Считаю, что вы сгущаете краски. Согласно вашей логики, тогда делать ничего не нужно? Ради доступа в личный кабинет, нужно как в Ощадбанке, пойти написать письменное заявление исключительно в отделение, в котором выдавалась карта.
Вы забываете, что банки очень жестко контролируются НБУ. Погуглите, сколько кругов ада нужно пройти для получения сертификации от НБУ и как легко ее потерять. И да, девочка из Жмеринки несет ответственность.
В первом случае - вопрос к проектировщикам приложения, которые выбрали для верификации документа столь уязвимый способ.
Прежде чем быть голословным, почитайте про саму технологию прежде - https://bankid.org.ua
Тех кто подал и нашёл - культурно так "послали"... А министр и вся его команда поблокировали везде, в ответ на комментарии.
Можно подробней, пожалуйста? Кого послали, при каких обстоятельствах? Если "послали", почему уязвимости в паблик не пошли? С удовольствием бы почитал хорошую техническую статью с подробностями.
Статья больше похожа на истерику, нежели хоть на что-нибудь конкретное.
И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.
Технология BankID, которая используется при авторизации в Дия (как один из вариантов) как раз и рассчитана на удаленную аутентификацию пользователя. То, что мошенники по поддельным документам смогли пройти верификацию с помощью видеозвонка - вопрос к процессу верификации, а не к приложению Дия, которая опирается на BankID.
То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.
Для чего государству просить регистрацию пользователей, база которых у него уже есть? Государство должно знать своих граждан, остается вопрос лишь в авторизации/верификации. Приложение - лишь интерфейс для доступа к уже существующим реестрам, процесс регистрации пройден при вашем рождении или при передачи данных банкам.
Процитируя его: «Мы получил аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.
...
Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?
Приложение и портал - разные сервисы.
Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.
Так чего же вы не подали заявку и не нашли все критические уязвимости, коих по вашим заверениям, там просто уйма?
27 июля должен был начаться второй этап баг баунти, открытый для всех.
Почему авторизация выполняется только с помощью номера телефона?
Не только. Авторизация происходит через BankID - пользователь должен иметь доступ в приложение банка (который работает с BankID, а соответственно, соответствуют требованиям для работы с технологией).
Как гражданин страны, должен отметить, что продукты Минцифры - это пока лучшее, что я видел из сервисов государства. Идеальны ли? Нет. Но результат их работы невозможно не заметить.
Чуть больше месяца назад я стал папой, уже успел опробовать одну очень полезную услугу под названием "єМалятко". Примерно за 1 час я заполнил форму для получения 9 различных услуг. В течении недели получил уведомления о регистрации ребенка во всех нужных реестрах и о готовности свидетельства о рождении. Еще год назад мне бы пришлось потратить несколько рабочих дней, обивая пороги целой кучи различных гос. структур (со всем спектром полагающихся эмоций при этом).
Мы смирились с тем, что поломанное ПО — это нормально. Даже когда мы пишем автоматизированные тесты, которые не делают ничего, кроме проверки того, что что-то сломалось.
Нет, как уже писал выше, ценник может только принимать, ничего в БД он не отправляет.
Вопрос в другом, есть ли система аутентификации, может токены какие-нибудь в запрос от БД? Если нет, то теоретически, ничего не мешает прийти со своим программатором и поменять цену.
Но, это чисто теоретический вопрос. Если сопоставить сложность реализации (нужно знать частоту, знать точную структуру запроса на изменение цены) и цену реализации системы аутентификации, то получится, что в ней особого смысла то и нет. Только сумасбродный гик захочет такое провернуть, получить хоть сколь-либо существенную финансовую выгоду при таком векторе атаки, будет очень сложно.
Спасибо за подробный мануал! Буквально недавно внедрял traefik в эко-систему для локальной разработки проекта, был вынужден собирать информацию по крупицам. На первый взгляд официальная документация вполне подробная, но когда начинаешь вникать подробней понимаешь, что как-то странно сгруппирована, возникает много вопросов.
Вопрос по поводу самоподписанных SLL сертификатов. Существует ли способ заставить актуальную версию Google Chrome доверять такому сертификату и подсвечивать его "зеленым"? Как не пытался гуглить, но так и не смог найти четкого ответа, а все инструкции относились к устаревшим версиям.
А может кто-нибудь поделиться своим мнением по поводу целесообразности использования Swoole/RoadRunner? Про принципы работы я почитал, некую картину себе обрисовал, но хотелось бы реального фидбека от людей, которые перешли на них с php-fpm.
В каких случаях игра реально стоит свеч? Какие реальные основные преимущества вы для себя подметили?
Использование Tailwind JIT-компилятора с Laravel Mix
Вижу один потенциальный минус в этом — в браузере перестанут быть доступными классы, которые не попали в билд. Во время разработки бывает очень удобно накидать классы в браузере и уже потом перенести их в код.
В тексте используются скриншоты некой внешней системы управления переводами, где-то есть готовые решения? Или подразумевается, что можно просто самому написать такой сервис?
В статье данные пользователя прокидываются внутрь контейнера, чтобы иметь возможность редактировать файлы с хоста и дать доступ php-fpm обрабатывать их при запросе (в контейнере). Не могу смекнуть, как именно можно решить эту же задачу через ключ user в docker-compose. Если идея в том, что бы при старте создавать пользователя и запускать php-fpm от его имени, тогда вопрос: как получить доступ к значение ключа user где-то в entrypoint?
А можно пример реализации через docker-compose, пожалуйста? Как-то через entrypoint при каждом старте создавать нового пользователя в контейнере или как?
Как мне кажется, здесь сходятся два фактора: стоимость знаний по восстановлению + готовность людей платить за восстановление необходимой информации.
Достаточно сложно стать успешным специалистом по DR, требуется опыт, который, в свою очередь, тоже не так легко получить. А потратив несколько лет на получение опыта, хочется уже получать за это достойную плату.
У меня ThinkPad X1 Carbon 6th Gen + Ubuntu 20.04. Изначально использовал хак — https://github.com/erpalma/throttled. Но в начале этого года вышла новая версия нативного thermald, в которой уже исправили этот баг. Сейчас работаю с thermald 1.9.1, проблем с троттлингом нет.
Управление SSH соединениями со специальным инструментом nccm
Уже года 2 пользуюсь вот этим менеджером — sshch.
В среднем имею порядка 15 сохраненных соединений, разбитых по разным группам. Тулзой доволен, рекомендую всем любителям CLI.
Если кто-то пользуется еще чем-то подобным, кидайте варианты, всегда интересно осматриваться вокруг :)
Считаю, что вы сгущаете краски. Согласно вашей логики, тогда делать ничего не нужно? Ради доступа в личный кабинет, нужно как в Ощадбанке, пойти написать письменное заявление исключительно в отделение, в котором выдавалась карта.
Вы забываете, что банки очень жестко контролируются НБУ. Погуглите, сколько кругов ада нужно пройти для получения сертификации от НБУ и как легко ее потерять. И да, девочка из Жмеринки несет ответственность.
Прежде чем быть голословным, почитайте про саму технологию прежде - https://bankid.org.ua
Можно подробней, пожалуйста? Кого послали, при каких обстоятельствах? Если "послали", почему уязвимости в паблик не пошли? С удовольствием бы почитал хорошую техническую статью с подробностями.
Статья больше похожа на истерику, нежели хоть на что-нибудь конкретное.
Технология BankID, которая используется при авторизации в Дия (как один из вариантов) как раз и рассчитана на удаленную аутентификацию пользователя. То, что мошенники по поддельным документам смогли пройти верификацию с помощью видеозвонка - вопрос к процессу верификации, а не к приложению Дия, которая опирается на BankID.
Для чего государству просить регистрацию пользователей, база которых у него уже есть? Государство должно знать своих граждан, остается вопрос лишь в авторизации/верификации. Приложение - лишь интерфейс для доступа к уже существующим реестрам, процесс регистрации пройден при вашем рождении или при передачи данных банкам.
Приложение и портал - разные сервисы.
Так чего же вы не подали заявку и не нашли все критические уязвимости, коих по вашим заверениям, там просто уйма?
27 июля должен был начаться второй этап баг баунти, открытый для всех.
Не только. Авторизация происходит через BankID - пользователь должен иметь доступ в приложение банка (который работает с BankID, а соответственно, соответствуют требованиям для работы с технологией).
Как гражданин страны, должен отметить, что продукты Минцифры - это пока лучшее, что я видел из сервисов государства. Идеальны ли? Нет. Но результат их работы невозможно не заметить.
Чуть больше месяца назад я стал папой, уже успел опробовать одну очень полезную услугу под названием "єМалятко". Примерно за 1 час я заполнил форму для получения 9 различных услуг. В течении недели получил уведомления о регистрации ребенка во всех нужных реестрах и о готовности свидетельства о рождении. Еще год назад мне бы пришлось потратить несколько рабочих дней, обивая пороги целой кучи различных гос. структур (со всем спектром полагающихся эмоций при этом).
Да, у автора неточность. На самом деле добавляются разные пользователи в разные миддлвари.
Откуда берется
ADMIN/USER-PASSWORD-OUTPUTрассказывается на предыдущем шаге.Вы не уловили суть ;)
Простите, а что они еще должны за вас делать?
Нет, как уже писал выше, ценник может только принимать, ничего в БД он не отправляет.
Вопрос в другом, есть ли система аутентификации, может токены какие-нибудь в запрос от БД? Если нет, то теоретически, ничего не мешает прийти со своим программатором и поменять цену.
Но, это чисто теоретический вопрос. Если сопоставить сложность реализации (нужно знать частоту, знать точную структуру запроса на изменение цены) и цену реализации системы аутентификации, то получится, что в ней особого смысла то и нет. Только сумасбродный гик захочет такое провернуть, получить хоть сколь-либо существенную финансовую выгоду при таком векторе атаки, будет очень сложно.
Вопросы по JavaScript у вас, мягко говоря, неинтересные.
Спасибо за подробный мануал! Буквально недавно внедрял traefik в эко-систему для локальной разработки проекта, был вынужден собирать информацию по крупицам. На первый взгляд официальная документация вполне подробная, но когда начинаешь вникать подробней понимаешь, что как-то странно сгруппирована, возникает много вопросов.
Вопрос по поводу самоподписанных SLL сертификатов. Существует ли способ заставить актуальную версию Google Chrome доверять такому сертификату и подсвечивать его "зеленым"? Как не пытался гуглить, но так и не смог найти четкого ответа, а все инструкции относились к устаревшим версиям.
А может кто-нибудь поделиться своим мнением по поводу целесообразности использования Swoole/RoadRunner? Про принципы работы я почитал, некую картину себе обрисовал, но хотелось бы реального фидбека от людей, которые перешли на них с php-fpm.
В каких случаях игра реально стоит свеч? Какие реальные основные преимущества вы для себя подметили?
Вижу один потенциальный минус в этом — в браузере перестанут быть доступными классы, которые не попали в билд. Во время разработки бывает очень удобно накидать классы в браузере и уже потом перенести их в код.
В тексте используются скриншоты некой внешней системы управления переводами, где-то есть готовые решения? Или подразумевается, что можно просто самому написать такой сервис?
В статье данные пользователя прокидываются внутрь контейнера, чтобы иметь возможность редактировать файлы с хоста и дать доступ php-fpm обрабатывать их при запросе (в контейнере). Не могу смекнуть, как именно можно решить эту же задачу через ключ
userв docker-compose. Если идея в том, что бы при старте создавать пользователя и запускать php-fpm от его имени, тогда вопрос: как получить доступ к значение ключаuserгде-то в entrypoint?А можно пример реализации через docker-compose, пожалуйста? Как-то через entrypoint при каждом старте создавать нового пользователя в контейнере или как?
Главное Xdebug не пробуйте — крышу сорвет.
Как мне кажется, здесь сходятся два фактора: стоимость знаний по восстановлению + готовность людей платить за восстановление необходимой информации.
Достаточно сложно стать успешным специалистом по DR, требуется опыт, который, в свою очередь, тоже не так легко получить. А потратив несколько лет на получение опыта, хочется уже получать за это достойную плату.
У меня ThinkPad X1 Carbon 6th Gen + Ubuntu 20.04. Изначально использовал хак — https://github.com/erpalma/throttled. Но в начале этого года вышла новая версия нативного thermald, в которой уже исправили этот баг. Сейчас работаю с thermald 1.9.1, проблем с троттлингом нет.
Уже года 2 пользуюсь вот этим менеджером — sshch.
В среднем имею порядка 15 сохраненных соединений, разбитых по разным группам. Тулзой доволен, рекомендую всем любителям CLI.
Если кто-то пользуется еще чем-то подобным, кидайте варианты, всегда интересно осматриваться вокруг :)