уязвимость появилась в версии ОС 1.0.1, обновление доступно в 1.0.2 и не поставлено
Вариант минимум: банковское приложение пишет в логи версию ОС и если возникает проблема, то это предъявляется клиенту.
Вариант максимум: приложение сравнивает версию ОС со списком безопасных и в случае чего отказывается работать пока версию не актуализируют.
банковое приложение узнало об этом (условно) в версии 1.0.4. пользователь приложение не обновил до .4.
Если актуальная версия приложения отличается от версии, которая стоит у пользователя, то приложение у пользователя просто выдаёт ошибку и не запускается. Или как минимум не даёт делать какие-то критические операции вроде перевода денег.
позволить приложению 1.0.3 тянуть из интернета ресурсов банка уязвимости ОС
А в чём проблема если Банковское приложение тащит какую-то информацию с сервера банка? Оно всё равно будет регулярно это делать. Как ему иначе работать?
повторюсь, я не разрабатываю приложения для банков, не работаю в каком-то регуляторе
Но это не мешает вам считать что новый закон создаст какие-то проблемы для банков. Но получается что проблем не будет.
а можете поделиться, сколько безопасных приложений вы выпустили в срок?
А зачем мне это делать?
Это вы пожалуйста определитесь наконец-то: банковские приложения они безопасные или нет? А то у вас то одно, то другое...
а что значит смогли
Это значит что они сделали приложения, которыми как минимум мне удобно пользоваться, и при этом достаточно безопасные чтобы у банков не было проблем взять ответственность на себя.
откуда утверждение, что европейские более безопасные?
Так не важно более они безопасные или менее. Это вообще не принципиально в обсуждаемом контексте.
Главное что они достаточно безопасные чтобы сами банки это устраивало. Несмотря на то, что ответственность переложили на них.
не ставить апдейты на приложение, не ставить апдейты на ОС
Во первых версию ОС и уж тем более приложения банк может без проблем проверять. У меня приложение просто выдаёт ошибку если стоит неактуальная версия.
Кроме того как раз таки такие ситуации обычно в законах прописываются. То есть грубо говоря если у меня стоит "устаревшая версия ОС", то это халатность с моей стороны и это даёт банку право в случае чего оспорить ситуацию. И если они докажут что моя версия ОС имела какие-то дыры в безопасности, которые привели к проблемам, то банк уже ни за что не отвечает.
Но главное то, что в этой ситуации банк должен доказывать что пользователь накосячил, а не наоборот.
вы точно меня об этом хотите спросить, а не авторов законопроекта?
Именно вас. Ведь это вас что-то не устраивает. А если приложения безопасные, то и рисков никаких у банков не будет. И проблемы получается и нет.
просто так не может
То есть получается у банка в этом контексте гораздо больше влияния на ситуацию.
А если вспомнить про всякие онлайн-банки, то там у людей просто нет возможности пойти в филиал.
я понимаю, что habr переехал в зону com достаточно давно, я говорю про РФ
А я вам говорю что ваше утверждение про "и этот вариант вам не понравится, приложения и ДБО через браузеры появились не на ровном месте, а для удобства." не имеет под собой особых оснований. Потому что в мире вполне себе есть примеры когда это всё нормально работает. Ну то есть если европейские банки смогли это сделать, то неужели для российских это неподъёмная задача?
давайте так, сколько вы зарепортили подтвержденных RCE в банковских приложениях? а то немного голословно звучит.
Ну так если приложения безопасные, то в чём тогда проблема?
неправда. использовать swift/jre/etc принимает пользователь.
То есть пользователь может это использовать даже если банк против и не предоставляет пользователям такой возможности? И как это должно работать?
и этот вариант вам не понравится
С чего вы это взяли? У нас тут уже давно ответственность за это дело переложили на банки. И меня вполне себе устраивают варианты, которые теперь мне доступны. Как в приложениях, так и в браузере.
великолепная инциатива, просто великолепная. пользователь может все что угодно сделать с своим устройством, а отвечай банк
А по вашему лучше если банк делает нелепые приложения с плохой защитой, а отвечает за это пользователь, которого заставляют этим приложением пользоваться?
является ли JS и прочий код выполняющийся в браузере мобильным приложением.
По хорошему нет. Но это и не принципиально. Потому что решение, предоставить пользователям возможность использовать браузер с JS, принимает именно банк.
То есть у банка вполне себе есть возможность выбрать какой-то безопасный вариант и предлагать своим пользователям именно его. А вот у пользователей в этом контексте никакой свободны нет. Как минимум в России на данный момент.
Что мешает сделать точно так же в банковском приложении?
Мне правда интересно. Потому что бесплатные счета для частников у нас тут норма.
Даже близко не вижу где там написано на кого конкретно и каким конкретно образом.
А в новости процитирован полный текст этих новых законов?
Не смешите мои помидоры. NDA ему запрещает рассказывать. Апдейты баз магическим образом на компах не появятся.
Но если вы не хотите чтобы ваше банковское приложение апдейты само качало, то можете попросить чтобы вам дали возможность это вручную делать :)
На кого конкретно и каким конкретно образом?
Ну так расскажите мне какие риски тогда будут у банков и откуда конкретно они возьмутся.
Игнорирование рискоа тоже.
Ну так и к самолёту это точно так же применимо. Если вы попали в грозу, то вы просто выбрали неподходящий маршрут.
Аквапланинг и гололёд далеко не всегда видно невооружённым глазом. А всегда ездить по хайвеям 5км/ч не то чтобы рационально.
И да, люди постоянно рискуют своей жизнью. Что на машине, что в самолёте. Никакой разницы нет.
Тогда какие претензии к пользователю? У него ведь тоже нет этой информации.
В любом случае версию ОС банк сохранил и если были апдейты и пользователь их не ставил, то банк может оспорить ответственность.
Честно говоря не особо понимаю откуда должен взяться флейм. Если в приложении нашли уязвимость, то его надо апдейтнуть.
А как по вашему антивирусы на компах свои базы обновляют? :)
Так он уже и сейчас это делает. Только с рисками.
С другой стороны мой банковский счёт как был бесплатным до того как у нас ввели эти законы, так и остался бесплатным.
Ну так если они безопасные, то закон ничего не меняет и никаких особых новых рисков у банков не будет.
А если они не безопасные, то получается что закон вполне себе имеет смысл. Потому что тогда банкам придётся сделать их безопасными.
Вариант минимум: банковское приложение пишет в логи версию ОС и если возникает проблема, то это предъявляется клиенту.
Вариант максимум: приложение сравнивает версию ОС со списком безопасных и в случае чего отказывается работать пока версию не актуализируют.
Если актуальная версия приложения отличается от версии, которая стоит у пользователя, то приложение у пользователя просто выдаёт ошибку и не запускается. Или как минимум не даёт делать какие-то критические операции вроде перевода денег.
А в чём проблема если Банковское приложение тащит какую-то информацию с сервера банка? Оно всё равно будет регулярно это делать. Как ему иначе работать?
Но это не мешает вам считать что новый закон создаст какие-то проблемы для банков. Но получается что проблем не будет.
А зачем мне это делать?
Это вы пожалуйста определитесь наконец-то: банковские приложения они безопасные или нет? А то у вас то одно, то другое...
Это значит что они сделали приложения, которыми как минимум мне удобно пользоваться, и при этом достаточно безопасные чтобы у банков не было проблем взять ответственность на себя.
Так не важно более они безопасные или менее. Это вообще не принципиально в обсуждаемом контексте.
Главное что они достаточно безопасные чтобы сами банки это устраивало. Несмотря на то, что ответственность переложили на них.
Во первых версию ОС и уж тем более приложения банк может без проблем проверять. У меня приложение просто выдаёт ошибку если стоит неактуальная версия.
Кроме того как раз таки такие ситуации обычно в законах прописываются. То есть грубо говоря если у меня стоит "устаревшая версия ОС", то это халатность с моей стороны и это даёт банку право в случае чего оспорить ситуацию. И если они докажут что моя версия ОС имела какие-то дыры в безопасности, которые привели к проблемам, то банк уже ни за что не отвечает.
Но главное то, что в этой ситуации банк должен доказывать что пользователь накосячил, а не наоборот.
Именно вас. Ведь это вас что-то не устраивает. А если приложения безопасные, то и рисков никаких у банков не будет. И проблемы получается и нет.
То есть получается у банка в этом контексте гораздо больше влияния на ситуацию.
А если вспомнить про всякие онлайн-банки, то там у людей просто нет возможности пойти в филиал.
А я вам говорю что ваше утверждение про "и этот вариант вам не понравится, приложения и ДБО через браузеры появились не на ровном месте, а для удобства." не имеет под собой особых оснований. Потому что в мире вполне себе есть примеры когда это всё нормально работает. Ну то есть если европейские банки смогли это сделать, то неужели для российских это неподъёмная задача?
Ну так если приложения безопасные, то в чём тогда проблема?
То есть пользователь может это использовать даже если банк против и не предоставляет пользователям такой возможности? И как это должно работать?
С чего вы это взяли? У нас тут уже давно ответственность за это дело переложили на банки. И меня вполне себе устраивают варианты, которые теперь мне доступны. Как в приложениях, так и в браузере.
Они знали о том, что в шпинате очень много железа. Как выяснилось позже это была просто опечатка в исследовании :)
А если человек ищет нужное через поисковик, то где гарантия, что он найдет нужное ему, а не владельцам поисковика?
И как бы вместо слова "поисковик" можно подставить что угодно и от этого принципиально ничего не изменится.
А по вашему лучше если банк делает нелепые приложения с плохой защитой, а отвечает за это пользователь, которого заставляют этим приложением пользоваться?
По хорошему нет. Но это и не принципиально. Потому что решение, предоставить пользователям возможность использовать браузер с JS, принимает именно банк.
То есть у банка вполне себе есть возможность выбрать какой-то безопасный вариант и предлагать своим пользователям именно его. А вот у пользователей в этом контексте никакой свободны нет. Как минимум в России на данный момент.
Потому что его придумали? :)
Зачем в этой деревне нужна тысяча базовых станций?
Вообще непонятна.
Вот тут описано как это считается в России: https://ru.wikipedia.org/wiki/Резервы_на_возможные_потери_по_ссудам
Я не вижу где там должна быть линейная комбинация.
Люди странные существа. А фанаты в особенности.
Я вам даже сам кислородный прибор нашёл: https://aviatus.ru/parachuting/devices/kp_23/
Ну добавьте крепления в самолёте.
Хотя даже без них 15кг спокойно может получится. Потому что парашюты, которые тянут до 150кг, похоже весят больше 10кг.