Вариант максимум: приложение сравнивает версию ОС со списком безопасных и в случае чего отказывается работать пока версию не актуализируют
у него нет этой информации на момент релиза.
Если актуальная версия приложения отличается от версии, которая стоит у пользователя, то приложение у пользователя просто выдаёт ошибку и не запускается.
и не тут ли был флейм "я не обновил приложение и мне не дает оплатить заправку". да не, точно не тут
А в чём проблема если Банковское приложение тащит какую-то информацию с сервера банка? Оно всё равно будет регулярно это делать. Как ему иначе работать?
ух ты. так мы и скоро дойдем что антивирусы могут тянуть данные со своих сетей. не претензия лично вам
Но это не мешает вам считать что новый закон создаст какие-то проблемы для банков. Но получается что проблем не будет.
было бы наивно думать, что банки-whatever не переложит свои затраты на людей.
Это вы пожалуйста определитесь наконец-то: банковские приложения они безопасные или нет?
у меня информации о уязвимостях банковских приложений нет, возможно и безопасны. я в своей жизни с оными уязвимостями не сталкивался, что не показатель. но гораздо больше сталкивался с социнженерией, которой пофиг все защиты.
Во первых версию ОС и уж тем более приложения банк может без проблем проверять. У меня приложение просто выдаёт ошибку если стоит неактуальная версия.
версия ОС 1.0.1, версия банка 1.0.3
уязвимость появилась в версии ОС 1.0.1, обновление доступно в 1.0.2 и не поставлено, банковое приложение узнало об этом (условно) в версии 1.0.4. пользователь приложение не обновил до .4.
кто виноват? по тексту новости банк. позволить приложению 1.0.3 тянуть из интернета ресурсов банка уязвимости ОС сразу тут же, на хабре заорут "гэбня, сливает все"
повторюсь, я не разрабатываю приложения для банков, не работаю в каком-то регуляторе, у нас просто беседа с уважаемыми комментаторами с высказываем мненний.
А если приложения безопасные, то и рисков никаких у банков не будет.
а можете поделиться, сколько безопасных приложений вы выпустили в срок? я не очень хорошо разбираюсь в ios/android но примерно представляю во сколько станет ASAN/USAN/AppVerifier/DriverVerifier, статанализ, пентест и все по списку для "безопасного приложения".
Ну то есть если европейские банки смогли это сделать, то неужели для российских это неподъёмная задача?
а что значит смогли. давайте так, CVE российских банков у вас 0, европейских тоже 0. откуда утверждение, что европейские более безопасные?
Если нет - все продолжают пользоваться приложениями, банки ничего не выплачивают, т.к. условия возврата денег никогда не наступают.
CVE/BDU не про деньги, точнее про деньги но косвенно. обязанности выплатить штраф по оным нет, есть обязанность выпустить новую версию приложения с исправлением. даже на хабре вагон фанатиков, которые не ставят обновления и сидят на семерках-10 виндов. толку от этого? мы опять возвращаемся к началу - пользовтель может делать с своим устройством все что хочет, не ставить апдейты на приложение, не ставить апдейты на ОС, кликать по ссылкам что поставят перехват клавиатуры из-за уязвимой ОС, а виноват будет производитель, не просто банк, а завтра любой производный.
Если же ломать начали очень часто или счет слишком вкусный, чтобы банк параноить начал насчет возможной кражи и последующей суммы возврата - банк выдает 'калькулятор'.
не работает это так в массовом обслуживании. либо вы употребляете то, что выгодно сейчас банку - приложение, которое в 1-2-3 маркеплейсах, либо идете пешком. разработка и обслуживание "калькулятора" не просто дорого, а капец как дорого.
Если безопасность смартфона банк устраивает
емнип банк не может проверить оную в большинстве случаев, песочница на андроиде.
если не халтурить с защитой приложения и способами входа) - все остается как есть
я уже спрашивал в соседнем каменте - есть примеры CVE/BDU на приложения? какие предпосылки-то? пока только сценарии с социнженеркой вижу в публичном поле.
В тех немногих случаях. когда приложение сломали - деньги возвращаются банком.
готовы отдать телефон на фуллдампы (не говорим про техническую сложность) в следствие на пару лет?
Если не достиг и устройство сломали - ну логично, что на него обязательства по возврату возлагаются, нечего возмущаться.
так, а как это мапится на текущую ситуацию, когда у всех смартфоны? хотите прекращения условно-бесплатного обслуживания? ну выглядит по классике жанра - всем пива за счет заведения.
великолепная инциатива, просто великолепная. пользователь может все что угодно сделать с своим устройством, а отвечай банк. и да, отдельный вопрос - является ли JS и прочий код выполняющийся в браузере мобильным приложением.
у него нет этой информации на момент релиза.
и не тут ли был флейм "я не обновил приложение и мне не дает оплатить заправку". да не, точно не тут
ух ты. так мы и скоро дойдем что антивирусы могут тянуть данные со своих сетей. не претензия лично вам
было бы наивно думать, что банки-whatever не переложит свои затраты на людей.
у меня информации о уязвимостях банковских приложений нет, возможно и безопасны. я в своей жизни с оными уязвимостями не сталкивался, что не показатель. но гораздо больше сталкивался с социнженерией, которой пофиг все защиты.
вы мне зря эти цифры показываете, я не работаю, пока по крайней, мере в банковской сфере. и понимаю ваше горение на эту тему.
пожалуйста не надо. я видел и софт и хард этих граждан. не надо.
версия ОС 1.0.1, версия банка 1.0.3
уязвимость появилась в версии ОС 1.0.1, обновление доступно в 1.0.2 и не поставлено, банковое приложение узнало об этом (условно) в версии 1.0.4. пользователь приложение не обновил до .4.
кто виноват? по тексту новости банк. позволить приложению 1.0.3 тянуть из
интернетаресурсов банка уязвимости ОС сразу тут же, на хабре заорут "гэбня, сливает все"вы опять не хотите слышать. вектор атак сдвинется на калькуляторы. а трата 1тр для консьюмера это гораздо больше для банка, тем более для мелкого
повторюсь, я не разрабатываю приложения для банков, не работаю в каком-то регуляторе, у нас просто беседа с уважаемыми комментаторами с высказываем мненний.
а можете поделиться, сколько безопасных приложений вы выпустили в срок?
я не очень хорошо разбираюсь в ios/android но примерно представляю во сколько станет ASAN/USAN/AppVerifier/DriverVerifier, статанализ, пентест и все по списку для "безопасного приложения".
а что значит смогли. давайте так, CVE российских банков у вас 0, европейских тоже 0. откуда утверждение, что европейские более безопасные?
CVE/BDU не про деньги, точнее про деньги но косвенно. обязанности выплатить штраф по оным нет, есть обязанность выпустить новую версию приложения с исправлением. даже на хабре вагон фанатиков, которые не ставят обновления и сидят на семерках-10 виндов. толку от этого? мы опять возвращаемся к началу - пользовтель может делать с своим устройством все что хочет, не ставить апдейты на приложение, не ставить апдейты на ОС, кликать по ссылкам что поставят перехват клавиатуры из-за уязвимой ОС, а виноват будет производитель, не просто банк, а завтра любой производный.
вы точно меня об этом хотите спросить, а не авторов законопроекта?
просто так не может. на ДБО вы заключаете дополнительный договор, в котором описаны отвественности сторон.
я понимаю, что habr переехал в зону com достаточно давно, я говорю про РФ
не работает это так в массовом обслуживании. либо вы употребляете то, что выгодно сейчас банку - приложение, которое в 1-2-3 маркеплейсах, либо идете пешком. разработка и обслуживание "калькулятора" не просто дорого, а капец как дорого.
емнип банк не может проверить оную в большинстве случаев, песочница на андроиде.
я уже спрашивал в соседнем каменте - есть примеры CVE/BDU на приложения? какие предпосылки-то? пока только сценарии с социнженеркой вижу в публичном поле.
готовы отдать телефон на фуллдампы (не говорим про техническую сложность) в следствие на пару лет?
так, а как это мапится на текущую ситуацию, когда у всех смартфоны? хотите прекращения условно-бесплатного обслуживания? ну выглядит по классике жанра - всем пива за счет заведения.
давайте так, сколько вы зарепортили подтвержденных RCE в банковских приложениях? а то немного голословно звучит.
неправда. использовать swift/jre/etc принимает пользователь. не хочешь - велкам ногами в банк.
и этот вариант вам не понравится, приложения и ДБО через браузеры появились не на ровном месте, а для удобства.
PS если что не разу не разрабатывал оные и не защищаю банки
не вижу отличия от смартфона. плоскость атак просто переедет на "калькуляторы"
калькуляторы с одноразовыми кодами? раздавали и такие. это не решает проблем компрометации конечных устройств
ну лан, привет прекращению всего ДБО и походам в банк ногами на каждый чих
великолепная инциатива, просто великолепная. пользователь может все что угодно сделать с своим устройством, а отвечай банк. и да, отдельный вопрос - является ли JS и прочий код выполняющийся в браузере мобильным приложением.
а вам в 20 еще не подсунули тот 6.8, как hwe ядро? странно.
все познается в сравнении, вот не-ЛТС, например - https://tproger.ru/news/eshhe-odna-problema-ubuntu-25-10--v-sudo-rs-na-nawli-bag--slivavwij-sudo-parol-polzovatelej
привыкайте это линукс, тут все на говне и палках.
MCC 3991 - супермаркеты, и на водку подходит и на хлеб. шах и мат.
что вы, гораздо важнее для соискателя "узнаваемость бренда" /s
ютуб подходит, ага
и которые дырявые как решето. extended support остался только у rhel 7, которая на 3.10