Статья забавная, странно читать такое от, типа, «специалистов по безопасности».
Рассказываю: безопасно вы идентификатор на девайс передали, но теперь то, что есть на девайсе, есть у пользователя.
Если это злоумышленник, то, расковыряв приложение (а это вопрос времени), он выдернет ваши идентификатор, который вы так рьяно защищаете. Т. е. поставили железную дверь, а окно закрыть забыли.
Чтобы было действительно безопасно, надо юзать Secure element — но у разных производителей он разный, могут быть разные условия доступа к нему. И не во всех NFC девайсах он есть.
Поэтому HCE — это эмуляция карты, но вопрос безопасного хранения данных — открыт. В этом плане безопасность получше, чем у em-marine, но все равно слабовата.
NFC появился во всех ios девайсах начиная с iphone 6, насколько помню.
Говорить, что его нет — неверно. Нет доступа для разработчиков, sdk закрыт. Недавно открыли возможность писать и читать ndef метки — но это не то, там нет шифрования, по сути.
Поэтому использование смартфонов — это нишевый продукт (для гостевого доступа, например), но полностью заменить карты не может.
Вся эта тяга к монструозным комбайнам ни к чему хорошему не приведет («а давайте все объединим в одном смартфоне») — остался без смартфона, остался без всего.
И как показывает практика, весь этот геморрой поддерживать зоопарк девайсов (у кого нет NFC — тому QR, у кого нет SE — тому токенизацию, у кого iOS — тому ИДУ, у кого нет… — тому ...) проще заменить выдачей всем карт.
Проблема тут в другом — доступ осуществляется по картам, которые сами по себе небезопасны (легко клонируются).
Но всех это пока устраивает, для средней организации этого достаточно: просто с улицы не зайдут, а если уже реально захотят зайти — то и безопасные карты не помогут (как в анекдоте: мне не надо бежать быстрее медведя, надо бежать быстрее тебя. между автомобилем с простой сигналкой и без нее, вор выберет, с чем меньше возиться).
И кстати, Mifare — это бренд, под которым собрана туева хуча сильно отличающихся между собой продуктов.
Mifare Plus — то название чипа, и ничего не говорит о безопасности, только о поддерживаемых протоколах, а не о том, какие там в реальности используются.
Под Mifare обычно понимают Mifare Classic — вот его действительно нельзя использовать ни при каких условиях, это зашквар. Криптопротокол легко взламывается. Плюс он проприетарен, так что в ридерах тоже должен стоят соответствующий чип.
Я за карты на чипах по исошному протоколу 14443-4 с шифрованием уровня aes с защитой от dpa, dfa атак.
Но, повторюсь, среднестатистическому заказчику это может быть не нужно, ему главное цена. Em-marine, конечно, дешевле, но считаю, что его стоимость вообще должна быть ноль.
Поскольку никакого контроля доступа сами по себе такие карты не обеспечивают — их легко клонировать.
Поэтому поставщики просто пользуются незнанием заказчиков и продолжают впаривать, по-другому не скажешь.
Про «продумывает KPI, по которым можно было бы постоянно отслеживать приближение к цели» — можно ли поподробнее. А то я по наивности думал, что выполнение спринтов, юзер сторей и позволяет отслеживать выполнение.
Про сберджайл слышал, а у вас какой-то промсвязьбанкэджайл — с kpi и… еще чем-то там.
И еще: у вас правда все такие ответственные, самостоятельные, самоорганизующиеся?
Можете не отвечать, это был риторический вопрос
Я понимаю, что автор горд собой, и он, конечно, по-своему, молодец — решил поставленную перед ним задачу.
Но я бы постеснялся так красочно и подробно рассказывать об очередном примере распила бюджета с помощью г… а и палок.
Видел я на выставке девайс (не этот, а уже типа, серийный) лет пять назад. Показался каким-то несуразным, а цена в 66 тыр. ужаснула.
Я просто знал, что от именитых производителей можно было увидеть девайсы не хуже функциональностью (мягко говоря) и дешевле.
Если аргументировать, что он якобы отечественный, то все мы понимаем, что отечественного там тоже не много.
Ну и еще хорошо поеазан пример системы принятия решения в госкорпорациях и госструктурах.
Некий чиновник (управленец в госструктуре) на выставке соблаговолил «дать добро».
Уверен, без четкого понимания, а решит ли девайс проблему, соответствует ли он задачам (выше уже писали, что поблема не в отсутствии клевых девайсов у обходчиков — это как с помощию эра-глонасс пытаться решить проблемы с аваарийностью, качеством дорог, отсутствием достаточно количества машин скорой помощи: сообщим об аварии, только приехать некому).
Ну и тз понятно, кто писал (без исполнителя-интегратора не обошлось)
А выставка, имхо, была ширмой, уверен, договоренности были до нее, выставка была поводом «дать добро».
Безлимит от йоты для модемов, как написано на сайте и сообщила тп, только для 4g. У меня на даче, судя по карте покрытия, только 3g и тп заявила, что оаботать не будет, хотя если купить сим для планшета, то будет, так как для смартфонов и планшетов ограничения «только 4g нет»
Остается либо идти на ухищрения (ttl фикс и тп) чтобы раздавать инет с симки для смартфона — а это противоречит правилам йоты, идет непримиримая борьба: юзеры находят новые способы обхода ограничений, йота их выявляет и прикрывает лазейки.
Поэтому в моем случае остается только мегафон (только с ним иногда лте получается)
Но их тариф на 30 гигов какой-то странный: скачал фильм на 1,46 гига, а в лк минус 4,5 гига.
В общем странно они трафик считают, мягко говоря.
Автор же сообщил, что изначально у него скорости были, как в edge, но при этом сигнал 4g был?
не понятно, зачем просят продиктовать телефон. Лучше бы присваивали идентификатор клиенту и смс приходило бы на привязанный телефон. Я не хочу в очереди диктовать свой телефон
Раньше тетки на почте подделывали подписи в извещении о получении (реальный случай), теперь, как рассказывают здесь в комментах, тетки просто отдают посылку, не дождавштсь кода.
Не понятно, получается, тетки видят код, который должен прийти?
Тогда в соответствии с этим пунктом правил они могут получать ценные посылки, а клиент даже не сможет предъявить претензии? Ведь считаться будет, что код назвал клиент?
У меня было такое с пчелиным оператором — они мне без моего ведома поменяли тарифный план, о чем пришло смс, и заблокировали номер, списав средства с баланса, ртчего баланс ушел в глубокий минус и я остался без связи (и вся семья тоже — так как были привязаны другие номера)
А тп из тп уверяла, Что я сам ввел комбинацию клавиш на смартфоне (которую я не знаю), и только потом они признали, что это их сотрудник поменял без ведома.
Зная, как хвлтурно пр относится к выдаче посылок — хотят, проверят паспорт, хотят, просто так отдадут, такой способ настораживает. Хочется знать подробности
Надо было в прокуратуру еще написать. Тут надо к ответственности по 152фз привлекать. Я с таким не сталкивался, обязательно бы в прокуратуру написал и по поводу данного ответа тоже
Звоню всегда. Там автомат отвечает. Не особо ускоряет, что-то. Надо, чтобы все в очереди позвонили, наверное: но нет, крупными буквами написано, никто не звонит. Кто-то в очереди даже ржал: да как это поможет. При это не ньрав 11 цифр нателефоне (чего уж проще). Яркая иллюстрация… менталитета.
Рассказываю: безопасно вы идентификатор на девайс передали, но теперь то, что есть на девайсе, есть у пользователя.
Если это злоумышленник, то, расковыряв приложение (а это вопрос времени), он выдернет ваши идентификатор, который вы так рьяно защищаете. Т. е. поставили железную дверь, а окно закрыть забыли.
Чтобы было действительно безопасно, надо юзать Secure element — но у разных производителей он разный, могут быть разные условия доступа к нему. И не во всех NFC девайсах он есть.
Поэтому HCE — это эмуляция карты, но вопрос безопасного хранения данных — открыт. В этом плане безопасность получше, чем у em-marine, но все равно слабовата.
NFC появился во всех ios девайсах начиная с iphone 6, насколько помню.
Говорить, что его нет — неверно. Нет доступа для разработчиков, sdk закрыт. Недавно открыли возможность писать и читать ndef метки — но это не то, там нет шифрования, по сути.
Поэтому использование смартфонов — это нишевый продукт (для гостевого доступа, например), но полностью заменить карты не может.
Вся эта тяга к монструозным комбайнам ни к чему хорошему не приведет («а давайте все объединим в одном смартфоне») — остался без смартфона, остался без всего.
И как показывает практика, весь этот геморрой поддерживать зоопарк девайсов (у кого нет NFC — тому QR, у кого нет SE — тому токенизацию, у кого iOS — тому ИДУ, у кого нет… — тому ...) проще заменить выдачей всем карт.
Проблема тут в другом — доступ осуществляется по картам, которые сами по себе небезопасны (легко клонируются).
Но всех это пока устраивает, для средней организации этого достаточно: просто с улицы не зайдут, а если уже реально захотят зайти — то и безопасные карты не помогут (как в анекдоте: мне не надо бежать быстрее медведя, надо бежать быстрее тебя. между автомобилем с простой сигналкой и без нее, вор выберет, с чем меньше возиться).
И кстати, Mifare — это бренд, под которым собрана туева хуча сильно отличающихся между собой продуктов.
Mifare Plus — то название чипа, и ничего не говорит о безопасности, только о поддерживаемых протоколах, а не о том, какие там в реальности используются.
Под Mifare обычно понимают Mifare Classic — вот его действительно нельзя использовать ни при каких условиях, это зашквар. Криптопротокол легко взламывается. Плюс он проприетарен, так что в ридерах тоже должен стоят соответствующий чип.
Я за карты на чипах по исошному протоколу 14443-4 с шифрованием уровня aes с защитой от dpa, dfa атак.
Но, повторюсь, среднестатистическому заказчику это может быть не нужно, ему главное цена. Em-marine, конечно, дешевле, но считаю, что его стоимость вообще должна быть ноль.
Поскольку никакого контроля доступа сами по себе такие карты не обеспечивают — их легко клонировать.
Поэтому поставщики просто пользуются незнанием заказчиков и продолжают впаривать, по-другому не скажешь.
Гибкий эджайл — это не масло ли масляное?
Про «продумывает KPI, по которым можно было бы постоянно отслеживать приближение к цели» — можно ли поподробнее. А то я по наивности думал, что выполнение спринтов, юзер сторей и позволяет отслеживать выполнение.
Про сберджайл слышал, а у вас какой-то промсвязьбанкэджайл — с kpi и… еще чем-то там.
И еще: у вас правда все такие ответственные, самостоятельные, самоорганизующиеся?
Можете не отвечать, это был риторический вопрос
Поэтому, если злоумышленник узнает номер порта, что несложно, то он получает доступ к серверу
А вот защита ключами, даже если злоумышленнику извстен порт и протокол, предотвратит доступ к серверу
Очень важно это понимать и не путать.
Закрывать дверь на ключ и класть его под коврик в надежде, что никто не узнает — вот пример бытовой security through obscurity
Но я бы постеснялся так красочно и подробно рассказывать об очередном примере распила бюджета с помощью г… а и палок.
Видел я на выставке девайс (не этот, а уже типа, серийный) лет пять назад. Показался каким-то несуразным, а цена в 66 тыр. ужаснула.
Я просто знал, что от именитых производителей можно было увидеть девайсы не хуже функциональностью (мягко говоря) и дешевле.
Если аргументировать, что он якобы отечественный, то все мы понимаем, что отечественного там тоже не много.
Ну и еще хорошо поеазан пример системы принятия решения в госкорпорациях и госструктурах.
Некий чиновник (управленец в госструктуре) на выставке соблаговолил «дать добро».
Уверен, без четкого понимания, а решит ли девайс проблему, соответствует ли он задачам (выше уже писали, что поблема не в отсутствии клевых девайсов у обходчиков — это как с помощию эра-глонасс пытаться решить проблемы с аваарийностью, качеством дорог, отсутствием достаточно количества машин скорой помощи: сообщим об аварии, только приехать некому).
Ну и тз понятно, кто писал (без исполнителя-интегратора не обошлось)
А выставка, имхо, была ширмой, уверен, договоренности были до нее, выставка была поводом «дать добро».
Извините, если заблуждаюсь
Остается либо идти на ухищрения (ttl фикс и тп) чтобы раздавать инет с симки для смартфона — а это противоречит правилам йоты, идет непримиримая борьба: юзеры находят новые способы обхода ограничений, йота их выявляет и прикрывает лазейки.
Поэтому в моем случае остается только мегафон (только с ним иногда лте получается)
Но их тариф на 30 гигов какой-то странный: скачал фильм на 1,46 гига, а в лк минус 4,5 гига.
В общем странно они трафик считают, мягко говоря.
Автор же сообщил, что изначально у него скорости были, как в edge, но при этом сигнал 4g был?
Не понятно, получается, тетки видят код, который должен прийти?
Тогда в соответствии с этим пунктом правил они могут получать ценные посылки, а клиент даже не сможет предъявить претензии? Ведь считаться будет, что код назвал клиент?
У меня было такое с пчелиным оператором — они мне без моего ведома поменяли тарифный план, о чем пришло смс, и заблокировали номер, списав средства с баланса, ртчего баланс ушел в глубокий минус и я остался без связи (и вся семья тоже — так как были привязаны другие номера)
А тп из тп уверяла, Что я сам ввел комбинацию клавиш на смартфоне (которую я не знаю), и только потом они признали, что это их сотрудник поменял без ведома.
Зная, как хвлтурно пр относится к выдаче посылок — хотят, проверят паспорт, хотят, просто так отдадут, такой способ настораживает. Хочется знать подробности