Грубо говоря следующие действия:
1) от имени юзера происходит операция, запрашивается OTP на нее
2) на телефон юзера приходит сообщение «Перевод XXX рублей на счет ZZZZ, если вы подтверждаете это, используйте код YYYY
3) пользователь не читает, вводит YYYY
4) система в банке проверяет, имел ли дело данный пользователь с этим счетом, если нет — генерит еще один OTP
5) приходит еще одна смс — вы не разу не работали с данным счетом и действительно хотите перевести на него XXX рублей? Для подтверждения используйте код CCCC
На второй раз пользователь очень вероятно, что поглядит текст СМС. Это не панаяцея, но думается, что большинство людей не попадутся.
Главное, что сообщение об отсутствии взаимодействия с данным счетом приходило именно вторым, не первым. Первое никогда не читают.
Ну да, только вот степень залипания будет разной :)
Ну и согласитесь, что чем быстрее сервак избавляется от бота — тем меньше он залипает.
DOS разный бывает, бывает кроме него просто флуд.
а к Автору:
А если честно все это — даже не велосипед, это костылестроение.
В случае определения что зашел бот — нужно как можно более быстро и с минимальным количеством ресурсов избавиться от него, а не пытаться использовать. Иначе сервак захлебнется при флуде или досе.
Обычно сообщается IP антифлудеру вместе с датой (чтобы обновить / продлить бан ) и выходится, усе — в следующий раз оно не пройдет. Просто при бане по IP (если он есть) есть риск забанить прокси, через которую сидят кроме бота и невинные пользователи, по этому бан обычно по времени или есть возможность выхода из него при нормальной активности.
Иногда можно репортить IP/хэш от всего, к чему можно привязаться у пользователя (UserAgent, система и т.д.) — это помогает делать бан более избирательным и гибким.
Мой Вам совет разобраться во всем этом, прежде чем «картины писать». Ибо у Вас велосипедостроение + непонимание как что работает и как нужно = костылестроение (ибо свой велосипед далеко не всегда плохо, а вот велосипед без понимания — это костылище).
И не в обиду Вам будет сказано — я бы гнал таких вот любителей натюрмортов из команды поганой метлой.
Господа, а как получилось что PIN/TAN/OTP от одной операции у Вас подходит к другой операции?
Ну и в СМС можно сразу открытым текстом писать «перевод денег с вашего счета на Васю Пупкина» + в случае, если идет перевод денег на счет ранее никогда не используемый владельцем, дополнительно что-то делать — запрашивать еще одно подтверждение и т.д.
Пример: для несвязанных переводов (т.е. куда пользователь никогда не платил, и не известных системе (это не ерц, или там известные телекомы) — запрашивать доп. OTP ну и все.
Если я каким-либо образом залил скрипт к вам на сайт и смог выполнить его — я смогу вытащить весь сайт, включая все переменные окружения, а потом уж разобраться, как вытащить пароль для БД — дело 5 минут. Мало того — я даже разбираться не буду — найду, где выполняется SQL и засуну туда дамп. Причем, для запуска скрипта вообще не надо создавать какие-то доп. файлы — можно исполнить «на лету», либо модифицировать существующее.
Если я смог скомпромитировать хостера, или как-то по другим образом получил доступ до FTP — все получается тоже самое, за исключением переменных среды.
Переименовывать файлы, криптовать пароль БД в случае получения доступа к исполнению или FTP — совершенно бесполезно и господин grayfolk абсолютно прав.
Все это называется security through obscurity и у хаккера вызывает лишь улыбку, при получении контроля FS или исполнения.
:D Когда мы их продавали — один нам сдали по гарантии, и производитель обменял на новый, не затребовав старый — мы его и разобрали, но фоткать никто не удосуживался — ибо было детское «ой, а что там внутри?»
Кстати там сдох проц (уж не знаю каким образом).
А который всегда со мной — он опечатан и на гарантии, ибо служебный. Но запрос понял, и если удастся уболтать разобрать — фотки выложу.
Мы разбирали, но не фоткали. да стандартно все — детектор — его видно если снять заднюю крышку — он во всю длину устройства. На плате проц, усилитель, пьезпищалка да экран. Ничего нового и сверхъестественного ))
А можно еще вопрос?
Про размер и автономность Вы точно вне конкуренции.
А можно сделать сравнение с SMG-1 в плане чувствительности?
Там, если мне не изменяет память — СБМ-20/1, большенький такой.
Хехе ) Мы же тут про дозиметры говорим? Да? Так вот я сравнивал измеряемые характеристики — т.е. детект гаммы, бетты и т.д. и ну ни как уж не емкость аккума :D
Такой вариант с таким количеством автономки и размеров — только здесь.
Сам пользуюсь SMG-1, но там и размер другой и датчик поболе. Можете с ним сравнить, если интересно. Ориентировочная цена в рознице по Москве 5000-6000 р.
Просто когда юзали СБМ-21 для детекторов для станков, помню, что человек, их нам привозивший сказал, что они «малочувствительны к низкоэнергетическому гамма-излучению и почти не реагируют на бету» и советовал какие-то «торцевые счетчики» — мы их так и не увидели, к сожалению :/
Ценник адекватен. Проверить очень просто — идете на али и набираете там dosimeter — нормальные в районе 8000 р. Так что господа по очень хорошей цене продают.
Вопрос только в том, можно ли купить напрямую от производителя и чуть дешевле, а не через dadget — их ценовая политика мне совершенно не нравится.
И еще раз, вопрос к создателям — что все-таки с бетой? Обычной, не жесткой? Детектит?
Однако это все еще не повод отжимать группу у него, не так ли?
И, вообще, ЧЕМ думали сотрудники компании, работая на ЧАСТНУЮ группу?
Ну а коль работали, нехрен щас пинять на создателя. Он имел право делать все что хочет. А Вы благодарны ему должны быть за лояльность пользователей, которую в тот момент он Вам дал и которую сейчас компания благополучно просрала.
Господа, если Вы действительно охреневаете от действий дрвеба и их отдела SMM —
можно написать сюда support.drweb.ru/new/feedback либо сюда pr@drweb.com — явно кто-то еще прочтет и может быть будет адекватная реакция.
1) от имени юзера происходит операция, запрашивается OTP на нее
2) на телефон юзера приходит сообщение «Перевод XXX рублей на счет ZZZZ, если вы подтверждаете это, используйте код YYYY
3) пользователь не читает, вводит YYYY
4) система в банке проверяет, имел ли дело данный пользователь с этим счетом, если нет — генерит еще один OTP
5) приходит еще одна смс — вы не разу не работали с данным счетом и действительно хотите перевести на него XXX рублей? Для подтверждения используйте код CCCC
На второй раз пользователь очень вероятно, что поглядит текст СМС. Это не панаяцея, но думается, что большинство людей не попадутся.
Главное, что сообщение об отсутствии взаимодействия с данным счетом приходило именно вторым, не первым. Первое никогда не читают.
Если так, то я не правильно понял ситуацию.
В этом случае спасает сообщение + двойное подтверждение, ибо врядли до этого юзер имел дело с аккаунтом данного мистера.
Есть еще одна штука, почему не читают сообщения с OTP — очень часто они засраны рекламой, если этого не было — пользователи были бы более внимательны.
Ну и согласитесь, что чем быстрее сервак избавляется от бота — тем меньше он залипает.
DOS разный бывает, бывает кроме него просто флуд.
а к Автору:
А если честно все это — даже не велосипед, это костылестроение.
В случае определения что зашел бот — нужно как можно более быстро и с минимальным количеством ресурсов избавиться от него, а не пытаться использовать. Иначе сервак захлебнется при флуде или досе.
Обычно сообщается IP антифлудеру вместе с датой (чтобы обновить / продлить бан ) и выходится, усе — в следующий раз оно не пройдет. Просто при бане по IP (если он есть) есть риск забанить прокси, через которую сидят кроме бота и невинные пользователи, по этому бан обычно по времени или есть возможность выхода из него при нормальной активности.
Иногда можно репортить IP/хэш от всего, к чему можно привязаться у пользователя (UserAgent, система и т.д.) — это помогает делать бан более избирательным и гибким.
Мой Вам совет разобраться во всем этом, прежде чем «картины писать». Ибо у Вас велосипедостроение + непонимание как что работает и как нужно = костылестроение (ибо свой велосипед далеко не всегда плохо, а вот велосипед без понимания — это костылище).
И не в обиду Вам будет сказано — я бы гнал таких вот любителей натюрмортов из команды поганой метлой.
Ну и в СМС можно сразу открытым текстом писать «перевод денег с вашего счета на Васю Пупкина» + в случае, если идет перевод денег на счет ранее никогда не используемый владельцем, дополнительно что-то делать — запрашивать еще одно подтверждение и т.д.
Пример: для несвязанных переводов (т.е. куда пользователь никогда не платил, и не известных системе (это не ерц, или там известные телекомы) — запрашивать доп. OTP ну и все.
Если я каким-либо образом залил скрипт к вам на сайт и смог выполнить его — я смогу вытащить весь сайт, включая все переменные окружения, а потом уж разобраться, как вытащить пароль для БД — дело 5 минут. Мало того — я даже разбираться не буду — найду, где выполняется SQL и засуну туда дамп. Причем, для запуска скрипта вообще не надо создавать какие-то доп. файлы — можно исполнить «на лету», либо модифицировать существующее.
Если я смог скомпромитировать хостера, или как-то по другим образом получил доступ до FTP — все получается тоже самое, за исключением переменных среды.
Переименовывать файлы, криптовать пароль БД в случае получения доступа к исполнению или FTP — совершенно бесполезно и господин grayfolk абсолютно прав.
Все это называется security through obscurity и у хаккера вызывает лишь улыбку, при получении контроля FS или исполнения.
Кстати там сдох проц (уж не знаю каким образом).
А который всегда со мной — он опечатан и на гарантии, ибо служебный. Но запрос понял, и если удастся уболтать разобрать — фотки выложу.
Про размер и автономность Вы точно вне конкуренции.
А можно сделать сравнение с SMG-1 в плане чувствительности?
Там, если мне не изменяет память — СБМ-20/1, большенький такой.
Такой вариант с таким количеством автономки и размеров — только здесь.
Сам пользуюсь SMG-1, но там и размер другой и датчик поболе. Можете с ним сравнить, если интересно. Ориентировочная цена в рознице по Москве 5000-6000 р.
Вопрос только в том, можно ли купить напрямую от производителя и чуть дешевле, а не через dadget — их ценовая политика мне совершенно не нравится.
И еще раз, вопрос к создателям — что все-таки с бетой? Обычной, не жесткой? Детектит?
Это не Вам упрек, это упрек компании.
P.S. сейчас на стене в vk комменты трут со скростью света, вот такая вот компания, веселая :)
И, вообще, ЧЕМ думали сотрудники компании, работая на ЧАСТНУЮ группу?
Ну а коль работали, нехрен щас пинять на создателя. Он имел право делать все что хочет. А Вы благодарны ему должны быть за лояльность пользователей, которую в тот момент он Вам дал и которую сейчас компания благополучно просрала.
можно написать сюда support.drweb.ru/new/feedback либо сюда pr@drweb.com — явно кто-то еще прочтет и может быть будет адекватная реакция.