По-моему, никакого волшебства нет.
Для начала, попробуем ответить на вопросы:
1) можете ли вы получить банковскую карту на чужое имя, в банке, карты которого принимает ПП?
2) можете ли вы получить банковскую карту, указав неправильный адрес в банке, карты которого принимает ПП?
3) стоит ли ради возможности мошенничества с ПП менять адрес проживания, в том числе город, регион?
другими словами, превышает ли прибыль от мошенничества затраты на легальную смену адреса?
Я думаю, что вероятность положительных ответов на 1 и 2 вопрос стремится к нулю. Разумеется, она не
равна нулю, но скорее всего, такие возможности означают нечто большее, чем мошенничество, а ПП
обещает защитить только от мошенничетва. Что касается 3-го вопроса, то не будет мошенник, получивший
$500 менять адрес, ради пользования ПП, тем более, на уровне города и региона, тем более, если
его мошенничество было раскрыто и деньги у него все-таки забрали. Если же он заработал, скажем,
хотя бы $100K, да еще и при раскрытии его мошенничества, ему удалось оставить «заработанное» у
себя, то он 1 из миллиона и, конечно, имеет экономическую мотивацию сменить город, регион, даже страну
следующего пребывания с тем, чтобы повторить мошенничество. Но вероятность этого также стремится
к нулю — скорее, такое мошенничество даже не будет раскрыто.
Смена имени — более легкая проблема (для ПП), чем смена адреса. Потому, что когда вы открываете карту, вы сообщаете банку ваш текущий адрес, текущее и все прошлые имена и фамилии. И банк эту информацию может реально проверить. Если вы не имели с банком отношений ранее, то ваши предыдущие адреса он не знает, по крайней мере, не будет афишировать эти знания, в том числе перед ПП. Не уверен, но думаю весьма вероятно, что информация о предыдущих именах доступна ПП (как и другим ПОС) в той же мере, что и информация о текущем имени. То есть, узнать имя владельца по номеру карты (по крайней мере, легально) ПП не может, но проверить соответствие имени номеру — может. Например, описывает такуб транзакцию банку-эмитенту: «заблокировать $4 на счете карты № имя владельца такое-то, других имен у владельца не было, адрес такой-то». Банк знает, что другие имена у владельца были и отклоняет транзакцию. А ПП сообщает, вы возможно сообщили не все сведения, например, предыдущие имена. Таким образом, либо владелец сообщает свое имя, либо не регистрируется. Таким образом, далее считаем, что имя владельца, в том числе предыдущее (под которым было совершено мошенничество в ПП) — известно ПП.
С адресом потруднее. Задача сводится к сравнению идентичности мошенника и вновь регистрируемого пользователя, у которых имена совпадают, а адреса различны.
1) если имена совадают — это первый сигнал к тому, что возможно регистрируется мошенник (тривиально)
2) если адреса не совпадают, но совпадает город или регион, то вероятность того, что идентичность та же — резко увеличивается
3) если регистрируется менее чем через, скажем, 3 года после того как забанен мошенник с тем же именем и проживавший в том же городе — то вероятность того, что регистрируется тот же самый мошенник — почти 1
Вот и весь секрет, без всяких ИП-вдресов, куков, браузеров, операционок.
Конечно же, ПП лукавит. Вы можете преодолеть их антифрод, если:
1) вы умеете подделывать документы, которые не пробивают банки, карты которых принимает ПП
2) вы готовы потратить $1 млн на то, чтобы совершить мошенничество в $500, быть забаненым и
потратить все средства на то, чтобы доказать, что зарегистрируетесь в ПП в пику их заявлениям
3) вы — разведка Ирана, которая направит всю свою мощь, чтобы разорить вражеский ПП
Но все эти ситуации практически не применимы. И ПП ничем не рискует, делая свое заявление
>Длина блока в простейшем случае кодируется как без знаковое целое, разложенное по основанию 128
А из дальнейшего описания получается 256. Как правильно?
>у startssl free это сделано в браузере, посредством javascript
интересно, есть какие-нибудь библиотеки, или они самостоятельно реализовывали md5, sha1, rsa и т. п. Кстати, и генератор ПСЧ еще нужен, интересно его проверить на уязвимости.
Я просто спрашивал это потому, что сам в свое время реализовывал со студентами учебный проект, в котором пользователям подписывались сертификаты. Была дилемма: либо пользователи должны знать openssl (утилиту) и сами генерировать ключ, либо сервис генерирует пользователю ключ и выдает при регистрации, но тогда ключ сразу скомпрометирован. Классическая пролемы удобство vs безопасность. Тогда пришли к выводу, что компромиссный вариант — создать java applet — и пользователю удобно, и генерация на его десктопе без передачи по каналам. Альтернативные варианты — activex, flash или javascript (последние 2 — для маньяков-программистов). Однако этот вариант с java или альтернативами так и остался не реализованным…
Генерирует сам клиент, но программа генерации запускается на вашем сервере? Тогда вам ничто не мешает параллельно с выдачей закрытого ключа клиенту сохранить его у себя
Где происходит физически генерация csr? На вашем сервере? Если так, то одновременно с csr генерируется закрытый ключ. По каким каналам вы осуществляете доставку закрытого ключа?
В любом случае, даже если этот канал очень надежный, я считаю такой закрытый ключ скомпрометированным, поскольку он был доступен вышим сотрудникам
> Зачем юзеру ОС реального времени?
Вы будете смеяться: чтобы запускать задачи реального времени
А вообще ваш вопрос напоминает мне вопрос моего преподавателя в 1997 году: «Зачем Вам интернет?» Я ему так и не нашел, что ответить.
А эти вопросы можно продолжить: Зачем юзеру 4Г оперативки? Почему юзеры участвуют в гонке производительности? Почему вычислительная мощность современного смартфона больше мощности десктопа 3-5-летней давности? Зачем юзеру канал в интернет 50Гбит/с?
> Если у вас есть чем загрузить 8 ядер — вы или работаете с 3д графикой или с видео.
Нет, я работаю с вычислениями (не высокопроизводительными, но реал-тайм), не касающимися ни графики, ни видео
> А 100 паралельных потоков, каждый из которых отжирает по 0.2% процессора — на 100 ядернике вы не заметите разницу.
Заметил бы. Есть наработки по качественно новой операционке реального времени, где потоки привязаны к ядру. Вообще говоря, мне от Windows нужно очень-очень мало сервиса и хватило бы 15-20 потоков, которые реально существует. Но нет никакой возможности убрать их из операционки. И грубые расчеты показывают, что подпилить Windows будет дольше, чем дождаться адекватного числа ядер. Прямо по существу вашего замечания: почему 20% времени процессора берут 100 потокав и никак нельзя было уложить всю их работу в 1 поток — это вопрос к разработчикам ОС, но я с этим ничего поделать не могу. А вот мой поток, загружающий ядро пусть даже «всего» на 50%, могут прервать, и тогда весь мой реал-тайм летит к черту.
Вообще, по отдельному ядру на каждый поток — это качетсвенно иное планирование. Главное, что производительность приложений становится управляемой, и у меня не болит голова о том, что запустив новое приложение я заторможу уже ранее запущенные. А такое кочественное изменение подвинет и тех разработчиков, которые сейчас плодят потоки на более оптимальный расход ядер.
А я бы взял на десктопе не только 8 ядер, но и 128, но не беру только из-за цены. И у меня есть чем их загрузить. Кстати, около 100 параллельных потоков выполняется в типичной современной операционке и очень интересно посмотреть, как будет вести себя система, когда под каждый поток будет отдельное ядро и вообще не будет переключений (это уже второй вариант чем их загрузить)
Что касается смартфонов, то не важно, глупый юзер или умный: если между 2 и 4 ядрами будет разница в цене 10% будут брать 4 ядра. Опять же, маркетологи хороша знают свое дело и могут работать и на умных пользователей. Например, чтобы распродать 8-ядерные смартфону будут выпускать какой-нибудь новый LTE только на 8-ядерных. А на 4-ядерных останутся только 3G и какой-нибудь старый LTE. Вот и получится, что покупать будут из-за LTE (ну или какой-нибудь другой фишки, LTE это так, для примера), а в нагрузку брать еще и 8 ядер и платить, в основном, за последние
«мало коинов» — все равно больше нуля. Если нет эмиссии, то прямо выполняется закон Ломоносова: в одном месте прибыло, значит где-то в другом месте убыло. Чтобы кому-то отдать деньги за хотьбу нужно у другого за что-то их забрать.
Можно подойти к этому же вопросу с другой стороны. Если нет эмиссии, то количество коинов конечно, например, равно N. Если число жителей 2N, то у половины гарантированно нет коинов. Если число жителей возрастает до 100N, то у 99% нет коинов
А мне ситуация представляется принципиально иной. Производители могут делать телевизоры без алгоритма Эпла и не платить патентных отчислений. А если я на компакт-диск пишу фильм Тарантино, то должен заплатить Михалкову.
Тема инфляции не раскрыта. Создается впечатление, что автору просто очень хочется, чтобы ее не было, но описанное — просто детский лепет. Оплачивать каждое хождение при том, что коины не эмитируются — не возможно. Лучше тогда сразу начать с того, что всех ресурсво стало неограниченное количество, тогда вообще экономика как наука к этому миру уже не применима, в том числе и понятие инфляции.
Для начала, попробуем ответить на вопросы:
1) можете ли вы получить банковскую карту на чужое имя, в банке, карты которого принимает ПП?
2) можете ли вы получить банковскую карту, указав неправильный адрес в банке, карты которого принимает ПП?
3) стоит ли ради возможности мошенничества с ПП менять адрес проживания, в том числе город, регион?
другими словами, превышает ли прибыль от мошенничества затраты на легальную смену адреса?
Я думаю, что вероятность положительных ответов на 1 и 2 вопрос стремится к нулю. Разумеется, она не
равна нулю, но скорее всего, такие возможности означают нечто большее, чем мошенничество, а ПП
обещает защитить только от мошенничетва. Что касается 3-го вопроса, то не будет мошенник, получивший
$500 менять адрес, ради пользования ПП, тем более, на уровне города и региона, тем более, если
его мошенничество было раскрыто и деньги у него все-таки забрали. Если же он заработал, скажем,
хотя бы $100K, да еще и при раскрытии его мошенничества, ему удалось оставить «заработанное» у
себя, то он 1 из миллиона и, конечно, имеет экономическую мотивацию сменить город, регион, даже страну
следующего пребывания с тем, чтобы повторить мошенничество. Но вероятность этого также стремится
к нулю — скорее, такое мошенничество даже не будет раскрыто.
Смена имени — более легкая проблема (для ПП), чем смена адреса. Потому, что когда вы открываете карту, вы сообщаете банку ваш текущий адрес, текущее и все прошлые имена и фамилии. И банк эту информацию может реально проверить. Если вы не имели с банком отношений ранее, то ваши предыдущие адреса он не знает, по крайней мере, не будет афишировать эти знания, в том числе перед ПП. Не уверен, но думаю весьма вероятно, что информация о предыдущих именах доступна ПП (как и другим ПОС) в той же мере, что и информация о текущем имени. То есть, узнать имя владельца по номеру карты (по крайней мере, легально) ПП не может, но проверить соответствие имени номеру — может. Например, описывает такуб транзакцию банку-эмитенту: «заблокировать $4 на счете карты № имя владельца такое-то, других имен у владельца не было, адрес такой-то». Банк знает, что другие имена у владельца были и отклоняет транзакцию. А ПП сообщает, вы возможно сообщили не все сведения, например, предыдущие имена. Таким образом, либо владелец сообщает свое имя, либо не регистрируется. Таким образом, далее считаем, что имя владельца, в том числе предыдущее (под которым было совершено мошенничество в ПП) — известно ПП.
С адресом потруднее. Задача сводится к сравнению идентичности мошенника и вновь регистрируемого пользователя, у которых имена совпадают, а адреса различны.
1) если имена совадают — это первый сигнал к тому, что возможно регистрируется мошенник (тривиально)
2) если адреса не совпадают, но совпадает город или регион, то вероятность того, что идентичность та же — резко увеличивается
3) если регистрируется менее чем через, скажем, 3 года после того как забанен мошенник с тем же именем и проживавший в том же городе — то вероятность того, что регистрируется тот же самый мошенник — почти 1
Вот и весь секрет, без всяких ИП-вдресов, куков, браузеров, операционок.
Конечно же, ПП лукавит. Вы можете преодолеть их антифрод, если:
1) вы умеете подделывать документы, которые не пробивают банки, карты которых принимает ПП
2) вы готовы потратить $1 млн на то, чтобы совершить мошенничество в $500, быть забаненым и
потратить все средства на то, чтобы доказать, что зарегистрируетесь в ПП в пику их заявлениям
3) вы — разведка Ирана, которая направит всю свою мощь, чтобы разорить вражеский ПП
Но все эти ситуации практически не применимы. И ПП ничем не рискует, делая свое заявление
А из дальнейшего описания получается 256. Как правильно?
считают
интересно, есть какие-нибудь библиотеки, или они самостоятельно реализовывали md5, sha1, rsa и т. п. Кстати, и генератор ПСЧ еще нужен, интересно его проверить на уязвимости.
В любом случае, даже если этот канал очень надежный, я считаю такой закрытый ключ скомпрометированным, поскольку он был доступен вышим сотрудникам
openssl.exe
Вы будете смеяться: чтобы запускать задачи реального времени
А вообще ваш вопрос напоминает мне вопрос моего преподавателя в 1997 году: «Зачем Вам интернет?» Я ему так и не нашел, что ответить.
А эти вопросы можно продолжить: Зачем юзеру 4Г оперативки? Почему юзеры участвуют в гонке производительности? Почему вычислительная мощность современного смартфона больше мощности десктопа 3-5-летней давности? Зачем юзеру канал в интернет 50Гбит/с?
Нет, я работаю с вычислениями (не высокопроизводительными, но реал-тайм), не касающимися ни графики, ни видео
> А 100 паралельных потоков, каждый из которых отжирает по 0.2% процессора — на 100 ядернике вы не заметите разницу.
Заметил бы. Есть наработки по качественно новой операционке реального времени, где потоки привязаны к ядру. Вообще говоря, мне от Windows нужно очень-очень мало сервиса и хватило бы 15-20 потоков, которые реально существует. Но нет никакой возможности убрать их из операционки. И грубые расчеты показывают, что подпилить Windows будет дольше, чем дождаться адекватного числа ядер. Прямо по существу вашего замечания: почему 20% времени процессора берут 100 потокав и никак нельзя было уложить всю их работу в 1 поток — это вопрос к разработчикам ОС, но я с этим ничего поделать не могу. А вот мой поток, загружающий ядро пусть даже «всего» на 50%, могут прервать, и тогда весь мой реал-тайм летит к черту.
Вообще, по отдельному ядру на каждый поток — это качетсвенно иное планирование. Главное, что производительность приложений становится управляемой, и у меня не болит голова о том, что запустив новое приложение я заторможу уже ранее запущенные. А такое кочественное изменение подвинет и тех разработчиков, которые сейчас плодят потоки на более оптимальный расход ядер.
Что касается смартфонов, то не важно, глупый юзер или умный: если между 2 и 4 ядрами будет разница в цене 10% будут брать 4 ядра. Опять же, маркетологи хороша знают свое дело и могут работать и на умных пользователей. Например, чтобы распродать 8-ядерные смартфону будут выпускать какой-нибудь новый LTE только на 8-ядерных. А на 4-ядерных останутся только 3G и какой-нибудь старый LTE. Вот и получится, что покупать будут из-за LTE (ну или какой-нибудь другой фишки, LTE это так, для примера), а в нагрузку брать еще и 8 ядер и платить, в основном, за последние
Можно подойти к этому же вопросу с другой стороны. Если нет эмиссии, то количество коинов конечно, например, равно N. Если число жителей 2N, то у половины гарантированно нет коинов. Если число жителей возрастает до 100N, то у 99% нет коинов