Ну тогда ведь должны знать, и как их обычно решают, вводя, как и в случае пароля, какой-то второй фактор. Т.е. биометрия вместе с паролем работают приемлемо, а вот биометрия вместо пароля при отсутствии физического контроля — сомнительно. Тут ведь проблема не столько с биометрией, сколько вообще с ситуацией потери контроля над телефоном, на который вы собрали оба фактора.
Кстати, и если я правильно представляю, как была решена проблема (поскольку вряд ли за тот час, что все исправлялось, можно было радикально перелопатить архитектуру), запросы от браузера действительно идут по открытому http, в случае перехвата которого атаку опять можно будет воспроизвести, добавив во взламывающее приложение функциональность wireshark (понятно, что времени на это уйдет еще больше и успеть будет сложнее)?
Только в случае телефона с TouchID вторым фактором вместо пин-кода становится палец владельца, так что теперь будет очень легко воспользоваться айфоном подвыпившего уставшего коллеги, чтобы зайти в его аккаунт, не зная пароль.
Вообще данные по битриксу демонстрируют ровно то, что на практике его тяжеловесность не становится преградой для значительного числа пользователей, которые все-таки догадываются не ставить его на дохлые VDS. Т.е. в среднем температура по этой больнице вполне приличная.
Точности картине добавила бы дополнительная гистограммка столбиков на пять по каждой CMS, показывающая, как эта средняя температура была получена — легли ли результаты кучно, или действительно есть пачка тормозящих пробников, компенсирующихся пачкой SSD.
Я только не совсем понимаю, почему официальные комментарии Яндекса к случившемуся выкладываются в комментариях к постам на сторонних ресурсах и рассылаются по почте авторам статей/заметок на эту тему, а не вывешиваются крупными буквами в красной рамке на самом Яндексе. Поскольку любая версия 1.1.5 с отключенным автообновлением — это бомба с замедленным действием, которая сработает, как только пользователь решит снести ее, не обновляя.
Если верить этому калькулятору, 2% получаются чуть выгодней 6 за счет индексации страховой части. Если же исходить из того, что государство всегда найдет, где обмануть, то действительно стоит подумать о переходе в НПФ, а не возиться с этими процентами.
С TouchID, конечно, вопрос религиозный.
Кстати, и если я правильно представляю, как была решена проблема (поскольку вряд ли за тот час, что все исправлялось, можно было радикально перелопатить архитектуру), запросы от браузера действительно идут по открытому http, в случае перехвата которого атаку опять можно будет воспроизвести, добавив во взламывающее приложение функциональность wireshark (понятно, что времени на это уйдет еще больше и успеть будет сложнее)?
подвыпившегоуставшего коллеги, чтобы зайти в его аккаунт, не зная пароль.Точности картине добавила бы дополнительная гистограммка столбиков на пять по каждой CMS, показывающая, как эта средняя температура была получена — легли ли результаты кучно, или действительно есть пачка тормозящих пробников, компенсирующихся пачкой SSD.