То есть достаточно ранее воспользоваться сканером отпечатка в любом месте!!
Пробовал открывать заблокированные заметки, заблокированные приложения, и туда и туда входил по Face ID, после этого приложение тинькофф все так же запрашивает Face ID. Почему-то у меня не получилось воспроизвести такое поведение, чтобы при любой разблокировке с тинькофф тоже снимался блок. Вы уверены что блокировка с тинькофф снималась именно из-за разблокировки чего-то другого? Может просто таймер в 5 минут с разблокировки телефона не вышел?
На самом деле вполне себе удобная опция: разблокировал телефон и можно спокойно зайти в приложение без дополнительной аутентификации. Насколько это безопасная / полезная фича каждый решает сам для себя. Лично я пользуюсь, и о том, что ее можно трактовать как-то по-другому, задумался только после этого поста.
Ну а кейсы "дал родственнику телефон, а он может посмотреть баланс", как будто высосаны из пальца. Ваш баланс можно узнать так же:
1. В истории СМС от банка 2. В личном кабинете в браузере, если авторизованы 3. Отправив СМС на 2273 с текстом "Баланс XXXX", где XXXX - последние цифры карты
Почитали господа из VDSina данный пост и решили поднять тариф до 16 рублей в день, на ту машину, которая изначально стоила 7 (6.6) рублей в день.
Причем сейчас можно создать новую машину, которая будет по характеристикам такая же, как и старая за 7 рублей, но при этом в новой будет 2 Гб памяти вместо 1 Гб на старой, и тариф будет 15 рублей, а не 16.
На самом деле почему нет, всё зависит от ситуации.
Представим self-xss которая находится где нибудь в био профиля пользователя, при этом другие пользователи не могут открыть любой другой профиль, кроме своего. Связав такую self-xss и csrf login/logout, можем получить следующий вектор:
Атакующий делает self-xss в профиле -> жертва переходит на сайт с эксплоитом -> csrf logout -> csrf login в аккаунт атакующего -> перенаправляем жертву по URL с профилем -> т.к. жертва в аккаунте атакующего, срабатывает XSS. Дальше можно допустим слать запросы на другой домен данной компании, на какой нибудь путь с sensetive информацией, и т.к. домен доверенный и если он добавлен в CORS, прилетят интересующие нас данные, а дальше уже шлем их атакующему. Ну на крайний случай да хоть фейк логин форму сделать.
Ладно, для интересующихся. Сайт из шапки предлагает отправлять им BTC и ETH.
Адреса кошельков 1JxDgpW3wtEkwyCrTJwWJnxamAGaNNoZ4R и 0xFfC7eE98018A5e0377f845697e929E7781fb7b58 соответственно.
На BTC кошелек всего переведено 0.00125696 BTC ($77.86 на текущий курс) двумя транзакциями. ETH пустой
Не густо, однако можно предположить что кошельки менялись, но на BTC кошельке две транзакции с разницей в час, так что возможно он статичен (да и зачем менять, люди, верящие в такое, вряд ли умеют в обозреватели блокчейнов). Да и суммы переводов не круглые, так что вот так.
Кстати говоря, протестировал
Пробовал открывать заблокированные заметки, заблокированные приложения, и туда и туда входил по Face ID, после этого приложение тинькофф все так же запрашивает Face ID. Почему-то у меня не получилось воспроизвести такое поведение, чтобы при любой разблокировке с тинькофф тоже снимался блок. Вы уверены что блокировка с тинькофф снималась именно из-за разблокировки чего-то другого? Может просто таймер в 5 минут с разблокировки телефона не вышел?
На самом деле вполне себе удобная опция: разблокировал телефон и можно спокойно зайти в приложение без дополнительной аутентификации. Насколько это безопасная / полезная фича каждый решает сам для себя. Лично я пользуюсь, и о том, что ее можно трактовать как-то по-другому, задумался только после этого поста.
Ну а кейсы "дал родственнику телефон, а он может посмотреть баланс", как будто высосаны из пальца. Ваш баланс можно узнать так же:
1. В истории СМС от банка
2. В личном кабинете в браузере, если авторизованы
3. Отправив СМС на 2273 с текстом "Баланс XXXX", где XXXX - последние цифры карты
Отключаем функцию и засыпаем спокойно
Почитали господа из VDSina данный пост и решили поднять тариф до 16 рублей в день, на ту машину, которая изначально стоила 7 (6.6) рублей в день.
Причем сейчас можно создать новую машину, которая будет по характеристикам такая же, как и старая за 7 рублей, но при этом в новой будет 2 Гб памяти вместо 1 Гб на старой, и тариф будет 15 рублей, а не 16.
Короче, всё для вас, дорогие старые пользователи.
На самом деле почему нет, всё зависит от ситуации.
Представим self-xss которая находится где нибудь в био профиля пользователя, при этом другие пользователи не могут открыть любой другой профиль, кроме своего. Связав такую self-xss и csrf login/logout, можем получить следующий вектор:
Атакующий делает self-xss в профиле -> жертва переходит на сайт с эксплоитом -> csrf logout -> csrf login в аккаунт атакующего -> перенаправляем жертву по URL с профилем -> т.к. жертва в аккаунте атакующего, срабатывает XSS. Дальше можно допустим слать запросы на другой домен данной компании, на какой нибудь путь с sensetive информацией, и т.к. домен доверенный и если он добавлен в CORS, прилетят интересующие нас данные, а дальше уже шлем их атакующему. Ну на крайний случай да хоть фейк логин форму сделать.
В целом, это считается self-xss
Ладно, для интересующихся. Сайт из шапки предлагает отправлять им BTC и ETH.
Адреса кошельков
1JxDgpW3wtEkwyCrTJwWJnxamAGaNNoZ4Rи0xFfC7eE98018A5e0377f845697e929E7781fb7b58соответственно.На BTC кошелек всего переведено 0.00125696 BTC ($77.86 на текущий курс) двумя транзакциями.
ETH пустой
Не густо, однако можно предположить что кошельки менялись, но на BTC кошельке две транзакции с разницей в час, так что возможно он статичен (да и зачем менять, люди, верящие в такое, вряд ли умеют в обозреватели блокчейнов). Да и суммы переводов не круглые, так что вот так.
upd: ещё $100 упало на BTC
Теперь все отлично