Мой сценарий - не самый очевидный. Факт. Но ведь ещё можно придумать кучу сценариев вида попал на пол года / год в больницу, оператор перепродал номер телефона по причине бездействия. И понеслась... И там последствия уже ощутимо больнее могут быть.
О... это уже проблема посерьёзнее чем в описанной мной ситуации. Если в моём случае это больше похоже на неудобство, то в вашем это уже по сути уязвимость.
Сбер тут как пример из того, что мне попалось на днях буквально. Проблема может быть у кого угодно если SSO внедрять бездумно / не просчитав возможные пользовательские сценарии.
Кстати интересно, а если вообще не иметь телефона, как такой сценарий должен выглядеть? :-/ Между 4 и 5 шагом добавится шаг "Купите телефон и оформите сим карту"? :-/
Есть две системы. Есть два различных пользователя. В рамках каждой системы данные пользователь + номер валидны. Но при введении SSO в двух системах получаем коллизию. Почему в данной схеме SSO не при чём?
Подпишусь под каждым словом
Мой сценарий - не самый очевидный. Факт. Но ведь ещё можно придумать кучу сценариев вида попал на пол года / год в больницу, оператор перепродал номер телефона по причине бездействия. И понеслась... И там последствия уже ощутимо больнее могут быть.
О... это уже проблема посерьёзнее чем в описанной мной ситуации. Если в моём случае это больше похоже на неудобство, то в вашем это уже по сути уязвимость.
В обоих системах были валидные в рамках каждой системы данные. Невалидными они стали после того как их слили в одну учётку.
Все было валидно пока они две разных учётки не слили в одну :)
Сбер тут как пример из того, что мне попалось на днях буквально. Проблема может быть у кого угодно если SSO внедрять бездумно / не просчитав возможные пользовательские сценарии.
Кстати интересно, а если вообще не иметь телефона, как такой сценарий должен выглядеть? :-/ Между 4 и 5 шагом добавится шаг "Купите телефон и оформите сим карту"? :-/
Приму к сведению. Это мой первый опыт написания статьи на хабр. Поэтому так коряво получилось :)
Так об этом и речь. Именно по этому заголовок содержит слова "бездумно использовать SSO" :)
Так речь именно об этом. Не о том что SSO плохо само по себе. А о том, что его внедряют бездумно :)
Именно.
Есть две системы. Есть два различных пользователя. В рамках каждой системы данные пользователь + номер валидны. Но при введении SSO в двух системах получаем коллизию. Почему в данной схеме SSO не при чём?
SSO в данном случае при чём. Смысл в том, что если его тащить во все сервисы бездумно - могут быть неожиданные коллизии.
Во-первых не левому. Во-вторых не давал, а регистрировал человека по генеральной доверенности.
Охъ... жесть какая...
А ростелеком утверждает, что они ничего не блокируют и шлёт в пешее эротическое.
Ага... работал работал, а потом вдруг перестал. Причём не на всех провайдерах, а только на вполне вполне конкретных.
Они уже блокировали.
Должен. Но не оправдает.
Аналогично. Все как описано в статье. После пользования банками ру минут через 15 начинается спам.