И еще сразу, пока вы не ответили. Если мы взломали веб-сервер, то есть фактически поставили свой веб-сервер (сайт) на место настоящего. Что мешает нам самим генерировать одноразовую строку? Где она создается — на компьютере с базой данной или на компьютере с веб-сервером?
Где вбиваются платежные реквизиты? Что мешает нам на сайте показывать юзеру одни платежные реквизиты, но заставлять его генерировать строчку под поддельные реквизиты? Другими словами, юзеру мы показываем 50 рублей, а в input формы у нас стоит 500 рублей, которые уходят на подпись в базу данных для временной строки? И мы юзеру даем подписать уже платеж на скрытые 500 рублей?
Все равно не понимаю, простите, я дилетант в этом, но хочу разобраться.
Если злоумышленник получает контроль к серверу, то ему нужен не только пароль, но и ключ с компьютера клиента? Чтобы создать «транзакцию».
Что мешает взломавшему веб-сервер использовать существующие транзакции клиента (живые сессии), подменяя в них например платежные реквизиты (назначение) или сумму операции?
Вы не понимаете о чем я. Фигурально выражаясь, вы можете сколько угодно рассказывать Джеймсу Камерону как это круто и удобно скопировать его фильм на флешку, подключить эту флешку к телевизору, с телевизора транслировать на ноутбук, а на ноутбуке перекодировать для мобильного телефона.
Реальность такова, что пока фильм не показали в закрытых кинотеатрах, куда пускают за деньги, все ваши удобные флешки и п2п остаются невостребованными и наполняются лишь экранками.
Как-то запутано всё. По-русски говоря у юзера получается два «ключа» — то есть его пароль при регистрации и некий файлик, который он получает вместе с программкой. И дальше вы начинаете свистопляску с этими двумя «кодами»? Или я не прав?
По первой части статьи. Насколько я понимаю, там у вас две физические машины — то есть СКЛ-сервер, открытый только для процедур и веб-сервер, который управляет базой через процедуры?
Если так, то для меня (не профи) все не выглядит достаточно защищенным. Трафик в SQL запросах между машинами шифруется? Что мешает взломщику веб-сервера установить на нем прокси и дальше оперировать от имени юзера?
Сценарий: вы работаете как программист, кодите. Какой смысл вам складывать работу в том же здании, где находится ваш компьютер? Другими словами, систему версий можно поднять на своем родном компе, и будет такая же недостаточная надежность решения. Объясните.
В общем что тут сказать. Получается, у нас есть две «армии» криворуких программистов.
Одни не могут нормально доделать Flash, другие не могут нормально встроить HTML5 в браузеры. А нам АйТи магнаты предлагают драться друг с другом кто из них менее криворук.
Технически и математически идея красивая, а практически дурацкая.
Это надо быть полным дураком чтобы рекламировать чужой сайт. Глупее только сделать один общий ключ для квартир, где деньги лежат.
Вы правы. Тут я могу дополнить вашу мысль. Да, многие игрухи, особенно культовые могут нормально работать только на ПС. Но прикол в том что этих игрух под ПС просто новых меньше выходит. Меньше и меньше. Выход хорошей стратегии — это целое событие сейчас для любителей этого жанра. Никому неохота делать стратегии ради группы фанатов, которые потом еще и «крякнут» эту игру, как сейчас произошло с еще не вышедшим старкрафтом. Вот и вся петрушка.
Ответ на ваше мнение: дело не в девайсах на самом деле, совсем не в девайсах. Не только в том что планшеты будут сенсорные, и интернет-приставки с пультом. Дело в том, что тем людям — которые сейчас делают для вас WWW сайты и зарабатывают на рекламе — им будет выгодней сосредоточиться на планшетах. Они будут работать там. Вот и все «технологии».
Обращаюсь к российскому банку, платежной системе, системе терминалов или пластиковых карт:
1. Часть первая. Я могу вам написать подробный анализ недостатков ваших электронных платежных систем, недостатки интерфейсов, внутренней логики, обозначить некоторые проблемы с безопасностью, проблемы с удобством (юзабилити).
Это будет стоить 75 000 руб. и займет месяц работы. Предварительные черновики вы получите через три недели. Объем 8 печатных листов (без воды).
2. Часть вторая. Я могу вам написать конкретный план по модернизации текущей платежной системы, посчитать бюджеты и сроки под этот план. Поработать с вашими сотрудникам. За предварительную бумажную часть так же — 75 000 руб, 5 печатных листов. Две командировки к вам.
Я сделаю это только для одного банка и только для одной платежной системы в интернете.
Я на самом деле могу написать такую же длинную статью про недостатки в QIWI и еще одну такую же как план работы по устранению этих недостатков. Но это уже за деньги.
Вообще могу сформировать нормальное коммерческое предложение:
И еще сразу, пока вы не ответили. Если мы взломали веб-сервер, то есть фактически поставили свой веб-сервер (сайт) на место настоящего. Что мешает нам самим генерировать одноразовую строку? Где она создается — на компьютере с базой данной или на компьютере с веб-сервером?
Где вбиваются платежные реквизиты? Что мешает нам на сайте показывать юзеру одни платежные реквизиты, но заставлять его генерировать строчку под поддельные реквизиты? Другими словами, юзеру мы показываем 50 рублей, а в input формы у нас стоит 500 рублей, которые уходят на подпись в базу данных для временной строки? И мы юзеру даем подписать уже платеж на скрытые 500 рублей?
Если злоумышленник получает контроль к серверу, то ему нужен не только пароль, но и ключ с компьютера клиента? Чтобы создать «транзакцию».
Что мешает взломавшему веб-сервер использовать существующие транзакции клиента (живые сессии), подменяя в них например платежные реквизиты (назначение) или сумму операции?
Реальность такова, что пока фильм не показали в закрытых кинотеатрах, куда пускают за деньги, все ваши удобные флешки и п2п остаются невостребованными и наполняются лишь экранками.
По первой части статьи. Насколько я понимаю, там у вас две физические машины — то есть СКЛ-сервер, открытый только для процедур и веб-сервер, который управляет базой через процедуры?
Если так, то для меня (не профи) все не выглядит достаточно защищенным. Трафик в SQL запросах между машинами шифруется? Что мешает взломщику веб-сервера установить на нем прокси и дальше оперировать от имени юзера?
Сценарий: вы работаете как программист, кодите. Какой смысл вам складывать работу в том же здании, где находится ваш компьютер? Другими словами, систему версий можно поднять на своем родном компе, и будет такая же недостаточная надежность решения. Объясните.
Одни не могут нормально доделать Flash, другие не могут нормально встроить HTML5 в браузеры. А нам АйТи магнаты предлагают драться друг с другом кто из них менее криворук.
Это надо быть полным дураком чтобы рекламировать чужой сайт. Глупее только сделать один общий ключ для квартир, где деньги лежат.
Ответ на ваше мнение: дело не в девайсах на самом деле, совсем не в девайсах. Не только в том что планшеты будут сенсорные, и интернет-приставки с пультом. Дело в том, что тем людям — которые сейчас делают для вас WWW сайты и зарабатывают на рекламе — им будет выгодней сосредоточиться на планшетах. Они будут работать там. Вот и все «технологии».
Обращаюсь к российскому банку, платежной системе, системе терминалов или пластиковых карт:
1. Часть первая. Я могу вам написать подробный анализ недостатков ваших электронных платежных систем, недостатки интерфейсов, внутренней логики, обозначить некоторые проблемы с безопасностью, проблемы с удобством (юзабилити).
Это будет стоить 75 000 руб. и займет месяц работы. Предварительные черновики вы получите через три недели. Объем 8 печатных листов (без воды).
2. Часть вторая. Я могу вам написать конкретный план по модернизации текущей платежной системы, посчитать бюджеты и сроки под этот план. Поработать с вашими сотрудникам. За предварительную бумажную часть так же — 75 000 руб, 5 печатных листов. Две командировки к вам.
Я сделаю это только для одного банка и только для одной платежной системы в интернете.
контакты: febb@mail.ru
Вообще могу сформировать нормальное коммерческое предложение:
Скажите это банкирам, которые ежегодно теряют миллионы долларов на кардерах.