Тестовые телефоны вроде TEMS pocket умеют что-то подобное. Есть на андроиде, если есть желание поковырять — лежат (даже за почти адекватные деньги) на али.
Никак не выдает, она полностью автономна и в MitM не умеет. Чтоб умела это потребуется гораздо больше усилий, хотя нет ничего невозможного, ребята из PT несколько раз тут писали статьи про доступ к операторским сетям SS7.
Ну и плюс не зная Ki не получится поднять шифрование, на что некоторые телефоны ругаются.
Прежде чем делать выводы стоит дождаться комментариев обеих сторон. Когда меня просили разрешения на публикацию письма, никакой конкретики не было, и я был уверен что опубликуют правильное. А опубликовали какую-то чушь:)
Хм, забавно, но это не мое письмо.
Мое было отправлено на адрес, указанный на странице контактов как адрес службы безопасности, и там были перечислены все детали и тем более никакого вымогательства:)
Если уж это так важно, то:
To: cso@tinkoff.ru
Date: Mon, 08 Aug 2016 21:10:32 +0300
From: b***f <b*****f@******.ru>
Добрый вечер,
зашел сейчас перебросить денег и обнаружил не очень приятную особенность на странице переводов https://www.tinkoff.ru/cardtocard/
Если карта отправителя — тинькоф, аякс, считающий комиссию, заодно и проверяет наличие денег на счету. Если их там нет, то выдает ошибку «недостаточно средств на счете». Проблема в том, что он работает уже по одному введенному номеру карты, не проверяя валидность остальных полей (срок/cvv). В итоге зная один только номер карты, можно за несколько секунд перебором определить ее баланс.
Прикройте, нехорошо получается :3
А с автором письма выше связались бы, мало ли у него чего поважнее.
>Мы всегда открыты к работе по программе Bug Bounty
Попробовал сейчас загуглить и нашел только вот это
Я думаю очень многих подобный подход отпугнет от репорта вам.
Публикуйте конечно, если хотите, тем более вон люди интересуются.
И все же интересно — письмо только сейчас подняли или его получили и оно сразу молча пошло в неспешную обработку?
Зря вы так, на самом деле банк очень хороший, остальные порой еще хуже.
Раньше им вообще альтернатив не было по клиентоориентированности, поэтому лояльных клиентов у них очень много, я в том числе, уже пятый год подряд.
Статистику — в каком плане? Сколько у народа в среднем денег на картах?:) Нет, зачем.
Скрипт под спойлером — тот самый, что и на хостинге, просто от мусора подчищенный.
Мешать холодные и теплые ленты — это вполне нормально, особенно если они за общим рассеивателем.
Сейчас можно найти много лент где теплые и холодные диоды сразу на одной ленте, так еще удобнее.
Скорее меньше ток — меньше потерь в самой ленте. Там сечение проводников сопливое же. Если 5м кусок подключить, явно видно что с краю лента светится слабее.
Я использовал IRL540 для коммутации 3А ленты, в т.ч. и с ШИМ на 1кГц (я немного параноик касательно пульсаций света). Все отлично, транзистор холодный.
По даташиту он до 36А вообще вроде. Ну и таких реально много, я взял первые попавшиеся, подозреваю что это из пушки по воробьям.
Два года назад делал что-то подобное, но в жилой комнате, поэтому требований было чуть больше.
Пытался играться с датчиками освещенности, но ничего приличного так и не придумал, уж сильно разные на нем показания в зависимости от погоды. В итоге оставил на контроллере расчёт времени восхода и заката и плавное изменение температуры/яркости, а для особых случаев ручное управление с пк/телефона. В 90% случаев автоматики хватает, отключать приходится только если надо ночью руками работать.
И да, гораздо проще для организма жить с таким светом:)
Ну и плюс не зная Ki не получится поднять шифрование, на что некоторые телефоны ругаются.
Если вкратце, то все хорошо.
Мое было отправлено на адрес, указанный на странице контактов как адрес службы безопасности, и там были перечислены все детали и тем более никакого вымогательства:)
Если уж это так важно, то:
А с автором письма выше связались бы, мало ли у него чего поважнее.
Попробовал сейчас загуглить и нашел только вот это
Я думаю очень многих подобный подход отпугнет от репорта вам.
И все же интересно — письмо только сейчас подняли или его получили и оно сразу молча пошло в неспешную обработку?
Раньше им вообще альтернатив не было по клиентоориентированности, поэтому лояльных клиентов у них очень много, я в том числе, уже пятый год подряд.
Если ИБ не смотрит в спам — это какая-то неправильная ИБ, кмк.
Скрипт под спойлером — тот самый, что и на хостинге, просто от мусора подчищенный.
Сейчас можно найти много лент где теплые и холодные диоды сразу на одной ленте, так еще удобнее.
По даташиту он до 36А вообще вроде. Ну и таких реально много, я взял первые попавшиеся, подозреваю что это из пушки по воробьям.
Пытался играться с датчиками освещенности, но ничего приличного так и не придумал, уж сильно разные на нем показания в зависимости от погоды. В итоге оставил на контроллере расчёт времени восхода и заката и плавное изменение температуры/яркости, а для особых случаев ручное управление с пк/телефона. В 90% случаев автоматики хватает, отключать приходится только если надо ночью руками работать.
И да, гораздо проще для организма жить с таким светом:)