Мой сертификат не меняли, мне не присылали новый сертификат. «Фичу» прикрыли, подтверждаю. Прикрыли оперативно. Но прикрыли в системе.
А это, вообще ни о чем не говорит. МОгли «перевесить» права для ключа, могли поменять логику проверку ключей, могли много чего сделать. Ни Вам, ни ЯД этот пункт не добавит очков.
Теоретически это могла делать ещё пара ключей, выпущенных после нового релиза
Ну вы же явно выдираете слова. Явно ведь, что такое могло бы быть, если бы ключ сгенерировался с ошибкой. Видимо такая ошибка коснулась именно Вас. Теоретически она могла коснуться кого угодно, но это не значит что возможность была не только у Вас.
Единственный мерчант, который заметил «расширенную возможность» выданного ключа — Вы
Как мне кажется, заметил, не в том контексте, о котором говорите Вы. Заметил, в смысле не мог заметить, т.к. не было возможности это заметить. А не вы смысле получал данные, но НЕ видел что получает именно расширенные данные. Исходя из этого, остальные доводы рушатся.
Я так думаю что в личной переписке что-то было не так с димулька_9. Как мне кажется, я ничего ужасного в словах ЯД не увидел тут. Если кто-то из них вел себя странно, то я уже писал, что все хотят решить проблему, но каждый делает так как умеет. Очень хорошо что выяснили что димулька_9 не умеет этого делать. Очень хорошо, что он этого больше делать не будет. Ваша же позиция очень напоминает обиженного, на котором воду возят. Извините. Я не понимаю Вашу агрессию. С моей точки она не имеет почвы под ногами. И, я начинаю путаться в хронологии. Если проблему уже решили, то почему Вы не сказали об этом димулька_9? Или он сначала начал решать проблему, потом другие? Если проблему решили уже после того, как с Вами пообщался димулька_9, то почему вы до сих пор так агрессивны?
Сотрудник ЯД сообщил, что по их данным заметил и воспользовался только я.
Хм… Я понял иначе. Я понял что проблема именно с Вашим сертификатом. И, что бы проблема не повторилась, поменяли алгоритм генерации сертификата и Ваш сертификат. По логам видно, что такой возможности ни у кого больше не было, т.к. вы выполняли обычный запрос, с освоим сертификатом, который позволяет видеть больше других.
Блин. Есть ключ. По ключу вы идентифицируетесь. К ключу привязаны роли. Каким образом они привязаны — это другой вопрос. В выданном вами ключе были привязаны не те роли.
Анна пишет что из логов видно, что запросов содержащих расширенную инфу не было. И это логично, т.к. к другим ключам привязаны верные роли. Больше в логах они ничего не увидели.
Что не понятно то?
У меня нет ответственности за разглашение данных пользователей, которые мне попали ошибочно — я не обязан разбираться, какую информацию ваша система мне предоставляет.
Там не написано, что я не могу использовать эти данные с личных целях, верно?
Слушайте, ну Вы вот как то с одного на другое перескакиваете… Вроде говорили про неразглашение, теперь про использование. Да, в Вашем случае была ошибка с тем, что Вы можете посмотреть логи. Это плохо, но доступа к кошелькам Вы не имели. Возможность совершать транзакции от имени этих людей тоже. Вы увидели логи. Кроме Вас эти логи никто не видел. Безусловно данные могут нанести вред, если они попадут в руки мошенников. Хотя это будет не прямая угроза, а косвенная. Т.е. не снимут деньги с кошелька, а могут шантажировать, например, сомнительными покупками.
Вам объяснили что проблема только с Вами. Но Вы продолжаете наезжать на ЯД, придумывая все новые и новые причины. Извините, но я не понимаю чем мотивированно данное поведение.
На практике могут заблочить через 2-3 часа, когда вполне реально добраться до Берлина. Это прокол или, мягко выражаясь, проблема юзабилити?
Скорее бы изобрели телепортацию, тогда это вообще учитывать не придется. Или Вы скажете что телепортом пользоваться не будете, и Вам следует включить такую проверку?
Да, вроде все верно говорите. Пока не полезешь глубже.
Это примерно как сказать — своими деньгами Вы можете пользоватся только в отделении №783 нашего банка. Это МОИ деньги, и я имею право на их использование откуда захочу.
Вы же понимаете что вы и так не можете получить деньги откуда захотите? Нужен терминал, либо отделение.
Но предположим такую ситуацию. Вы снимаете деньги в Питере. И через пятнадцать минут вы снимаете деньги в Берлине. Собственно если человека в Берлине не задержат, то это прокол СБ банка. Разве нет? Так вот тут аналогично. Если вы были только что в Москве, а потом в Берлине, то логично залочить ваш счет до выяснения.
И как правильно сказал госоподин veam — именно по этому платежи карточками щас так сильно обогнали электроденьги — уходит от них народ неудобно это и геморройно.
Причины ухода банальнее, чем вы думаете. Просто деньги не надо перекладывать из одного места в другое. Вам ведь ЗП переводят сразу на этот счет, а не на ЯД. Но все мы привязываем карты к ЯД, и PayPal. Почему? Потому что как раз таки проще заплатить через PayPal или ЯД с привязанной карты, чем полностью вбивать номер карты, фамилию и CVS код, а в некоторых случаях еще и код из СМС вбивать. Так что уходят не из-за «простоты» карт. А из-за банального лень переводить в ЯД свои деньги. Но гораздо удобнее использовать ЯД (PayPal) с привязанной картой, чем просто картой.
В интернет-деньгах де-факто считается если Вы предъявили свой ID (например логин + пароль + пароль с карточки единоразовых ключей) — то Вы и сняли маску.
Как мне кажется, уже давно есть дополнительная проверка того, откуда вы пользуетесь услугой. Гугл тот же это делает очень давно, и я этому рад. Это дополнительный пункт идентификации. Если сейчас это не есть де-факто, то многие этим пользуются.
Когда дело касается денег, то анонимности нет места и все инструменты должны помогать в этом. Я имею ввиду связку банк-клиент.
Я читаю текст так:
habrahabr.ru/post/194106/#comment_6744006
Я тоже не знаком, вот только читаю этот тред.
Хм… Я понял иначе. Я понял что проблема именно с Вашим сертификатом. И, что бы проблема не повторилась, поменяли алгоритм генерации сертификата и Ваш сертификат. По логам видно, что такой возможности ни у кого больше не было, т.к. вы выполняли обычный запрос, с освоим сертификатом, который позволяет видеть больше других.
Анна пишет что из логов видно, что запросов содержащих расширенную инфу не было. И это логично, т.к. к другим ключам привязаны верные роли. Больше в логах они ничего не увидели.
Что не понятно то?
Слушайте, ну Вы вот как то с одного на другое перескакиваете… Вроде говорили про неразглашение, теперь про использование. Да, в Вашем случае была ошибка с тем, что Вы можете посмотреть логи. Это плохо, но доступа к кошелькам Вы не имели. Возможность совершать транзакции от имени этих людей тоже. Вы увидели логи. Кроме Вас эти логи никто не видел. Безусловно данные могут нанести вред, если они попадут в руки мошенников. Хотя это будет не прямая угроза, а косвенная. Т.е. не снимут деньги с кошелька, а могут шантажировать, например, сомнительными покупками.
Вам объяснили что проблема только с Вами. Но Вы продолжаете наезжать на ЯД, придумывая все новые и новые причины. Извините, но я не понимаю чем мотивированно данное поведение.
Не важно какие вам попали пользователи, важно что вы не можете разглашать инфу о этих пользователях.
Вы же понимаете что вы и так не можете получить деньги откуда захотите? Нужен терминал, либо отделение.
Но предположим такую ситуацию. Вы снимаете деньги в Питере. И через пятнадцать минут вы снимаете деньги в Берлине. Собственно если человека в Берлине не задержат, то это прокол СБ банка. Разве нет? Так вот тут аналогично. Если вы были только что в Москве, а потом в Берлине, то логично залочить ваш счет до выяснения.
Причины ухода банальнее, чем вы думаете. Просто деньги не надо перекладывать из одного места в другое. Вам ведь ЗП переводят сразу на этот счет, а не на ЯД. Но все мы привязываем карты к ЯД, и PayPal. Почему? Потому что как раз таки проще заплатить через PayPal или ЯД с привязанной карты, чем полностью вбивать номер карты, фамилию и CVS код, а в некоторых случаях еще и код из СМС вбивать. Так что уходят не из-за «простоты» карт. А из-за банального лень переводить в ЯД свои деньги. Но гораздо удобнее использовать ЯД (PayPal) с привязанной картой, чем просто картой.
Когда дело касается денег, то анонимности нет места и все инструменты должны помогать в этом. Я имею ввиду связку банк-клиент.