Если XSS еще можно понять и простить — банк же, ожидаемо что там сидят студенты не слыхавшие ни о HttpOnly ни о Secure флагах для куки.
Но хранить CVV совсем уж фейл и выход из профессии.
Это ни разу не их уязвимость, а обычная проблема валидации инпута. Проблемы высосана из пальца. И упоминать в документации они не обязаны об этом, также как и писать что 2+2=4
>Многофакторность в аутентификации определяется отнесением элементов аутентификации (собственно, они и называются факторами) к одной из трех категорий
Никаких трех категорий не существует, это растиражированный миф. Любой фактор имеет свойства, например паролем вы обладаете держа в голове также как и токеном. Просто его на данный момент нельзя украсть не читая мысли. Тоже самое и с «биометрикой»
А вообще любой 2FA фигня если вы не делаете правильный out of band verification транзакций. В вашем случае для яндекс денег такое просто необходимо. Обычный пиннинг браузер приности такую же результативность.
Сказано же что запросы на уровне движений а не элементов. Это кастомный вебкит, там нет вебинспектора и тд. Это тоже указано, что клик правой кнопкой ничего не даст.
> что точно так же можно подделывать и запросы по внутреннему протоколу
Ну и как же подделать запросы которые представляют из себя «двинуть мышь» и «напечатать букву»?
>Та-же, хранимая XSS отработает в любом случае и заберёт все нужные ей данные.
если только XSS через интерфейс
>CSRF тоже отработает.
CSRF не сработает, нельзя загрузить чужой урл или делать пост запросы.
Пользователя никто тут не защищает, защищают сервер сайд.
Я толком не знаю как происходит банковский перевод но думаю что у каждого банка есть API keys к какой то общей системе, типа SWIFT, а значит если украсть эти credentials то можно со счета банка переводить деньги. Но это все не имеет смысла тк легко вернуть назад.
Биткоин сайт обезопасить тоже не сложно, правильная система с cold storage просто обязательна. Но и она не серебренная пуля. Можно нарисовав деньги на счете планомерно и хладнокровно выводить деньги частями. Я думаю взломы в будущем так и будут работать. Компрометация в январе, узнают о взломе в июне например.
>Потому что «классические» банки делают не второкурсники на каникулах.
Да, делают дипломированные специалисты, которых больше никуда не взяли.
>Классические банки берут существенный процент за операции, позволяющий им нанимать профессионалов.
Позволяющий, но они все равно их не нанимают. Зарепортить XSS или что посерьезней обычно целый квест. Вон был пост про liqpay API у приватбанка. Да надо быть полным дебилом чтобы такую кривую архитектуру сделать. Даже второкурсник это понимает. Про профессионализм банков вообще не в кассу. У связаного банка например был CSRF на обновление пароля (да и вообще везде), у тинькоф XSS, и даже не нашел способа зарепортить.
>Классический банк имеет меньше рисков, ведь безналичный перевод можно откатить, а клиенты идентифицированы по паспорту. Если банк видит в логах, что Вася Пупкин нарисовал себе миллион на счете, а потом перевел часть в другой банк, а часть снял в банкомате — то перевод возвращается, а домой к Васе приходят дяденьки, проводят обыск и изымают у Васи незаконно нажитые средства.
Вот в этом и дело. Чтобы получить чистый миллион надо сначала существенный процент на отмыв через дропов (я в этом не силен но на вскидку так же как и с украденными кредитками процентов 50+). Плюс у банков ДОФИГА антифродовых датчиков и 5 миллионов как у битштампа куда попало не переведутся.
Перевести деньги прямо в обменку без миксера например, выдать свой реальный айпи нодам и тд. Способов натупить много, но если человек знает что делает то его не отследить.
Гарантирую что нет. Во первых баги были в сторонних джемах, во вторых им нет никакого интереса на данном этапе компрометировать свою же систему. Да и украсть так можно часть а не все, чтобы украсть все надо более хитрый бэкдор оставлять.
Биткоин такая уникальная штука. Раньше взломал ты банк, потом тебе надо дропов искать, как то сделать незаметный перевод, и вообще все легко отслеживается, контролируется и даже ревертится. Ломать онлайн банки тупо невыгодно и муторно.
А вот посмотрите на битштамп. У них украли 5 миллионов баксов недавно. Все, больше их никогда не вернут, и вора никогда не вычислят (если он не полный идиот, конечно). Что делает все связанное с биткоинами очень привлекательной добычей.
Опенсорсная биржа поддерживается реальной китайской биржей yunbi.com (их код улучшенная приватная версия пеатио). Насколько я знаю пеатио используют 5-10 уже работающих обменок в разных странах.
>украинский банк
Нет, там в сессии, которая на сервере.
Но хранить CVV совсем уж фейл и выход из профессии.
Никаких трех категорий не существует, это растиражированный миф. Любой фактор имеет свойства, например паролем вы обладаете держа в голове также как и токеном. Просто его на данный момент нельзя украсть не читая мысли. Тоже самое и с «биометрикой»
А вообще любой 2FA фигня если вы не делаете правильный out of band verification транзакций. В вашем случае для яндекс денег такое просто необходимо. Обычный пиннинг браузер приности такую же результативность.
Ну и как же подделать запросы которые представляют из себя «двинуть мышь» и «напечатать букву»?
если только XSS через интерфейс
>CSRF тоже отработает.
CSRF не сработает, нельзя загрузить чужой урл или делать пост запросы.
Пользователя никто тут не защищает, защищают сервер сайд.
Биткоин сайт обезопасить тоже не сложно, правильная система с cold storage просто обязательна. Но и она не серебренная пуля. Можно нарисовав деньги на счете планомерно и хладнокровно выводить деньги частями. Я думаю взломы в будущем так и будут работать. Компрометация в январе, узнают о взломе в июне например.
Да, делают дипломированные специалисты, которых больше никуда не взяли.
>Классические банки берут существенный процент за операции, позволяющий им нанимать профессионалов.
Позволяющий, но они все равно их не нанимают. Зарепортить XSS или что посерьезней обычно целый квест. Вон был пост про liqpay API у приватбанка. Да надо быть полным дебилом чтобы такую кривую архитектуру сделать. Даже второкурсник это понимает. Про профессионализм банков вообще не в кассу. У связаного банка например был CSRF на обновление пароля (да и вообще везде), у тинькоф XSS, и даже не нашел способа зарепортить.
>Классический банк имеет меньше рисков, ведь безналичный перевод можно откатить, а клиенты идентифицированы по паспорту. Если банк видит в логах, что Вася Пупкин нарисовал себе миллион на счете, а потом перевел часть в другой банк, а часть снял в банкомате — то перевод возвращается, а домой к Васе приходят дяденьки, проводят обыск и изымают у Васи незаконно нажитые средства.
Вот в этом и дело. Чтобы получить чистый миллион надо сначала существенный процент на отмыв через дропов (я в этом не силен но на вскидку так же как и с украденными кредитками процентов 50+). Плюс у банков ДОФИГА антифродовых датчиков и 5 миллионов как у битштампа куда попало не переведутся.
А вот посмотрите на битштамп. У них украли 5 миллионов баксов недавно. Все, больше их никогда не вернут, и вора никогда не вычислят (если он не полный идиот, конечно). Что делает все связанное с биткоинами очень привлекательной добычей.
Опенсорсная биржа поддерживается реальной китайской биржей yunbi.com (их код улучшенная приватная версия пеатио). Насколько я знаю пеатио используют 5-10 уже работающих обменок в разных странах.