотъемлемое право любой власти. Вопрос лишь в том, как она это право реализует…
Сейчас среднестатистический гражданин, сидя в халате и тапках за домашним компом, или находясь где-то в дороге с ноута/планшета/смарта может в пару кликов перемещать свои финансы так, как ему угодно. С появлением интернет-банкинга эта задача решается чрезвычайно быстро и гибко, быстро, без очередей в банковское окошко и банкомат.
Задача данного «проекта» — ограничить население в возможности свободного перемещения собственных средств.
Ограничивать, конечно, это функция и неотъемлемое право любой власти. Вопрос лишь в том, как она это право реализует…
Мне кажется Вы немного невнимательны:
Т.е. все это реализуется лишь по Вашему заявлению, т.е. без Вашего на то желания никто ограничивать не будет.
Да и вообще, какой тол особо ограничивать перемещение средств? если сильно ограничивать народ просто забудет о банках и будет наличку голубями пересылать. А интернет-банкинг как раз удобнее им — сразу все видно, кто куда и сколько перевел.
Оператор по переводу денежных средств на основании заявления клиента...
Т.е. все это реализуется лишь по Вашему заявлению, т.е. без Вашего на то желания никто ограничивать не будет.
Да и вообще, какой тол особо ограничивать перемещение средств? если сильно ограничивать народ просто забудет о банках и будет наличку голубями пересылать. А интернет-банкинг как раз удобнее им — сразу все видно, кто куда и сколько перевел.
Регистрируйте:
22: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1450 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 100
link/none
22: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1450 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 100
link/none
Можете объяснить непосвященному — что это такое, и почему человека заминусили?
Картинка с Медведевым, пьющим чай и надписью «Это Хабр ГТ, расслабься»
P.S. но присоединяюсь к вопросу, мне тоже интересно!
P.S. но присоединяюсь к вопросу, мне тоже интересно!
Некий конфиг некого VPN.
Заминусовали, очевидно, за то, что:
а) техническое решение законодательной проблемы не всегда оптимально
б) слишком «зашифрованный» комментарий оказался
Заминусовали, очевидно, за то, что:
а) техническое решение законодательной проблемы не всегда оптимально
б) слишком «зашифрованный» комментарий оказался
Эмм… это что, мне теперь еще перед банком отчитываться, когда я новый гаджет купил?)
Так пожалуй скоро начнем писать объяснительные в налоговую службу, с описанием причин и обоснованием необходимости всех покупок дороже N рублей)
А чем не устраивала то аутентификация по СМС'кам? Или ЦБ РФ заняться нечем и они решили тоже приобщиться к народной забаве «самая дурацкая гос. инициатива года»?)
Так пожалуй скоро начнем писать объяснительные в налоговую службу, с описанием причин и обоснованием необходимости всех покупок дороже N рублей)
А чем не устраивала то аутентификация по СМС'кам? Или ЦБ РФ заняться нечем и они решили тоже приобщиться к народной забаве «самая дурацкая гос. инициатива года»?)
Так-так. Вот я активно использую Сбербанк Онлайн для оплаты коммунальных платежей, мобильного, перевода денег родственникам и прочих вкусных вещей. Лишен «счастья» выстаивать очереди в банкомат за бабульками (нисколько не хочу их обидеть, но иногда жутко бывает некогда) которые полчаса выбирают нужную кнопку. И что это означает, что мне надо регистрировать все устройства с которых я хочу заходить в личный кабинет???? Они там совсем, или ещё не совсем...?
А можно виртуальную машину зарегать? Специально держу для банковских дел.
www.ssllabs.com/ssltest/analyze.html?d=online.openbank.ru
«Открытие» до сих пор поддерживает SSL 3, использует слабые параметры Диффи-Хеллмана, имеет сертификат уровня Domain Validation (в субъекте даже организация не указана), а на главной странице онлайн-банкинга подгружает шрифт по HTTP. О, даже nginx старой версии палится.
www.ssllabs.com/ssltest/analyze.html?d=click.alfabank.ru
www.ssllabs.com/ssltest/analyze.html?d=bco.vtb24.ru
www.ssllabs.com/ssltest/analyze.html?d=telebank.ru
Без комментариев.
Пока у банков такой HTTPS, к чему этот театр безопасности? Quis custodiet ipsos custodes? Я бы на месте ЦБ без рейтинга A+ на SSL Labs вообще лицензии лишал, а они всякой хренью занимаются.
«Открытие» до сих пор поддерживает SSL 3, использует слабые параметры Диффи-Хеллмана, имеет сертификат уровня Domain Validation (в субъекте даже организация не указана), а на главной странице онлайн-банкинга подгружает шрифт по HTTP. О, даже nginx старой версии палится.
www.ssllabs.com/ssltest/analyze.html?d=click.alfabank.ru
Assessment failed: No secure protocols supported«Альфа» забанил тестирование онлайн-банкинга. Видно, есть, что скрывать, стыдно.
www.ssllabs.com/ssltest/analyze.html?d=bco.vtb24.ru
www.ssllabs.com/ssltest/analyze.html?d=telebank.ru
Без комментариев.
Пока у банков такой HTTPS, к чему этот театр безопасности? Quis custodiet ipsos custodes? Я бы на месте ЦБ без рейтинга A+ на SSL Labs вообще лицензии лишал, а они всякой хренью занимаются.
Пока я нашел только 1 банк с рейтингом на этом сайте выше, чем F — это Тинькоф. У него B. У ГПБ и МКБ тоже F.
Можете привести хоть один пример рейтинга А+ у онлайн-банкинга (не важно, какой страны)?
Можете привести хоть один пример рейтинга А+ у онлайн-банкинга (не важно, какой страны)?
UFO just landed and posted this here
У Сбербанка — аналогично
Сервер не поддерживает возобновление подключения TLS (стандарт RFC 5746) и нетолерантен к TLS 1.2, то есть обрывает соединение в случае его анонсирования в ClientHello. Сервер отправляет TCP Reset, и браузеру приходится отправлять новый ClientHello с анонсированием TLS 1.1 максимум (причём самым первым набором шифра будет TLS_FALLBACK_SCSV 0x5600, предупреждение о возможной атаке на понижение протокола), и только после этого сервер отправляет ServerHello и объявляет об использовании TLS 1.0, а у этого протокола уже есть известные уязвимости.
Но этого ещё не всё. Сервер поддерживает только шифр RC4, использование которого запрещено стандартом RFC 7465. Firefox уже сейчас не объявляет поддержку RC4 в первом сообщении ClientHello, только при следующих попытках.
Скоро выйдет Firefox 37, где такое поведение будет разрешено только при посещении сайтов из специального белого списка, иначе никакого подключения.
Но этого ещё не всё. Сервер поддерживает только шифр RC4, использование которого запрещено стандартом RFC 7465. Firefox уже сейчас не объявляет поддержку RC4 в первом сообщении ClientHello, только при следующих попытках.
Скоро выйдет Firefox 37, где такое поведение будет разрешено только при посещении сайтов из специального белого списка, иначе никакого подключения.
Вы, наверное, удивитесь, но мы как-то на прошлой работе тестировали механизм перехвата https с помощью mitm-proxy (в мирных целях, с целью блокировки рекламы), так мобильное приложение одного очень известного банка даже не ругалось на подсунутый сертификат, и мы могли читать логины и пароли на нашем тестовом устройстве. Никакого certificate-pinning и т.п.
UFO just landed and posted this here
Про IP адрес — это троллинг такой? Пользователей со статическим IP меньшинство, особенно учитывая заканчивающиеся адреса IPv4 и малую распространенность IPv6. А подтверждение транзакций по SMS сейчас практикуется почти везде…
Маразм бывает везде. Меня вот латвийский Citadele на днях порадовал — теперь пароль от интернет-банка мало того что нужно менять каждые 2 месяца и он должен отличаться от предыдущего хотя бы на 2 символа, так теперь еще и нельзя повторно использовать один и тот же пароль в течение 3 лет. Чего они этим добились? Раньше я оба сменных пароля держал в голове, теперь же вынужден держать их в специальном файлике. Не удивлюсь если другие, менее продвинутые клиенты банка, начнут эти пароли записывать на стикере, приклеенном к карте кодов…
Госсистема коллективной кибербезопасности заработает с 1 мая
Совет безопасности России поручил Центробанку запустить работу Центра борьбы с киберугрозами (FinCERT) в срок до 1 мая 2015 года. Поручение поступило в ЦБ в середине этого месяца, рассказал «Известиям» источник, близкий к ЦБ. Уже через месяц при Банке России должна будет аккумулироваться информация о кибератаках на банки и их клиентов, потенциальных киберугрозах, а собранные данные — рассылаться банкирам. Как пояснил источник, к исполнению поручения также привлечены Федеральная служба безопасности (ФСБ), Министерство внутренних дел (МВД) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Sign up to leave a comment.
Российские банки должны зарегистрировать смартфоны и компьютеры клиентов