Так не заставляют же. После n-ного количества лет пользования рекомендательным сервисом в залайканых и "надо бы послушать" оказывается столько, что на, собственно, рекомендации уже можно не смотреть.
Вот тут и засада. Потому что 'похожее' до сих пор в значительной степени определяется по векторам 'того же автора/группы/жанра(который, минуточку, не автоматом определяется). А дальше, идет экплойт рекомендательной системы. Чем больше треков у артиста на сервисе - тем вероятнее будет, что его трек будет предложен и прослушан капнув копеечку. Раньше им получалось пользоваться плохо (произведение создавалось медленно), а теперь - вот все просто само напрашивается. Были, разумеется, исключения, где это было применимо и в до ИИ-ную эпоху. Всякие шум дождя/белый шум/'для засыпания'/идт итп - этих треков в сервисах столько большей частью именно поэтому. Большей частью - неразличимые друг от друга.
Так что надо рекомендательные алгоритмы менять. Чтобы больше смотрели на музыку, а не метаинформацию.
Это мазохизм. Если так хочется читать - то наверняка у китайцев более полноформатные панели с батарейками есть. Те, которые на 'фоторамки' и прочие рекламные экраны идут. А что часами работать не будут - так не все ли равно?
На кой авторизатору такой экранчик? Там (ну, если урезать желание документы перед подписыванием смотреть) хватит монохрома, что в таких штуках использовали.
Тут собеседник рассматривает более широкий случай, когда устройство доступа с клиентом сервиса разным родом атаковано. Трояна посадили, прислали ссылку, которая открывает уже заполненную форму "перевести все деньги на...", просто телефон утерян и злодеи смогли в него зайти. И 'правильный' дополнительный авторизатор с эталонной доверенной средой, по идее - от таких атак защищает. Но тут явно паранойя слишком большая для массовой услуги. И удовлетворяется имением полноценного выделенного устройства для работы с такими сервисами где-то в сейфе/тумбочке и под всеми возможными замками - физическими и электронными.
Тут, правда, есть вопрос, что государство излишние обходы все норовит внедрить 'для удобства', позволяющие 'восстановить' доступ к таким сервисам в обход такого устройства в сейфе. Например, как в обсуждаемой новости - через мессенджер общего назначения (почему то MAX так позиционируют), который всегда с собой. Или через SMS в телефон, который тоже всегда с собой.
Как будто отображение инфы на мелком экране токена поможет. Точно так же эти циферки замыленным глазом бы проглядели.
Но, все-таки, это очень большая степень паранойи. Индустрия не одобряет. Точнее, как я помню, иногда одобряет, но хардварная железка - она за за дофига денег. Или на Андроиде будет и поэтому эквивалентна Госключу.
Гораздо легче все-таки взять комп и со всех сторон обложить его всякими проверками целостности системы и прочего. Или просто выдать загрузочный readonly носитель, с которого ты оффлайново запускаешь эталонную систему и все что надо подписываешь. Вот прямо документ через air gap перенес на флешке, прочитал и потом обратно.
А сценарий работы с сайтами такого просто не предполагает ввиду нездорового баланса головной боли и наносимой пользы.
Экран токену не нужен, им выступает устройство через которое осуществляется вход.
Тут степень паранойи больше. Предполагается, что это самое устройство может быть скомпрометировано и может что попало слать как в сторону сервиса, так и в сторону токена. И вот чтобы в банк не ушло чего-то не то, когда ты транзакцию на 10 рублей хочешь сделать - тут хочется, чтобы токен мог показал "тут мне платежку на 1000000руб в сторону таких-то лиц предлагают подписать, одобряешь?"
куда они мне отправят сообщение в Макс, если он вообще не установлен.
Вообще, с некоторой точки зрения - зря. Надо установить хотя бы один раз (нет, не на кнопочник - на другое устройство, без SIM-ки), зарегистрироваться, поставить там всякие безопасные режимы, пароли и так далее. Старательно все эти пароли записать, а потом можно и снести, если не нравится.
Потому что если этого не сделать - есть некая возможность, что его установит какой-нибудь злодей совсем не для пользы пользователя телефонного номера. Вот как-нибудь уболтает код из регистрационной SMS сообщить - и поставит.
А с учетом новости, что тут обсуждаем - желание злодеев так сделать только увеличится.
вспоминаются фанфики по ГП где как раз ситуация с ключом от сейфа решается через всякие кровные ритуалы проверки наследия и прочее
Это биометрия. :-) Я когда-то тоже такой пример приводил. Потерял все документы - добро пожаловать на кровопускание, мы тебя по кровушке определим, что ты гражданин такой-то.
Вот, кстати, если бы наше государство именно такое собирало для случаев восстановления документов, а не для физиономию для авторизации где попало - оно, возможно, имело бы гораздо больше смысла. Подозреваю, правда, что тогда другие бы страшилки придумали.
Под кнопкой-то что? И где находится? По скриншоту - как раз приложение увидело, сработала защита и авторизатор послал, потому что его не с id.vk.com дернули.
К тому же, в таком случае отправлять коды через этот же мессенджер-авторизатор уже не имеет смысла.
Разумеется. Коды вообще не имеет смысла отправлять. О чем я тут уже не раз сказал.
. Первым очень сложно "поделиться", а вторым - крайне просто (особенно когда это короткие цифровые коды).
Так и я про то же.
Хорошая защита обычно очень неудобна для большинства пользователей.
Защита физическим токеном - выглядит достаточно хорошей и достаточно удобной. И интуитивно понятна из физического мира "Вот ключ от от сейфа в Гринготтсе от сервиса. Нет ключа - нет доступа." Смотри разные карты доступа, ключи и банковские карты.
Там все просто и понятно. Да, можно сделать запасные. А если вы ухитрились все их потерять - то добро пожаловать лично, тушкой к уполномоченным лицам, которые подтвердят что вы это вы. Хотя с ним тоже проблемы, поэтому лучше бы и эту систему как-нибудь усовершенствовать.
Возьмите телефон/планшет (можно без SIM-ки) и попытайтесь залогинится. Во всяких диалогах искать 'использовать другой способ'.
Если у вас действительно есть и секретная фраза и резервная почта (верные) - то после их использования он почти наверняка успешно пустит. Но телефон будет клянчить, да. Это можно успешно игнорировать, выбирая 'пропустить'. То что на телефоне, а не в десктопном браузере - подозреваю, существенно.
Но и вообще история странная. Больше похоже на то как оно когда-то давно было. Вот тут некая процедура создания (специально экспериментировал). Созданная учетка до сих пор работает, и без телефона и без резервных email. Телефон клянчит на кождом заходе но опять же оно отлично пропускается.
Сайт ведь запрашивает в браузере, это отдельное приложение, между ними нет никакой связи.
Есть. Deeplink в терминах андроида.
С ходу, не очень разбираясь (возможно, более системный путь есть, где самому проверять даже не придется):
1) На сайте висит кнопка 'авторизироваться через приложение'
2) Пользователь ее жмет
3) Открывается приложение-авторизатор, которое при установке зарегистрировалось как обработчик соответствующих deeplink. 4) Оно смотрит, с какого сайта его вызвали (там Refferer сайта передается) 5) Если имя не совпадает - ругается.
На десктопах - тоже так, в общем работает, хотя для авторизатора использовать странно. можно обработчик линков повесить. (Вот если зайти браузером на marketplace.visualstudio.com и нажать в какое-нибудь 'Install' (там линк вида "vscode:extension/..." - оно вякнет, что "Это должно через VSCode работать, разрешить?")
Когда сайт на десктопе, а авторизатор на телефоне -- тут бакенд сайт может самостоятельно с автризатором связаться (а неправильный бакенд авторизатор пошлет, потому что ключиков нет) и спросить "Тут залогинится хотят с такого-то IP, и то-то сделать, разрешить?"
А вот там же, ниже -- длинная дискуссия, где я тоже долго не понимал, в чем проблема.
(Хабр, увы, с длинными обсуждениям паршиво работает - сообщения и якоря на них сразу не подгружаются. Придется подергаться, прежде чем получится перейти).
Угу. А в ситуации с оффлайн генератором - защищать от фишинга. Т.е. как-то предотвращать попытки вводить сгенерированный код куда попало, что себя за сервис выдает.
В онлайне это более возможно - приложение-авторизатор можно научить понимать, что это не сайт госуслуг код просит, а сайт мошенников. А оффлайновый - ну можно постараться (я тут где-то ссылку на картинки chipTAN давал - там для этого специальный сенсор есть для чтения спец-баркода, которым как-то все это проверяется), но сложно.
Когда-то давно (уж простите, сейчас не найду) в похожей беседе про авторизацию на Госуслугах, товарищ из страны с электронным ID, кто одноразовый код генерится буквально при помощи чипа этого ID, мне рассказал, что у них мошенники ухитряются этот код выманивать. Собственно, именно тогда я понял, что ничего, что можно сообщить мошенникам, в авторизации использовать нельзя.
Что в итоге и даст уровень развития начала 2000-х годов. Т. е. откат на поколение назад.
Ну так полностью в соответствии с пожеланиями пользователя - это именно он решил в прошлом застрять, не ставя приложение. </sarcasm>
Но, вообще, может быть и наоборот. (правда, с большой долей сомнения - несмотря на всю IT-ность нашей банковской отрасли местами она модернизироваться не хочет или не умеет.) Когда банки перестанут просить еще какую-то связь помимо той, что для начала транзакции использовалась.
Например, начнут предлагать что-то типа такого 'калькулятора'.
Ну вот. Теперь добавляем touch, модуль чтения пальчиков (заявлялось, что хочется) - и получаем стоимость смарфона.
А то что смартфон рутовать надо и чистить - ну так надо голую платформу, еще, собственно, в полноценный смартфон не превращенную. Мне вон ИИ от Гугла предлагает Anbernic RG355V взять и захачить (и предупреждает, что VS варинат не подойдет)
Прелесть totp в том, что никакие коды, кроме временных по сети не ходят.
И это единственное их преимущество - что устройство c ними можно сделать полностью оффлайновым и не требующим для использования никаких интерфейсов кроме клавиатуры.
В онлайн ситуации (у нас же месседжер, он по умолчанию online), можно сделать так, что диктовать просто нечего. Авторизирующая железка(ну т.е. у большей части населения - прямо конкретный смарт, хотя это можно исправить) с сервисом пообщалась, спросила у пользователя "точно пускать?" - и готово. Мошенник чешет репу и начинает другие способы придумывать, как в учетку пользователя попасть. Потому что волшебных чисел, которые можно у пользователя спросить - нет.
Ну вот немного надоели с эти TOTP. Оно, конечно, лучше чем SMS, но если чинить ситуацию - то не стоит их как хорошее решение рекламировать. Не как основной способ, во всяком случае. Технически уже давно лучше есть.
Так не заставляют же. После n-ного количества лет пользования рекомендательным сервисом в залайканых и "надо бы послушать" оказывается столько, что на, собственно, рекомендации уже можно не смотреть.
Вот тут и засада. Потому что 'похожее' до сих пор в значительной степени определяется по векторам 'того же автора/группы/жанра(который, минуточку, не автоматом определяется).
А дальше, идет экплойт рекомендательной системы. Чем больше треков у артиста на сервисе - тем вероятнее будет, что его трек будет предложен и прослушан капнув копеечку.
Раньше им получалось пользоваться плохо (произведение создавалось медленно), а теперь - вот все просто само напрашивается. Были, разумеется, исключения, где это было применимо и в до ИИ-ную эпоху. Всякие шум дождя/белый шум/'для засыпания'/идт итп - этих треков в сервисах столько большей частью именно поэтому. Большей частью - неразличимые друг от друга.
Так что надо рекомендательные алгоритмы менять. Чтобы больше смотрели на музыку, а не метаинформацию.
Это мазохизм. Если так хочется читать - то наверняка у китайцев более полноформатные панели с батарейками есть. Те, которые на 'фоторамки' и прочие рекламные экраны идут. А что часами работать не будут - так не все ли равно?
На кой авторизатору такой экранчик? Там (ну, если урезать желание документы перед подписыванием смотреть) хватит монохрома, что в таких штуках использовали.
Тут собеседник рассматривает более широкий случай, когда устройство доступа с клиентом сервиса разным родом атаковано. Трояна посадили, прислали ссылку, которая открывает уже заполненную форму "перевести все деньги на...", просто телефон утерян и злодеи смогли в него зайти.
И 'правильный' дополнительный авторизатор с эталонной доверенной средой, по идее - от таких атак защищает.
Но тут явно паранойя слишком большая для массовой услуги. И удовлетворяется имением полноценного выделенного устройства для работы с такими сервисами где-то в сейфе/тумбочке и под всеми возможными замками - физическими и электронными.
Тут, правда, есть вопрос, что государство излишние обходы все норовит внедрить 'для удобства', позволяющие 'восстановить' доступ к таким сервисам в обход такого устройства в сейфе. Например, как в обсуждаемой новости - через мессенджер общего назначения (почему то MAX так позиционируют), который всегда с собой. Или через SMS в телефон, который тоже всегда с собой.
Как будто отображение инфы на мелком экране токена поможет. Точно так же эти циферки замыленным глазом бы проглядели.
Но, все-таки, это очень большая степень паранойи. Индустрия не одобряет. Точнее, как я помню, иногда одобряет, но хардварная железка - она за за дофига денег. Или на Андроиде будет и поэтому эквивалентна Госключу.
Гораздо легче все-таки взять комп и со всех сторон обложить его всякими проверками целостности системы и прочего. Или просто выдать загрузочный readonly носитель, с которого ты оффлайново запускаешь эталонную систему и все что надо подписываешь.
Вот прямо документ через air gap перенес на флешке, прочитал и потом обратно.
А сценарий работы с сайтами такого просто не предполагает ввиду нездорового баланса головной боли и наносимой пользы.
Тут степень паранойи больше. Предполагается, что это самое устройство может быть скомпрометировано и может что попало слать как в сторону сервиса, так и в сторону токена. И вот чтобы в банк не ушло чего-то не то, когда ты транзакцию на 10 рублей хочешь сделать - тут хочется, чтобы токен мог показал "тут мне платежку на 1000000руб в сторону таких-то лиц предлагают подписать, одобряешь?"
Это очередной ESP32 'с экранчиком'. У собеседника такой уже есть.
Возможно, как злопыхатели говорят - перешитый электронный ценник, которые и так народ успешно хачит.
Вообще, с некоторой точки зрения - зря. Надо установить хотя бы один раз (нет, не на кнопочник - на другое устройство, без SIM-ки), зарегистрироваться, поставить там всякие безопасные режимы, пароли и так далее. Старательно все эти пароли записать, а потом можно и снести, если не нравится.
Потому что если этого не сделать - есть некая возможность, что его установит какой-нибудь злодей совсем не для пользы пользователя телефонного номера. Вот как-нибудь уболтает код из регистрационной SMS сообщить - и поставит.
А с учетом новости, что тут обсуждаем - желание злодеев так сделать только увеличится.
Это биометрия. :-) Я когда-то тоже такой пример приводил. Потерял все документы - добро пожаловать на кровопускание, мы тебя по кровушке определим, что ты гражданин такой-то.
Вот, кстати, если бы наше государство именно такое собирало для случаев восстановления документов, а не для физиономию для авторизации где попало - оно, возможно, имело бы гораздо больше смысла.
Подозреваю, правда, что тогда другие бы страшилки придумали.
Под кнопкой-то что? И где находится? По скриншоту - как раз приложение увидело, сработала защита и авторизатор послал, потому что его не с id.vk.com дернули.
Разумеется. Коды вообще не имеет смысла отправлять. О чем я тут уже не раз сказал.
Так и я про то же.
Защита физическим токеном - выглядит достаточно хорошей и достаточно удобной. И интуитивно понятна из физического мира "Вот ключ от
от сейфа в Гринготтсеот сервиса. Нет ключа - нет доступа." Смотри разные карты доступа, ключи и банковские карты.Там все просто и понятно. Да, можно сделать запасные. А если вы ухитрились все их потерять - то добро пожаловать лично, тушкой к уполномоченным лицам, которые подтвердят что вы это вы. Хотя с ним тоже проблемы, поэтому лучше бы и эту систему как-нибудь усовершенствовать.
Возьмите телефон/планшет (можно без SIM-ки) и попытайтесь залогинится. Во всяких диалогах искать 'использовать другой способ'.
Если у вас действительно есть и секретная фраза и резервная почта (верные) - то после их использования он почти наверняка успешно пустит. Но телефон будет клянчить, да. Это можно успешно игнорировать, выбирая 'пропустить'. То что на телефоне, а не в десктопном браузере - подозреваю, существенно.
Но и вообще история странная. Больше похоже на то как оно когда-то давно было. Вот тут некая процедура создания (специально экспериментировал). Созданная учетка до сих пор работает, и без телефона и без резервных email. Телефон клянчит на кождом заходе но опять же оно отлично пропускается.
Есть. Deeplink в терминах андроида.
С ходу, не очень разбираясь (возможно, более системный путь есть, где самому проверять даже не придется):
1) На сайте висит кнопка 'авторизироваться через приложение'
2) Пользователь ее жмет
3) Открывается приложение-авторизатор, которое при установке зарегистрировалось как обработчик соответствующих deeplink.
4) Оно смотрит, с какого сайта его вызвали (там Refferer сайта передается)
5) Если имя не совпадает - ругается.
На десктопах - тоже так, в общем работает, хотя для авторизатора использовать странно. можно обработчик линков повесить. (Вот если зайти браузером на marketplace.visualstudio.com и нажать в какое-нибудь 'Install' (там линк вида "vscode:extension/..." - оно вякнет, что "Это должно через VSCode работать, разрешить?")
Когда сайт на десктопе, а авторизатор на телефоне -- тут бакенд сайт может самостоятельно с автризатором связаться (а неправильный бакенд авторизатор пошлет, потому что ключиков нет) и спросить "Тут залогинится хотят с такого-то IP, и то-то сделать, разрешить?"
Ага нашел - это первое описание ситуации
А вот там же, ниже -- длинная дискуссия, где я тоже долго не понимал, в чем проблема.
(Хабр, увы, с длинными обсуждениям паршиво работает - сообщения и якоря на них сразу не подгружаются. Придется подергаться, прежде чем получится перейти).
Угу. А в ситуации с оффлайн генератором - защищать от фишинга. Т.е. как-то предотвращать попытки вводить сгенерированный код куда попало, что себя за сервис выдает.
В онлайне это более возможно - приложение-авторизатор можно научить понимать, что это не сайт госуслуг код просит, а сайт мошенников. А оффлайновый - ну можно постараться (я тут где-то ссылку на картинки chipTAN давал - там для этого специальный сенсор есть для чтения спец-баркода, которым как-то все это проверяется), но сложно.
Когда-то давно (уж простите, сейчас не найду) в похожей беседе про авторизацию на Госуслугах, товарищ из страны с электронным ID, кто одноразовый код генерится буквально при помощи чипа этого ID, мне рассказал, что у них мошенники ухитряются этот код выманивать.
Собственно, именно тогда я понял, что ничего, что можно сообщить мошенникам, в авторизации использовать нельзя.
Ну так полностью в соответствии с пожеланиями пользователя - это именно он решил в прошлом застрять, не ставя приложение. </sarcasm>
Но, вообще, может быть и наоборот. (правда, с большой долей сомнения - несмотря на всю IT-ность нашей банковской отрасли местами она модернизироваться не хочет или не умеет.) Когда банки перестанут просить еще какую-то связь помимо той, что для начала транзакции использовалась.
Например, начнут предлагать что-то типа такого 'калькулятора'.
Ну вот. Теперь добавляем touch, модуль чтения пальчиков (заявлялось, что хочется) - и получаем стоимость смарфона.
А то что смартфон рутовать надо и чистить - ну так надо голую платформу, еще, собственно, в полноценный смартфон не превращенную. Мне вон ИИ от Гугла предлагает Anbernic RG355V взять и захачить (и предупреждает, что VS варинат не подойдет)
И это единственное их преимущество - что устройство c ними можно сделать полностью оффлайновым и не требующим для использования никаких интерфейсов кроме клавиатуры.
В онлайн ситуации (у нас же месседжер, он по умолчанию online), можно сделать так, что диктовать просто нечего. Авторизирующая железка(ну т.е. у большей части населения - прямо конкретный смарт, хотя это можно исправить) с сервисом пообщалась, спросила у пользователя "точно пускать?" - и готово. Мошенник чешет репу и начинает другие способы придумывать, как в учетку пользователя попасть. Потому что волшебных чисел, которые можно у пользователя спросить - нет.
Ну вот немного надоели с эти TOTP. Оно, конечно, лучше чем SMS, но если чинить ситуацию - то не стоит их как хорошее решение рекламировать. Не как основной способ, во всяком случае. Технически уже давно лучше есть.