Я бы такое же хотел при оплате в магазинах. Но почему-то такой популизм работает только в транспорте, в итоге скидку дали (fare capping называется), а за что и какая выгода перевозчику - хз. В итоге, скидка и так закладывается в тариф (скидка с наценки)
нет, сохраняют хэш пана карта, считывают с валидатора, потом сравнивают с картой пассажира - если совпадение хэша есть - оплата была ,если нет - оплаты не было
но это аварийная ситуация и таких "умных" будет не слишком много.
Вы как раз описали, как работает оплата банковскими картами в транспорте и, внезапно, таких "умных" вроде как бы и немного, но за год набегают внушительные суммы
Как раз проблема оффлайна ни разу не решена, а перекладывается на перевозчика, то есть на пассажиров, в конечно итоге. Плюс оплата банковской картой - это отсутствие продуманной системы скидок. Это выше издержки и риски, за которые как раз и платит пассажир.
Сейчас такое насаждается во всем мире, пассажиру действительно кажется удобным, только он за все это, в итоге, и платит, а кроме быстрого расставания с деньгами ничего не получает взамен.
А платежные системы насаждают это потому, что получаются с каждой транзакции комиссию. Все радуются удобству и хлопают в ладоши, но как только потом садятся считать, и вдруг становится грустно и стыдно публиковать результаты
Исследователей пригласили на совещание в головной офис управления и выслушали их рекомендации. По сути они сводятся к следующему:
при реализации системы оплаты поездок не следует хранить деньги на карте;
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
данные о картах, транзакциях и пользователях желательно хранить в отдельной базе данных;
подобные системы необходимо поддерживать и регулярно модернизировать после развертывания.
Итак, студенты заюзали известную с 2008 г. уязвимость и всё, они теперь спеицалисты?
при реализации системы оплаты поездок не следует хранить деньги на карте;
Вы удивитесь, но на карте деньги не хранятся. Не верите - попробуйте их снять с банкомата или расплатиться деньгами на транспортной карте в магазине. Ой.
На транспорте, по сути, хранятся данные о купленных поездках. И сделано это потому, что студентам не пришло, естественно в голову, чтобы быстро проверять наличие поездок, а не лезть на сервер каждый раз, а в часы пик каждая миллисекунда буквально дорога.
И если нет связи - всё, коллапс, трнасопрт встал?
Поэтому начинают стыдливо применять периодическую синхронизацию и т. п. (потом, когда уже поняли, что облажались, "не храня деньги на карте") и вдруг выясняется, что надо перекачивать большие объемы, по сути, одонтипных данных (номера карт - то в стоп листе, то не в стоп листе), при чем, чем больше работает система, тем данных становится больше и вдруг выясняется, что они уже не влезают на устройства и приходится затевать обновление и покупку новых девайсов (может, ради этого всё и затевалось, начининают закрадываться подозрения).
Но дело даже не в этом, а в том, что стоп-лист формируется ПОСЛЕ совершенной поездки с картой с недостаточным балансом. То есть стоп-лист - это попытка минимизировать потери, но не убирает их полностью.
Собственно, рекомендация
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
того же порядка, граничащего с некомпететностью.
Вдруг выясняется, что эти системы тоже не безопасны, потому что принцип тот же - работать в онлайн, либо периодически пускать без онлайна и потом проверять и синхранизировать.
В общем, как обычно - гордо предлагается решение, которое проблемы-то не решает, но создает новые.
Что же на самом деле нужно было сделать:
1. перейти хотя бы на новое поколение Mifare Classic с true RNG - их сложнее взломать (но все равно можно).
2. Юзать карты с 7-байтными уидами.
3. Закрыть все сектора нестандартными ключами, потому что mfoc юзает уязвимость, когда известен хотя бы один ключ.
4. Использовать диверсифицированные ключи, и тогда приходилось бы взламывать КАЖДУЮ карту, а не взломав одну, получаешь взлом ВСЕХ.
5. Данные на карте макировать серьезным алгоритмом, тоже завязанным на uid и другие параметры карты.
Ну и, конечно же, перейти надо на современные карты, тот же Mifare Plus но не в режиме Classic, а SL3 где ключи aes-ные.
Тут кто-то хвалился, какой он молодец, данные на классике шифровал aes - так это никакой проблемы не решает, раз можно сделать 100500 клонов и ст. з. системы они будут такими же ,как оригинал.
Я делал так, что можно вообще без ключей или на откртых ключах размещать данные, только склонировать нельзя - максимум можно попортить данные, но тогда эта карта просто не сработает.
Хотя мне пришлось разрабатывать проездные на их базе, и могу с гордостью сказать что наш вариант школьники бы не взломали 😀 достаточно добавить шифрование каким нибуть aes-256 данных в блоке - и удачи это ломануть. Максимум можно сделать клон карты, но это лечится блеклистами и их периодическими обновлениями.
Хочу Вас расстроить - если карту можно легко клонировать (а mifare classic клонируется на раза два), то используйте вы хоть 512-битное шифрование, вас взломали.
И никакими блэклистами это не лечится, потому что блокировка идет уже после того, как по клонированной карте проехали, при этом вы еще и блокируете оригинал, который может быть не виноват ни в чем. Во-вторых - после сложных вычислений, формирования блок-листов, рассылки их на устройства и других сложных операций все, что нужно "кулхацкеру", это сделать клон еще одной карты, а ваши усилия - насмарку.
Насколько знаю, задержать для выяснения личности тоже не имеют права без основания подозревать в совершении правонарушения: заявление, ориентировка и тп
Сложно представить мощь ИИ, который должен по картинке определить, что там используется незаконно логотип другого бренда (как в примере с Zepter), а по описани определить, что такой продукции в каталоге Zepter не бывает.
Да и в условиях разрешенного параллельного импорта что теперь считать контрафактом и как его определять?
Насколько знаю, ВБ требует сертификат на продукцию. Но также знаю, что это успешно обходят всякие посредники за деньги (не знаю, как).
Вообще, все это "пчелы против меда" - ВБ плевать, кто, чем и как торгует. Они ж маркетплейс, любой вэлкам, лишь бы бабки приносил.
Простому покупателю вообще не достучаться оперативно, коснись чего: раньше был телефон - его убрали, в месенджерах, по-моему, тоже пропала поддержка, все через приложение/сайт (то есть не понятно, когда ждать ответа и он стандартный).
Сейчас смотрю, пропали процессоры AMD по брендом noname или еще каким - видимо, так обходили продажу брендовых вещей.
Кстати, а формально, что с геймпадом не так на скриншоте? они что, пишут что это оригинал от Sony? нет. они пишут, что подходят под PS, Windows и т. п.
У нас, как обычно, нет четкости, двойные стандарты и разночтения. А это повод для к... сами знаете, чего.
В 1988 не было еще никаких пластиковых карт
Я бы такое же хотел при оплате в магазинах. Но почему-то такой популизм работает только в транспорте, в итоге скидку дали (fare capping называется), а за что и какая выгода перевозчику - хз. В итоге, скидка и так закладывается в тариф (скидка с наценки)
нет, сохраняют хэш пана карта, считывают с валидатора, потом сравнивают с картой пассажира - если совпадение хэша есть - оплата была ,если нет - оплаты не было
а как банк узнавал о резервировании? значит, до банка информация доезжала...
Вы как раз описали, как работает оплата банковскими картами в транспорте и, внезапно, таких "умных" вроде как бы и немного, но за год набегают внушительные суммы
Как раз проблема оффлайна ни разу не решена, а перекладывается на перевозчика, то есть на пассажиров, в конечно итоге. Плюс оплата банковской картой - это отсутствие продуманной системы скидок. Это выше издержки и риски, за которые как раз и платит пассажир.
Сейчас такое насаждается во всем мире, пассажиру действительно кажется удобным, только он за все это, в итоге, и платит, а кроме быстрого расставания с деньгами ничего не получает взамен.
А платежные системы насаждают это потому, что получаются с каждой транзакции комиссию. Все радуются удобству и хлопают в ладоши, но как только потом садятся считать, и вдруг становится грустно и стыдно публиковать результаты
Совершенно верно. Сама формулировка забавная. Так как деньги не хранятся на карте и так, это просто обывательское выражение.
Итак, студенты заюзали известную с 2008 г. уязвимость и всё, они теперь спеицалисты?
при реализации системы оплаты поездок не следует хранить деньги на карте;Вы удивитесь, но на карте деньги не хранятся. Не верите - попробуйте их снять с банкомата или расплатиться деньгами на транспортной карте в магазине. Ой.
На транспорте, по сути, хранятся данные о купленных поездках. И сделано это потому, что студентам не пришло, естественно в голову, чтобы быстро проверять наличие поездок, а не лезть на сервер каждый раз, а в часы пик каждая миллисекунда буквально дорога.
И если нет связи - всё, коллапс, трнасопрт встал?
Поэтому начинают стыдливо применять периодическую синхронизацию и т. п. (потом, когда уже поняли, что облажались, "не храня деньги на карте") и вдруг выясняется, что надо перекачивать большие объемы, по сути, одонтипных данных (номера карт - то в стоп листе, то не в стоп листе), при чем, чем больше работает система, тем данных становится больше и вдруг выясняется, что они уже не влезают на устройства и приходится затевать обновление и покупку новых девайсов (может, ради этого всё и затевалось, начининают закрадываться подозрения).
Но дело даже не в этом, а в том, что стоп-лист формируется ПОСЛЕ совершенной поездки с картой с недостаточным балансом. То есть стоп-лист - это попытка минимизировать потери, но не убирает их полностью.
Собственно, рекомендация
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;того же порядка, граничащего с некомпететностью.
Вдруг выясняется, что эти системы тоже не безопасны, потому что принцип тот же - работать в онлайн, либо периодически пускать без онлайна и потом проверять и синхранизировать.
В общем, как обычно - гордо предлагается решение, которое проблемы-то не решает, но создает новые.
Что же на самом деле нужно было сделать:
1. перейти хотя бы на новое поколение Mifare Classic с true RNG - их сложнее взломать (но все равно можно).
2. Юзать карты с 7-байтными уидами.
3. Закрыть все сектора нестандартными ключами, потому что mfoc юзает уязвимость, когда известен хотя бы один ключ.
4. Использовать диверсифицированные ключи, и тогда приходилось бы взламывать КАЖДУЮ карту, а не взломав одну, получаешь взлом ВСЕХ.
5. Данные на карте макировать серьезным алгоритмом, тоже завязанным на uid и другие параметры карты.
Ну и, конечно же, перейти надо на современные карты, тот же Mifare Plus но не в режиме Classic, а SL3 где ключи aes-ные.
Тут кто-то хвалился, какой он молодец, данные на классике шифровал aes - так это никакой проблемы не решает, раз можно сделать 100500 клонов и ст. з. системы они будут такими же ,как оригинал.
Я делал так, что можно вообще без ключей или на откртых ключах размещать данные, только склонировать нельзя - максимум можно попортить данные, но тогда эта карта просто не сработает.
Да нет, это Вы рассмешили своим комментом. Ведь чужие потери кажутся Вам такими смешными.
Хочу Вас расстроить - если карту можно легко клонировать (а mifare classic клонируется на раза два), то используйте вы хоть 512-битное шифрование, вас взломали.
И никакими блэклистами это не лечится, потому что блокировка идет уже после того, как по клонированной карте проехали, при этом вы еще и блокируете оригинал, который может быть не виноват ни в чем. Во-вторых - после сложных вычислений, формирования блок-листов, рассылки их на устройства и других сложных операций все, что нужно "кулхацкеру", это сделать клон еще одной карты, а ваши усилия - насмарку.
А вот, похоже, и комменты от сикама подъехали. Эти блохеры совсем страх потеряли, мешают серьезное бабло на перепродаже китайщины «зарабатывать»
Не подсказывайте, пожалуйста
Насколько знаю, задержать для выяснения личности тоже не имеют права без основания подозревать в совершении правонарушения: заявление, ориентировка и тп
Конечно же, нет. Это для того, чтобы, проще говоря, получить в розницу по оптовой цене
Тут, конечно, некоторые по смыслу повторяются, тогда добавлю еще одну ситуацию:
- Нам нужно 100500 единиц вашей продукции, дайте предложение.
- Ок, ваше предложение устраивает, выставляйте счет на 3 штуки (по цене из предложения, разумеется)
Да, это первое, что вспомнилось…. Юнайтед… Итить их
Ну, это мелкий начальник какой-то и, возможно, тупое руководство над ним, скорее всего, какая-нибудь гос или окологосконтора.
Извините, но, видимо, открою для Вас тайну: нельзя просто взять и уволить сотрудника. ТК на стороне сотрудников.
Ха-ха, напридумывают же "все ради безопасности'
Просто Сбер не может продлить (купить) сертификат, так как они под санкциями, а их сертификат от GlobalSign истекает совсем скоро - 28 сентября.
Вот и в спешном порядке озаботились "безопасностью"
Сложно представить мощь ИИ, который должен по картинке определить, что там используется незаконно логотип другого бренда (как в примере с Zepter), а по описани определить, что такой продукции в каталоге Zepter не бывает.
Да и в условиях разрешенного параллельного импорта что теперь считать контрафактом и как его определять?
Насколько знаю, ВБ требует сертификат на продукцию. Но также знаю, что это успешно обходят всякие посредники за деньги (не знаю, как).
Вообще, все это "пчелы против меда" - ВБ плевать, кто, чем и как торгует. Они ж маркетплейс, любой вэлкам, лишь бы бабки приносил.
Простому покупателю вообще не достучаться оперативно, коснись чего: раньше был телефон - его убрали, в месенджерах, по-моему, тоже пропала поддержка, все через приложение/сайт (то есть не понятно, когда ждать ответа и он стандартный).
Сейчас смотрю, пропали процессоры AMD по брендом noname или еще каким - видимо, так обходили продажу брендовых вещей.
Кстати, а формально, что с геймпадом не так на скриншоте? они что, пишут что это оригинал от Sony? нет. они пишут, что подходят под PS, Windows и т. п.
У нас, как обычно, нет четкости, двойные стандарты и разночтения. А это повод для к... сами знаете, чего.