В Azure Repos не работает. Если была ссылка прямо на коммит и где осталась, то по старой ссылке перейти на коммит не сложно. Нужно удалять ссылки отовсюду.
То есть шарогой вы назвали все банки просто потому, что у них нет тотп как в банках Гондураса?
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Про безопасность почитайте про сложность и стоимость реализации хотя бы ГОСТ 57580, одно только это обходится в бесчисленные суммы.
И про статистику по снижению мошенничества почитайте на сайте Банка Росси за лет 10.
Я не работаю в банке, но работал в финтехе и ни один банк не желал даже за свой счет реализовать тотп в своем банке, чтобы он появился сразу в 100 банках. Банк это про прибыль в первую очередь как и в любой коммерческой компании.
У них куда больше затрат из-за Банка России, когда им каждое очередное неожиданное Указание требует интеграции с очередным сервисом за пол года, внедрение бесполезной ЕБС, оправославливание всего софта и т.д. За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
Так я вернул к первому моему комменту. Вы, видимо, не покупали фидо2 миллионами штук, не сопровождали их, не тратили деньги фронта на инструктирование клиентов. Вам только кажется, внедрил и забыл. С тем же тотп не сопровождали их, не теряли доступ к банку когда сервак с тотп падает и т.п.
А кто должен объяснять бизнесу аспекты, связанные с безопасностью?
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Логин и пароль у меня в голове или в защищенном хранилище
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
значит пенсионер пользуется интернет-банком с компьютера
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
В Azure Repos не работает. Если была ссылка прямо на коммит и где осталась, то по старой ссылке перейти на коммит не сложно. Нужно удалять ссылки отовсюду.
Вставлю каплю как безопасник.
На пример, PlatformEco имею:
Отсутствие SAST, в мире нет ни одного SAST для Platformeco, ни PT, ни Solar это не интересно, ни самой Platformeco
Protestware и тысячи не проверенных пакетов, которые попадают к вам потому, что скачивать их надо с репозиториев создателя этой системы
AppSec-у сложнее входить в анализ приложений
Нет линтера кода
В выкладке невозможно добавить утверждение человеком
PlatrormEco, например
Что-то умное с нацистским уклоном, видимо, жаль не по делу
Говорят «рассмотрим предложение по доработке» или типо того, уже не помню
Какой копилот для вс коде бесплатный и работает в рф?
СТО не обязателен
То есть шарогой вы назвали все банки просто потому, что у них нет тотп как в банках Гондураса?
Сбор биометрии повторюсь не прихоть банков, а Банка России. Не путайте.
Про безопасность почитайте про сложность и стоимость реализации хотя бы ГОСТ 57580, одно только это обходится в бесчисленные суммы.
И про статистику по снижению мошенничества почитайте на сайте Банка Росси за лет 10.
Я не работаю в банке, но работал в финтехе и ни один банк не желал даже за свой счет реализовать тотп в своем банке, чтобы он появился сразу в 100 банках. Банк это про прибыль в первую очередь как и в любой коммерческой компании.
У них куда больше затрат из-за Банка России, когда им каждое очередное неожиданное Указание требует интеграции с очередным сервисом за пол года, внедрение бесполезной ЕБС, оправославливание всего софта и т.д. За внедрение отвечает бизнес, если бы это приносило денег, уже давно внедрили бы.
Так я вернул к первому моему комменту. Вы, видимо, не покупали фидо2 миллионами штук, не сопровождали их, не тратили деньги фронта на инструктирование клиентов. Вам только кажется, внедрил и забыл. С тем же тотп не сопровождали их, не теряли доступ к банку когда сервак с тотп падает и т.п.
Согласен завершаем, банку это обойдется в десятки если не сотни лямов сходу и десяток/два в год на поддержан е и развитие
Что мешать ему взять ноут с TOTP или ФКН?? ????????
В банках этим занимаются совсем другое подразделение зачастую, рисковики, так как риск перехвата SMS нереален либо не посчитать
Статистически средний возраст населения страны высокий, а таких как вы продвинутых из них очень маленький процент. Не мерьте всех на себя.
Ну да и что, заставить такого пользователя еще и TOTP установить безопасно, куда?, или купить ФКН проще и дешевле? Затем банку же управлять ключевой системой или проверки генерации TOTP
А что вы на безопасников гоните, бизнес не хочет отказываться, для них все ваши модные TOTP это длинный UX и отказ от пенсионеров с кнопочными телефонами. Не у всех вход по SMS то есть, до сих пор логин и пароль однофакторные.
Безопасность поймешь, когда выпишешь каждый пункт того же ГОСТа в табличку вида
Пункт | требование | как выполняется/митигируется | комментарий |
Каждая запись имеет категорию, вы можете только смотреть на malware и игнорировать к примеру political_slogans или ip_block
Добавлен в toxic-repos.
Много вы так заработаете ?
Это умение, а не отдельное мероприятие, но судя по историям, пьянки были
Пояснительная бригада?