Это происходит в ПРИЛОЖЕНИИ. Там нет адреса страницы.
После того, как мошенник введёт логин пароль у себя на компьютере, обманутому пользователю придёт СМС код подтверждения. А приложение покажет ему формочку, похожую на ответ ЕСИА. Пользователь туда введёт код, мошенник его получит, и введёт у себя на компьютере. Вуаля, ЛК у мошенника
Обманутый пользователь вводит логин пароль не в ЕСИА, а в формочке приложения. А мошенник на другом компьютере вводит полученный через формочку логин пароль обманутого пользователя в реальных Госуслугах. Так понятно?
Это в случае добропорядочного приложения. А злонамеренное приложение не только получит логин-пароль, подставив вместо странички ЕСИА свою формочку, но и откроет сессию из своего браузера, абсолютно с любого узла, используя эти логин-пароль. После чего вы подтвердите вход через код на телефоне, думая, что входите в приложение, а на самом деле подтвердится вход в госуслуги на узле мошенников. После этого с вашим ЛК можно делать что угодно.
Если я где-то ошибся - поправьте.
Да, я посмотрел, как обращается один из крупных банков к Госуслугам - через приложение на телефоне. Так что безопасный метод точно есть, просто приложение WB кривое.
Ну чтож, я пока воздержусь пользоваться этим приложением, всем спасибо.
Но всё равно - по моему мнению Госуслуги должны реагировать на то, что приложения могут потенциально мошенничать, и банить такие приложения, или бороться как-то иначе.
Ну да, "Левая приложуха" крупнейшего онлайн маркетплейса России. И пользователь не собирается играть в нарды с пацанами, а совершить определённые действия через систему госуслуг.
Я вижу, что почему-то большинство комментаторов считают что это какая-то блажь автора, и безосновательный наезд на Госуслуги. Хорошо, у каждого своё мнение.
В моём случае нет - мне не удалось найти, как сделать те действия, что нужно, без этой опасной авторизации. И служба техподдержки указала мне только этот вариант.
Да, посмотрел, но и эта цифра немаленькая
Похоже что нужный функционал только в приложении
Да, но это не единственное приложение с такой авторизацией, поэтому и вопрос к Госуслугам.
Потому, что это монополист, от которого не уйти. Хорошо, я так понял, тема безопасности не актуальна, и смысла в обсуждении нет. Будем пользоваться чисто на доверии
Давайте поясню, в чём смысл моей заметки. Государственный монополист сделал сервис по авторизации, который хочешь-не хочешь будут использовать все россияне, и права отказаться нет (Можете поспорить? Я не буду) При этом этот монополист слабо озаботился безопасностью. Когда его внимание обратили на проблему с безопасностью, он переложил недоработки с безопасностью своего сервиса на плечи пользователя. Соответственно, это попытка привлечь внимание общественности к этой проблеме. Но, для этого нужно хотя бы поплюсовать статью. Сейчас она в минусе.
Как можно было исправить проблему на Госуслугах? 1 Административный способ - связаться с разработчиком мобильного приложения, и потребовать сделать безопасно (вопрос, есть ли такая возможность?), иначе отрубить этой организации возможность пользоваться методом авторизации через Госуслуги. Конечно, в обращении в службу тех поддержки я указал название приложения. 2 Технический способ, к примеру - дать пользователю логин-пароль только для авторизации в сторонних приложениях, без права доступа к ЛК, или ещё 100 разных способов придумать, как сделать безопасно и удобно.
Если ты делаешь сервис по авторизации - делай это безопасно, если есть проблемы с безопасностью - исправляй, и улучшай. А так конечно легко - не нравится - не пользуй, но всё равно ты никуда не денешься, так как без этого не обойдёшься.
Называть приложение не вижу смысла - оно не одно так делает (и в комментариях уже называли подобные приложения), да и начнётся обсуждение этой компании - создателя приложения, а не технических проблем гос монополиста Госуслуг.
Кто тут пишет про инфантилизм - в чём он? Что пользователь хочет пользоваться безопасными сервисами, а не которые могут угнать твои перс. данные, и оформить на тебя кредит?
Нет, нельзя. Можете залогиниться в браузере, залогиниться в приложении Андроид, но как только вы откроете это приложение Андроид, оно невозмутимо у вас потребует логин-пароль от Госуслуг. Да, это популярное приложение, им пользуются десятки миллионов людей, ну, или миллионы точно. И оно такое не одно
Хорошо, это приложение используется десятками миллионов людей, связаться с организацией, и отрубить им использование сервиса, если они не исправят опасную авторизацию
Проблема в том, что куча приложений уже использует такой метод авторизации - и приходится либо его использовать, либо отказываться от сервисов. Я считаю, что СБ Госуслуг должна пресекать такие опасные попытки использовать их сервис
На С1, на хороших колонках явно слышно сердце. В принципе, как обычное сердце звучит, ничего особенного. На маленьких колонках ничего не слышно. Спасибо.
Но слышно будет не на всех колонках из-за очень низкой частоты - это конечно засада... И если так низко, то может и не в колонках дело - ухо тоже не слышит низкие звуки...
Но напишите, как зальёте, я попробую послушать - а то открыл - думал послушать - и не смог )))
Ясно, автор запостил почти черновик, поэтому и качество такое.
Да особо практического интереса не было, интересен общий вопрос, как устроен человек. К примеру, у меня нет пока понимания, как активизируются гены, как они влияют на мозг и поведение.
Автор пишет, что ПАВ включают гены, и они остаются включёнными долгое время, после употребления ПАВ. Где включаются эти гены? В головном мозгу, в нервной системе вообще? В каждой клетке организма? Передаются ли включения генов последующим поколениям? На что это влияет? На синтез веществ?
И немного оффтоп, как гены влияют на безусловные рефлексы? Только благодаря генетической информации, сложное поведение животных и насекомых наследуется?
П.С. Не специалист в этой области, может что не дочитал в статье. Если знаете ответы, или поделитесь ссылками (желательно на русском, буду благодарен).
Это происходит в ПРИЛОЖЕНИИ. Там нет адреса страницы.
После того, как мошенник введёт логин пароль у себя на компьютере, обманутому пользователю придёт СМС код подтверждения. А приложение покажет ему формочку, похожую на ответ ЕСИА. Пользователь туда введёт код, мошенник его получит, и введёт у себя на компьютере. Вуаля, ЛК у мошенника
Обманутый пользователь вводит логин пароль не в ЕСИА, а в формочке приложения. А мошенник на другом компьютере вводит полученный через формочку логин пароль обманутого пользователя в реальных Госуслугах. Так понятно?
Это в случае добропорядочного приложения. А злонамеренное приложение не только получит логин-пароль, подставив вместо странички ЕСИА свою формочку, но и откроет сессию из своего браузера, абсолютно с любого узла, используя эти логин-пароль. После чего вы подтвердите вход через код на телефоне, думая, что входите в приложение, а на самом деле подтвердится вход в госуслуги на узле мошенников. После этого с вашим ЛК можно делать что угодно.
Если я где-то ошибся - поправьте.
Да, я посмотрел, как обращается один из крупных банков к Госуслугам - через приложение на телефоне. Так что безопасный метод точно есть, просто приложение WB кривое.
Ну чтож, я пока воздержусь пользоваться этим приложением, всем спасибо.
Но всё равно - по моему мнению Госуслуги должны реагировать на то, что приложения могут потенциально мошенничать, и банить такие приложения, или бороться как-то иначе.
Ну да, "Левая приложуха" крупнейшего онлайн маркетплейса России. И пользователь не собирается играть в нарды с пацанами, а совершить определённые действия через систему госуслуг.
Я вижу, что почему-то большинство комментаторов считают что это какая-то блажь автора, и безосновательный наезд на Госуслуги. Хорошо, у каждого своё мнение.
В моём случае нет - мне не удалось найти, как сделать те действия, что нужно, без этой опасной авторизации. И служба техподдержки указала мне только этот вариант.
Да, посмотрел, но и эта цифра немаленькая
Похоже что нужный функционал только в приложении
Да, но это не единственное приложение с такой авторизацией, поэтому и вопрос к Госуслугам.
Хорошо, уговорили, это BalancePay от wildberries. Да, у многих приложений есть веб версия. У этого кошелька такой возможности нет
Потому, что это монополист, от которого не уйти. Хорошо, я так понял, тема безопасности не актуальна, и смысла в обсуждении нет. Будем пользоваться чисто на доверии
Давайте поясню, в чём смысл моей заметки.
Государственный монополист сделал сервис по авторизации, который хочешь-не хочешь будут использовать все россияне, и права отказаться нет (Можете поспорить? Я не буду)
При этом этот монополист слабо озаботился безопасностью. Когда его внимание обратили на проблему с безопасностью, он переложил недоработки с безопасностью своего сервиса на плечи пользователя.
Соответственно, это попытка привлечь внимание общественности к этой проблеме. Но, для этого нужно хотя бы поплюсовать статью. Сейчас она в минусе.
Как можно было исправить проблему на Госуслугах?
1 Административный способ - связаться с разработчиком мобильного приложения, и потребовать сделать безопасно (вопрос, есть ли такая возможность?), иначе отрубить этой организации возможность пользоваться методом авторизации через Госуслуги. Конечно, в обращении в службу тех поддержки я указал название приложения.
2 Технический способ, к примеру - дать пользователю логин-пароль только для авторизации в сторонних приложениях, без права доступа к ЛК, или ещё 100 разных способов придумать, как сделать безопасно и удобно.
Если ты делаешь сервис по авторизации - делай это безопасно, если есть проблемы с безопасностью - исправляй, и улучшай. А так конечно легко - не нравится - не пользуй, но всё равно ты никуда не денешься, так как без этого не обойдёшься.
Называть приложение не вижу смысла - оно не одно так делает (и в комментариях уже называли подобные приложения), да и начнётся обсуждение этой компании - создателя приложения, а не технических проблем гос монополиста Госуслуг.
Кто тут пишет про инфантилизм - в чём он? Что пользователь хочет пользоваться безопасными сервисами, а не которые могут угнать твои перс. данные, и оформить на тебя кредит?
Я думаю, что никак.
Нет, нельзя. Можете залогиниться в браузере, залогиниться в приложении Андроид, но как только вы откроете это приложение Андроид, оно невозмутимо у вас потребует логин-пароль от Госуслуг. Да, это популярное приложение, им пользуются десятки миллионов людей, ну, или миллионы точно. И оно такое не одно
Пока что я так и делал - но это становится всё сложней
Хорошо, это приложение используется десятками миллионов людей, связаться с организацией, и отрубить им использование сервиса, если они не исправят опасную авторизацию
Может, только как это узнает пользователь? 9 приложений добропорядочные, а 1 приложение непорядочное, и угонит ваши госуслуги.
Проблема в том, что куча приложений уже использует такой метод авторизации - и приходится либо его использовать, либо отказываться от сервисов. Я считаю, что СБ Госуслуг должна пресекать такие опасные попытки использовать их сервис
На С1, на хороших колонках явно слышно сердце. В принципе, как обычное сердце звучит, ничего особенного. На маленьких колонках ничего не слышно. Спасибо.
Но слышно будет не на всех колонках из-за очень низкой частоты - это конечно засада... И если так низко, то может и не в колонках дело - ухо тоже не слышит низкие звуки...
Но напишите, как зальёте, я попробую послушать - а то открыл - думал послушать - и не смог )))
А как послушать? Ссылка битая (
Да особо практического интереса не было, интересен общий вопрос, как устроен человек. К примеру, у меня нет пока понимания, как активизируются гены, как они влияют на мозг и поведение.
Автор пишет, что ПАВ включают гены, и они остаются включёнными долгое время, после употребления ПАВ. Где включаются эти гены? В головном мозгу, в нервной системе вообще? В каждой клетке организма? Передаются ли включения генов последующим поколениям? На что это влияет? На синтез веществ?
И немного оффтоп, как гены влияют на безусловные рефлексы? Только благодаря генетической информации, сложное поведение животных и насекомых наследуется?
П.С. Не специалист в этой области, может что не дочитал в статье. Если знаете ответы, или поделитесь ссылками (желательно на русском, буду благодарен).