В этом и суть, что инициируется не телефоном (как должно быть по-хорошему, и о чем я говорю в статье), а банком. Т. е., поставили вы себе на комп Windows 8 клиент Тинькова, ввели логин/пароль, а пароль для входа в 2-й фазе аутентификации придет вам на телефон USSD-сообщением.
«Безопасники» в контексте статьи — люди, которые знают, насколько можно использовать определенную технологию с точки зрения безопасности. Получилось же как: внедрим новую фичу, которая критична для безопасности банка, где нет офлайн-офисов, не протестировав ее.
У меня, например, оповещения почты иногда всплывают поверх скринсейвера на компьютере. Это означает, что теперь нельзя использовать почту для подтверждения операций?
Уведомления всегда можно настроить (не показывать текст самого сообщения).
То есть это плохая фича (или баг?) iOS, о котором не подумали разрабочики.
В принципе, можно назвать это и багом iOS. А можно и использованием технологии не по назначению :-).
да потом еще снимал пароль через отражение в очках
Пароль можно снять обычным кейлоггером. Отражение в очках — это лишь частный случай. Здесь дело не параноидальности, а в банальной кривой реализации «для галочки».
С «засветом» данных карточки нет никаких особых проблем: у вас есть 30 дней, чтобы оспорить операцию и крайне велик шанс, что вернут деньги. Деньги не вернут только в двух случаях: оплата была при помощи вашего пин-кода или посредством смс-авторизации (нужно было ввести доп. код, приходящий на телефон — так называемая 3D-secure). Собственно из-за того, что в текущей реализации в банке код может прийти через USSD и его сможет прочитать любой, кто увидит ваш телефон (даже запароленный), вы ничего не сможете оспорить. Если бы код всегда приходил через SMS, то здесь уже достать его было бы намного сложнее при прочих равных условиях.
В этом и смысл, зашли на своем телефоне (пароль 2-го раунда аутентификации увидели на экране жертвы), потом со своего же телефона делаете, например, внешний перевод. Одноразовый пароль для перевода аналогично подглядываете на экране заблокированного мобильника жертвы (она даже не узнает, что ей эти пароли приходили, т. к. USSD нигде на телефоне не сохранятся).
А что вам мешает зайти в приложение со своего телефона (поставить себе)? Т. е. заходите на своем, а одноразовый пароль подглядываете на экране жертвы (он придет ей на телефон в виде USSD-сообщения).
У меня iOS, там вылезает сразу. Скажите, а как, в принципе, тогда на андроиде вы узнаете, что пришло USSD-сообщение? Оно где-то хранится по аналогии с SMS? Есть отдельный раздел в сообщениях и нотификации для него?
А можно вопрос не по теме: чем так хорош адаптивный дизайн по сравнению с хорошей и грамотной резиной? Все эти перекраивания интерфейса для разных размеров — у меня, например, явная с ними проблема: невозможно на телефоне найти то, что знаешь, как найти на десктопном сайте, ибо либо все в разные места уезжает, либо (и это хуже) еще и в какие-то отдельные подменю. В самом запущенном случае функционал вообще урезается.
Неужели кому-то это нужно (учится работать сразу в нескольких интерфейсах и запоминать, что где в разных «версиях» сайтов)? Всегда ищу «показать десктопную версию» и крайне негодую, если ее принудительно скрывают. При этом я не имею ничего против нативных приложений.
Вот и я слышал, что шифруется до ближайшей соты: мол, достаточно поставить в соседнем с нужным офисом микросоту (которую ставят в офисах, чтобы улучшить качество сигнала) и слушать весь трафик.
Сравните современные виды с достаточно дальними предками. Нагляднее всего брать одомашненные виды.
Так в этом и суть моего тезиса (опять же, не факт, что правильного): одно дело сотни и тысячи лет внутривидовой селекции (понемногу и выверенно с точки зрения удачности), другое дело — воткнуть кусок «совсем из другой оперы» и смотреть, что будет. Здесь самое главное опасение даже не в этом, а в том, как можно быть уверенным, что за срок даже в 5–10 лет смогут узнать наверняка, есть ли негативные последствия (утрируя, может побочкой одного из таких продуктов — например, неправильная работа печени, из-за чего она начинает потихоньку накапливать какой-нибудь токсин, доходящий за 20 лет до летального содержания).
Просто я, как профан в этом вопросе, имею очень поверхностную логику в плане: слово «мир» само по себе ничего плохого не имеет. И если вставить его между «пере» и «ие» — тоже все хорошо будет. А вот если между «без» и «ье» — как-то не очень.
Или как с молоком. Помнится, читал как-то, что если бы не мутация у людей очень-очень давно, то молоко для взрослых продолжало бы оставаться чуть ли ни вызывающим тяжелое отравление. Поэтому для меня «скорпион» — не плохо само по себе, а вот в возможных связках — не знаю (могу быть не прав).
Ну попадают осколки, и что? Главное, сквозь клеточную мембрану не проходят.
Изначальный тезис в корневом комментарии был, мол в желудке всё, утрируя, до атомов растворяется, а, оказывается, нет (отсюда и недоверие к другим аргументам). Проходит сквозь мембрану или нет — не знаю (как и сказал, профан в этом вопросе и не претендую ни один правильный вывод — это просто мои рассуждения, которые, надеюсь, кто-то опровергнет или подтвердит доказательной базой в плане ссылок).
Почему понятно?
Потому, что как мне кажется и как я сказал, если бы вы процитировали фразу до конца, в ходе обычной межвидовой селекции не может быть таких разительных изменений (в плане вероятности). Опять же, это лишь предположение, может быть бредом.
У меня, как у профана, вопрос: не получится ли так, что ковровая бомбардировка, пусть и менее точечна, не нанесет таких повреждений, как хирургический скальпель?
Насколько мне известно, в ДНК большинство информации не используется (так называемый junk, влияние на который при «ковровой бомбардировке» может ничего на дать, даже если заденет), отсюда и мой вопрос, насколько масштаб изменений (в плане количества мест) влияет на фактическое изменение чего-либо.
Но разработчикам мобильных веб-сайтов тоже могут пригодиться.
Более того, кто-то так, к сожалению, и делает: откройте, например, «Зэ вилладж» на айпаде (или на компьютере с айпадовским юзер-агентом). Для меня, например, их размер шрифта мелковат — сравните с размером шрифтов на «Медиуме».
Уведомления всегда можно настроить (не показывать текст самого сообщения).
В принципе, можно назвать это и багом iOS. А можно и использованием технологии не по назначению :-).
Пароль можно снять обычным кейлоггером. Отражение в очках — это лишь частный случай. Здесь дело не параноидальности, а в банальной кривой реализации «для галочки».
С «засветом» данных карточки нет никаких особых проблем: у вас есть 30 дней, чтобы оспорить операцию и крайне велик шанс, что вернут деньги. Деньги не вернут только в двух случаях: оплата была при помощи вашего пин-кода или посредством смс-авторизации (нужно было ввести доп. код, приходящий на телефон — так называемая 3D-secure). Собственно из-за того, что в текущей реализации в банке код может прийти через USSD и его сможет прочитать любой, кто увидит ваш телефон (даже запароленный), вы ничего не сможете оспорить. Если бы код всегда приходил через SMS, то здесь уже достать его было бы намного сложнее при прочих равных условиях.
Неужели кому-то это нужно (учится работать сразу в нескольких интерфейсах и запоминать, что где в разных «версиях» сайтов)? Всегда ищу «показать десктопную версию» и крайне негодую, если ее принудительно скрывают. При этом я не имею ничего против нативных приложений.
Ну и время, да (не только дата, но и часы скачат, то 11:04, то вдруг 11:02, то опять то 11:04). А так, результат очень достойный.
Так в этом и суть моего тезиса (опять же, не факт, что правильного): одно дело сотни и тысячи лет внутривидовой селекции (понемногу и выверенно с точки зрения удачности), другое дело — воткнуть кусок «совсем из другой оперы» и смотреть, что будет. Здесь самое главное опасение даже не в этом, а в том, как можно быть уверенным, что за срок даже в 5–10 лет смогут узнать наверняка, есть ли негативные последствия (утрируя, может побочкой одного из таких продуктов — например, неправильная работа печени, из-за чего она начинает потихоньку накапливать какой-нибудь токсин, доходящий за 20 лет до летального содержания).
Или как с молоком. Помнится, читал как-то, что если бы не мутация у людей очень-очень давно, то молоко для взрослых продолжало бы оставаться чуть ли ни вызывающим тяжелое отравление. Поэтому для меня «скорпион» — не плохо само по себе, а вот в возможных связках — не знаю (могу быть не прав).
Изначальный тезис в корневом комментарии был, мол в желудке всё, утрируя, до атомов растворяется, а, оказывается, нет (отсюда и недоверие к другим аргументам). Проходит сквозь мембрану или нет — не знаю (как и сказал, профан в этом вопросе и не претендую ни один правильный вывод — это просто мои рассуждения, которые, надеюсь, кто-то опровергнет или подтвердит доказательной базой в плане ссылок).
Потому, что как мне кажется и как я сказал, если бы вы процитировали фразу до конца, в ходе обычной межвидовой селекции не может быть таких разительных изменений (в плане вероятности). Опять же, это лишь предположение, может быть бредом.
Насколько мне известно, в ДНК большинство информации не используется (так называемый junk, влияние на который при «ковровой бомбардировке» может ничего на дать, даже если заденет), отсюда и мой вопрос, насколько масштаб изменений (в плане количества мест) влияет на фактическое изменение чего-либо.
Более того, кто-то так, к сожалению, и делает: откройте, например, «Зэ вилладж» на айпаде (или на компьютере с айпадовским юзер-агентом). Для меня, например, их размер шрифта мелковат — сравните с размером шрифтов на «Медиуме».