Коллега только что зашел в аппстор и не увидел никаких обновлений (андроид сказал, что версия актуальная). Впрочем если это так, как вы говорите, то нет никаких проблем (после того, как версия появится в аппсторе). Остаются 2 бага:
— USSD в других операциях мобильного банка;
— двухфакторная верификация всегда, а не один раз.
Вот здесь я попытался зайти через Android коллеги в свой мобильный банк. На айфон пришло именно USSD. Так что, как минимум, в Аndroid и Windows 8 авторизационная «смс» приходит как USSD, и ваша фраза неверна.
Я бы с удовольствием, только это не про Win 8, а вообще на любом мобильном клиенте.
Вот, например, я только что попытался залогиниться через мобильный клиент андроида на телефоне коллеги. Это авторизационное сообщение, пришедшее на мой заблокированный телефон, на ваш взгляд похоже на смс? ↓ Чтобы вы не думали, что я вру, смотрите время на скриншоте.
Зачем на «айфон» (для айфона как раз и был случай про считывание камерой с экрана / отражения в очках)? Кейлогер можно поставить на компьютер (в веб-морду все равно иногда приходится ходить) или считывать с bluetooth-клавы.
Не совсем. Т. е. здесь уже сам юзер виноват, что не поставиил запрос PIN при включении телефона. С USSD же на айфоне он, к сожалению, ничего не может сделать (нет никаких настроек), а у SMS и email можно отключить preview на экране блокировки (чтобы сам текст сообщения не показывался).
Не делает, т. к. можно запретить показ preview текста SMS-сообщения (как и email), а показывать только имя отправителя. Для USSD это невозможно в iOS.
Какой идиот придумал USSD, для двухфакторной авторизации не понятно, более того, чем это удобнее тоже не понятно
USSD тем удобнее, что не нужно выходить из приложения, чтобы посмотреть код (как известно, некоторые приложения в целях безопасности блокируются при выходе и нужно будет заново вводить пароль / код быстрого входа, чтобы иметь возможность ввести одноразовый пароль из SMS). USSD же просто показывается поверх и ника не блокирует приложение (в плане оно не уходит в tombstoning).
если ты не запомнил, не записал 6 цифр
Тиньков в этом плане удобнее: у него 4 цифры, которые невозможно не запомнить обычному человеку.
Если Apple сделает так, что USSD / Flash SMS не будут показываться при залоченном экране, то я буду только рад использовать USSD.
А смысл тратить время на их удаление? :-) Висят себе и висят, ради бога. Сейчас же не 2000-й год, когда количество СМС в телефоне было ограничено (как и колчество контактов).
В iOS тело SMS (так называемое preview) можно отключить для показа на экране блокировки (как и тело еmail-сообщения), что и делает каждый разумный человек сразу же, как только поставит код блокировки. В этом случае будет просто показываться сам факт смски и имя отправителя (а чтобы увидеть текст нужно уже разблокировать телефон).
«По правилам» должен быть инициирован абонентом (т. е. самим аппаратом, где стоит симка с его номером), а по факту инициируется любым банковским клиентом Тинькова (на телефоне, на планшете, приложением «восьмерки» на компе), а сообщение приходит на телефон владельца.
С точки зрения взаимодействия с пользователем, Тиньков все время был прекрасен по сравнению с остальными (почему и сижу уже 4-й год). И сейчас это было направлено на улучшения «удобства», просто слишком уж удобно сделали в ущерб безопасности.
Почему же? Если запретить вообще уведомления на залоченном экране, то, чтобы узнать, было ли что-то новое, мне нужно будет каждый раз разблокировать телефон. Если же я увижу, что мне пришло 3 смски (от Тинькова, Иванова и Петрова) и 2 письма (от босса), то в этом нет угрозы безопасности (сам факт наличия письма — не проблема; главное, что preview не показывается на заблокированном экране).
Не совсем ОК, т. к. это будет сложно и неудобно для клиентов (одноразовый пароль будет запрашивать не приложение, а должен будет сам пользователь + здесь тоже есть свои косяки в безопасности: код не будет привязан к конкретной операции и может быть использован в другой).
Гораздо лучше просто юзать обычные SMS (или заставить Apple не показывать USSD или Flash-SMS при залоченном экране, как это сделано в «Андроиде»).
Это крайность. Показывать уведомление на заблокированном экране без текста самого сообщения — это ок. Показывать на заблокированном экране текст сообщение — не ок (иначе смысл в блокировке устройства).
Должен (но не у Тинькова) инициироваться самим пользователем на конкретном устройстве (т. е. если сам запросил на девайсе, только тогда и придет). А у Тинькова сейчас это происходит на стороне банка (в ответ на запрос с любого мобильного девайса, будь то телефон, планшет без симки, или Win8-приложение).
— USSD в других операциях мобильного банка;
— двухфакторная верификация всегда, а не один раз.
Вот, например, я только что попытался залогиниться через мобильный клиент андроида на телефоне коллеги. Это авторизационное сообщение, пришедшее на мой заблокированный телефон, на ваш взгляд похоже на смс? ↓ Чтобы вы не думали, что я вру, смотрите время на скриншоте.
Не делает, т. к. можно запретить показ preview текста SMS-сообщения (как и email), а показывать только имя отправителя. Для USSD это невозможно в iOS.
USSD тем удобнее, что не нужно выходить из приложения, чтобы посмотреть код (как известно, некоторые приложения в целях безопасности блокируются при выходе и нужно будет заново вводить пароль / код быстрого входа, чтобы иметь возможность ввести одноразовый пароль из SMS). USSD же просто показывается поверх и ника не блокирует приложение (в плане оно не уходит в tombstoning).
Тиньков в этом плане удобнее: у него 4 цифры, которые невозможно не запомнить обычному человеку.
Если Apple сделает так, что USSD / Flash SMS не будут показываться при залоченном экране, то я буду только рад использовать USSD.
Гораздо лучше просто юзать обычные SMS (или заставить Apple не показывать USSD или Flash-SMS при залоченном экране, как это сделано в «Андроиде»).
Должен (но не у Тинькова) инициироваться самим пользователем на конкретном устройстве (т. е. если сам запросил на девайсе, только тогда и придет). А у Тинькова сейчас это происходит на стороне банка (в ответ на запрос с любого мобильного девайса, будь то телефон, планшет без симки, или Win8-приложение).