Соглашусь лишь от части(замечу при этом, что я далек от некритичного отношения к Госуслугам).
Номер телефона на Госуслугах, да пытаются выморщить любым способом.
Если Вы выбрали вторым фактором автоизации в ЕСИА одноразовый код генерируемый посредством алгоритма TOTP, то заветных циферок входа в учетку ГУ шесть и даже привязанный к учетке ГУ мобильник тут не помошник.
Смысл исходного коммента в том, что проблема в том, что банки не мытьем так катанием хотят продлить жизнь несвеже-костыльной идее с мобильником в качестве суррогатного токена F2A(вместо того чтобы применить куда более безопасный TOTP, иначально целевым образом предназначенный для автономной генерации одноразовых кодов, и более, как и положено безопасному инструменту, ни для чего), что и ведет к избыточному сбору персональных данных, который и является питательной средой для мошенников, активно юзающих этот, навязываемый банками, франкенштейн из средства связи и токена-суррогата.
Болезненная тяга некоторых коммерсантов, включая некоторых банкиров, к избыточному сбору персональных данных изначально и предназначена, как мне представляется, для обзвонщиков цель которых, как мне представляется, получить с вас деньги, в том числе путем обмана или злоупотребления доверием(то бишь мошенничества по определению из УК РФ), например склонив доверчивую пенсионерку заключить невыгодный ей договор, который ей впарили как сказочно для нее выгодный. Причем по версии банков "свои" обзвощики это "маркетологи и консультаты, которые ничем не злоупотребляют", а не свои обзвонщики это "плохие мошенники, которые нагло вам врут и вводят вас в заблуждение.".
Вполне понимаю, на стороне каких именно людей автор, если не мытьем, так катанием он все оживляет мягко говоря несколько несвеже-костыльную тему с мобильником.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (открытого алгоритма RFC 6238). Одноразовый код авторизации генерируется на стороне клиента, например полностью автономным брелком с батарейкой.
На мой субъективный взгляд, если банки, вдруг по какой то неведомой причине, начнут реально, а декларативно, бороться питатаельной средой для мошенников, то мягко говоря у них есть ненулевой шанс быстро выйти на самих себя.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (Time-based One-Time Password Algorithm). Пользователю предоставляется индивидуальный ключ(цифробуквенный код), для открытого алгоритма RFC 6238, а далее он сам решает на каком вычислительном устройстве он будет генерить одноразовый код авторизации(при желании хоть на покупном брелке, хоть на Ардуине).
А вы в посте все оживляете мягко говоря несколько несвеже-костыльную тему с мобильником.
Мне интересно к какой категории автор относит людей предлагающих подписать договоры, где ряд пунктов изложен очень мелким шрифтом, а так же людей совершающих веерные обзвоны с настойчивым предложением заключить договор с банком, безотносительно того насколько сей договор выгоден тому, до кого он дозвонился.
Что же касается неформальной стороны вопроса, то прибыли владельцев бизнеса, сторонники современной рыночной экономики мотивируют "платой за риск".
Но "почему-то" когда те или иные риски реально наступают платить за них "владельцы заводов, газет, параходов" решительно не хотят и демонстративно плюют при этом на законные права клиентов. Это во вторых.
Сегодня(как и было вчера обещано) "работа сайта частично восстановлена", а именно вместо простой заглушки по адресу https://www.cdek.ru/ открывается страничка с неработающими ссылками.
Дело не в упавшем сайте как таковом, а свинстве СДЭК, по отношению к клиентам.
Уже пришедшие в ПВЗ отправления по паспорту, за редчашим исключением СДЭК выдавать отказывается - по принципу "клиент для нас просто дойная корова, надо будет потерпит-перебьется...".
Сегодня(как и было вчера обещано) "работа сайта частично восстановлена", а именно вместо простой заглушки открывается страничка с неработающими ссылками.
От целевой атаки сервисы смотрящие голой ж в Интернет разумеется на 100% не защитит никто и ничто.
Но свинства СДЭК, по отношению к клиентам это нисколько не оправдывает.
Уже пришедшие в ПВЗ отправления по паспорту, за редчашим исключением СДЭК выдавать отказывается, а в подъём IT-инфраструктуры, после возможной целевой атаки никто вообще серьезно не вкладывался, по принципу "клиент для нас просто дойная корова, надо будет потерпит-перебьется...".
Обязательное внедрение биометрии(в нынешнем ее понимании) это гарантированный способ поднять антирейтиг электронного документооборота.
Лучшче подумать над чтобы заверить с помощью ЭЦП электронный документ, содержащий рукописную подпись, выполненную стилусом реагирующим на скорость и нажим при письме.
Абсолютно одинаковых экзепляров подписи выполненной "в ручную" не бывает, хотя ее авторскую принадлежность эксперты давно научились идентефицировать, с точностью удовлетворяющей правоохранителей.
Это как МСВС. Она не нарушает GPL в силу того, что её нет в свободном доступе и поэтому нет пользователей, законных владельцев прав на экземпляр ПО, которые могли бы потребовать исходники для исполнения требований GPL.
Благодарю за во всех отношениях полезный пример.
Распостранять МСВС как и любое GPL-СПО GPL организацию "МО РФ", как и любую другую, не обязывает(о чем неоднократно выше повторял, начиная с корневого комментария этой ветки), а внутренная армейская дисциплина организации еще и запрещает конкретным военнослужащим, что либо делать без команды старшего начальника.
Что же касается "внешней" контракто-экономической деятельности организации "МО РФ", то правоприменительная практика такова, что если еще месяц назад за вызывающий некоторые вопросы контрактный схематоз с гражданскими тыловикам МО давали орден, то сейчас за то же самое им дают койку в следственном изоляторе не взирая на их звание и прошлые заслуги.
******
К этому лишь добавлю, что буквально несколько месяцев назад на Западе был скандал Rad Hat(форком которой является МСВС), когда манагерам Rad Hat тоже показалось, что они нашли лазейку в GPL, позволяющую коммерциализировать GPL-СПО, что называется "в лоб". Но как показала их западная правоприменительная практика манагеры Rad Hat в этом вопросе несколько ошиблись.
Соглашусь лишь от части(замечу при этом, что я далек от некритичного отношения к Госуслугам).
Номер телефона на Госуслугах, да пытаются выморщить любым способом.
Если Вы выбрали вторым фактором автоизации в ЕСИА одноразовый код генерируемый посредством алгоритма TOTP, то заветных циферок входа в учетку ГУ шесть и даже привязанный к учетке ГУ мобильник тут не помошник.
Смысл исходного коммента в том, что проблема в том, что банки не мытьем так катанием хотят продлить жизнь несвеже-костыльной идее с мобильником в качестве суррогатного токена F2A(вместо того чтобы применить куда более безопасный TOTP, иначально целевым образом предназначенный для автономной генерации одноразовых кодов, и более, как и положено безопасному инструменту, ни для чего), что и ведет к избыточному сбору персональных данных, который и является питательной средой для мошенников, активно юзающих этот, навязываемый банками, франкенштейн из средства связи и токена-суррогата.
Болезненная тяга некоторых коммерсантов, включая некоторых банкиров, к избыточному сбору персональных данных изначально и предназначена, как мне представляется, для обзвонщиков цель которых, как мне представляется, получить с вас деньги, в том числе путем обмана или злоупотребления доверием(то бишь мошенничества по определению из УК РФ), например склонив доверчивую пенсионерку заключить невыгодный ей договор, который ей впарили как сказочно для нее выгодный. Причем по версии банков "свои" обзвощики это "маркетологи и консультаты, которые ничем не злоупотребляют", а не свои обзвонщики это "плохие мошенники, которые нагло вам врут и вводят вас в заблуждение.".
Вполне понимаю, на стороне каких именно людей автор, если не мытьем, так катанием он все оживляет мягко говоря несколько несвеже-костыльную тему с мобильником.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (открытого алгоритма RFC 6238). Одноразовый код авторизации генерируется на стороне клиента, например полностью автономным брелком с батарейкой.
На мой субъективный взгляд, если банки, вдруг по какой то неведомой причине, начнут реально, а декларативно, бороться питатаельной средой для мошенников, то мягко говоря у них есть ненулевой шанс быстро выйти на самих себя.
Лучшая защита не давать банкам номер телефона.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (Time-based One-Time Password Algorithm). Пользователю предоставляется индивидуальный ключ(цифробуквенный код), для открытого алгоритма RFC 6238, а далее он сам решает на каком вычислительном устройстве он будет генерить одноразовый код авторизации(при желании хоть на покупном брелке, хоть на Ардуине).
А вы в посте все оживляете мягко говоря несколько несвеже-костыльную тему с мобильником.
Мне интересно к какой категории автор относит людей предлагающих подписать договоры, где ряд пунктов изложен очень мелким шрифтом, а так же людей совершающих веерные обзвоны с настойчивым предложением заключить договор с банком, безотносительно того насколько сей договор выгоден тому, до кого он дозвонился.
По Закону должны выдать все. Это во первых.
Что же касается неформальной стороны вопроса, то прибыли владельцев бизнеса, сторонники современной рыночной экономики мотивируют "платой за риск".
Но "почему-то" когда те или иные риски реально наступают платить за них "владельцы заводов, газет, параходов" решительно не хотят и демонстративно плюют при этом на законные права клиентов. Это во вторых.
Сегодня(как и было вчера обещано) "работа сайта частично восстановлена", а именно вместо простой заглушки по адресу https://www.cdek.ru/ открывается страничка с неработающими ссылками.
Дело не в упавшем сайте как таковом, а свинстве СДЭК, по отношению к клиентам.
Уже пришедшие в ПВЗ отправления по паспорту, за редчашим исключением СДЭК выдавать отказывается - по принципу "клиент для нас просто дойная корова, надо будет потерпит-перебьется...".
Отсуствие единой точки отказа, при проектировании системы.
Сегодня(как и было вчера обещано) "работа сайта частично восстановлена", а именно вместо простой заглушки открывается страничка с неработающими ссылками.
От целевой атаки сервисы смотрящие голой ж в Интернет разумеется на 100% не защитит никто и ничто.
Но свинства СДЭК, по отношению к клиентам это нисколько не оправдывает.
Уже пришедшие в ПВЗ отправления по паспорту, за редчашим исключением СДЭК выдавать отказывается, а в подъём IT-инфраструктуры, после возможной целевой атаки никто вообще серьезно не вкладывался, по принципу "клиент для нас просто дойная корова, надо будет потерпит-перебьется...".
Какая такая утечка? Хакеры же надёжно всё зашифровали!
...Четвертые сутки пылают станицы...
Перефразируя известную комедию:
"Были бекапы, мы этого не отрицаем, но демоны на серверах их сами ликвидировали..."
Безопасность системы определяется самым слабым звеном. Пока есть досуп к бекапу по удаленке никакие инструкции и охранники на местах особо не помогут.
Обязательное внедрение биометрии(в нынешнем ее понимании) это гарантированный способ поднять антирейтиг электронного документооборота.
Лучшче подумать над чтобы заверить с помощью ЭЦП электронный документ, содержащий рукописную подпись, выполненную стилусом реагирующим на скорость и нажим при письме.
Абсолютно одинаковых экзепляров подписи выполненной "в ручную" не бывает, хотя ее авторскую принадлежность эксперты давно научились идентефицировать, с точностью удовлетворяющей правоохранителей.
"Что случилось с бекапами"?
– "Они пропали"
А как же тогда так называемый "ИБ-эксперт" будет по удаленке иммитировать информационную безопасность?
Камера поддерживает работу с универсальным UVC-драйвером?
Благодарю за во всех отношениях полезный пример.
Распостранять МСВС как и любое GPL-СПО GPL организацию "МО РФ", как и любую другую, не обязывает(о чем неоднократно выше повторял, начиная с корневого комментария этой ветки), а внутренная армейская дисциплина организации еще и запрещает конкретным военнослужащим, что либо делать без команды старшего начальника.
Что же касается "внешней" контракто-экономической деятельности организации "МО РФ", то правоприменительная практика такова, что если еще месяц назад за вызывающий некоторые вопросы контрактный схематоз с гражданскими тыловикам МО давали орден, то сейчас за то же самое им дают койку в следственном изоляторе не взирая на их звание и прошлые заслуги.
******
К этому лишь добавлю, что буквально несколько месяцев назад на Западе был скандал Rad Hat(форком которой является МСВС), когда манагерам Rad Hat тоже показалось, что они нашли лазейку в GPL, позволяющую коммерциализировать GPL-СПО, что называется "в лоб". Но как показала их западная правоприменительная практика манагеры Rad Hat в этом вопросе несколько ошиблись.