Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Даже с этой включённой опцией, даже сейчас приложение Т-Банка не пускает без предоставления отпечатка/PIN, если прошло более 5 минут. Так что тут даже инженеры, которых я критикую за недостаточный консерватизм, более консервативны, чем вы!
У опции странный дизайн, на мой взгляд просто плохой, вот я её и критикую. Отключить её конечно можно, вы правы, но непонятно, зачем она вообще родилась и живёт в таком виде.
Простите, не понял, о какой вы стране. Погуглил "страна лосей" -- чаще всего пишут про Швецию, чуть менее часто -- про Канаду. Вы какую страну имели в виду и на основании чего её так исступлённо костерите, позвольте вежливо поинтересоваться?
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Если в гетто вас ограбят, то закон будет на вашей стороне. То, что вы говорите, называется "обвинением жертвы". В идеале защищённость должна обеспечиваться в разных сценариях, в том числе таких, которые с мегаосторожным человеком, которого вы описываете как пример для подражания, не случаются. Так уж вышло, что мегаосторожных людей мало. Людей очень тяжело перевоспитывать. В тех сценариях, которыми много людей реально пользуются, следует постараться их защитить по возможности, даже если эти сценарии были бы нерелевантны для мегаосторожного человека.
Спасибо, что зарегистрировались и оставили этот комментарий. Любо-дорого читать. Если душнильски посмотреть на мой текст, то можно заметить, что про рычажок я в курсе. Я-то могу его передвинуть, совершенно справедливо. Но функциональность всё равно странная и небезопасная. Не важно, пользуюсь я ей или нет, могу ли я её отключить или нет, это же ничего не меняет. Она вызывает массу вопросов в своей осмысленности у меня и не только у меня, криво описана в интерфейсе. Поэтому я и написал текст, который вызвал у вас такую бурную реакцию.
Если фича сделана очень странно, то почему бы не пожаловаться об этом кому-то, даже если решишь больше ей не пользоваться? Многие люди пользуются ей и неверно её понимают, как следует из этого поста и более раннего поста на Хабре на эту тему.
Приложение само выбирает, когда ему спрашивать отпечаток, а когда не спрашивать, и по какой логике. Я так понимаю, разработчики в этом вопросе не были жёстко ограничены API системы, чтобы принять именно такое решение -- это была их явная воля сделать вот именно так.
Автор поста может вообще не пользоваться мобильными телефонами, но даже и в таком случае он оставляет за собой право на общих основаниях критиковать то, что ему кажется странным, небезопасным, нелогичным, плохо описанным в интерфейсе. По мнению автора поста есть проблема в поведении, которая касается миллионов пользователей. Этому и посвящён текст.
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Кроме того, на самом деле ведь не важно, стоит у меня пароль на СМС или нет, да может, я вообще не клиент Т-Банка. Какая разница, если я критикую их подход на общих основаниях? Поведение странное, с этим согласна основная масса проголосовавших в статье, на которую я сослался. Ad hominem -- неубедительный аргумент!
Спасибо за комментарий, но мы же обсуждали куда более узкую тему... Дело не в том, сколько надо платить в месяц, а в конкретной нелогичной функциональности. Вы её у себя выключили, а у многих людей она работает. Ну и что, что её можно выключить -- менее странной и более безопасной она от этого не становится. На общих основаниях её есть за что покритиковать.
В посте на эту же тему, на который я ссылаюсь в статье, был скрин, что в Сбере есть такая же функциональность, но там временной интервал равен 10 секундам. Это в 30 раз короче, чем 5 минут у Т-Банка. Если бы интервал был бы в 10 секунд, у меня вопросов тоже не было бы.
Я считаю, что вне зависимости от того, кто чем предпочитает пользоваться, каждый может на общих основаниях критиковать и то, чем он не пользуется, почему бы и нет.
Вы совершенно правы! Спасибо, поправил!
Ваш комментарий можно интерпретировать по-разному. Можно поинтересоваться, что вы хотели сказать?
Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Даже с этой включённой опцией, даже сейчас приложение Т-Банка не пускает без предоставления отпечатка/PIN, если прошло более 5 минут. Так что тут даже инженеры, которых я критикую за недостаточный консерватизм, более консервативны, чем вы!
У опции странный дизайн, на мой взгляд просто плохой, вот я её и критикую. Отключить её конечно можно, вы правы, но непонятно, зачем она вообще родилась и живёт в таком виде.
Простите, не понял, о какой вы стране. Погуглил "страна лосей" -- чаще всего пишут про Швецию, чуть менее часто -- про Канаду. Вы какую страну имели в виду и на основании чего её так исступлённо костерите, позвольте вежливо поинтересоваться?
Ничего не показывается по ссылочке, по крайней мере из России без VPN. Можно попросить вас буквами написать название модели, пожалуйста?
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Если в гетто вас ограбят, то закон будет на вашей стороне. То, что вы говорите, называется "обвинением жертвы". В идеале защищённость должна обеспечиваться в разных сценариях, в том числе таких, которые с мегаосторожным человеком, которого вы описываете как пример для подражания, не случаются. Так уж вышло, что мегаосторожных людей мало. Людей очень тяжело перевоспитывать. В тех сценариях, которыми много людей реально пользуются, следует постараться их защитить по возможности, даже если эти сценарии были бы нерелевантны для мегаосторожного человека.
Спасибо, что зарегистрировались и оставили этот комментарий. Любо-дорого читать. Если душнильски посмотреть на мой текст, то можно заметить, что про рычажок я в курсе. Я-то могу его передвинуть, совершенно справедливо. Но функциональность всё равно странная и небезопасная. Не важно, пользуюсь я ей или нет, могу ли я её отключить или нет, это же ничего не меняет. Она вызывает массу вопросов в своей осмысленности у меня и не только у меня, криво описана в интерфейсе. Поэтому я и написал текст, который вызвал у вас такую бурную реакцию.
Есть такая услуга. Можно оформить карту на другого человека, но на ваш счёт, называется "Дополнительная карта": https://www.tbank.ru/bank/help/debit-cards/tinkoff-black/additional-options/additional-card/
С моей точки зрения, 5 минут -- не "только что", а сильно более длительный промежуток времени.
Если фича сделана очень странно, то почему бы не пожаловаться об этом кому-то, даже если решишь больше ей не пользоваться? Многие люди пользуются ей и неверно её понимают, как следует из этого поста и более раннего поста на Хабре на эту тему.
Приложение само выбирает, когда ему спрашивать отпечаток, а когда не спрашивать, и по какой логике. Я так понимаю, разработчики в этом вопросе не были жёстко ограничены API системы, чтобы принять именно такое решение -- это была их явная воля сделать вот именно так.
Автор поста может вообще не пользоваться мобильными телефонами, но даже и в таком случае он оставляет за собой право на общих основаниях критиковать то, что ему кажется странным, небезопасным, нелогичным, плохо описанным в интерфейсе. По мнению автора поста есть проблема в поведении, которая касается миллионов пользователей. Этому и посвящён текст.
Очень надеюсь на это же!!
Да, в Сбере раньше была такая опция, есть скрины старых версий, а потом её видимо убрали.
В приложении Сбера это было, но видимо, уже убрали. Скриншот есть в комментариях к более старой статье на Хабре, на которую я ссылаюсь.
https://habr.com/ru/articles/792556/comments/#comment_26490752
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Кроме того, на самом деле ведь не важно, стоит у меня пароль на СМС или нет, да может, я вообще не клиент Т-Банка. Какая разница, если я критикую их подход на общих основаниях? Поведение странное, с этим согласна основная масса проголосовавших в статье, на которую я сослался. Ad hominem -- неубедительный аргумент!
Спасибо за комментарий, но мы же обсуждали куда более узкую тему... Дело не в том, сколько надо платить в месяц, а в конкретной нелогичной функциональности. Вы её у себя выключили, а у многих людей она работает. Ну и что, что её можно выключить -- менее странной и более безопасной она от этого не становится. На общих основаниях её есть за что покритиковать.
Сценарий я описал в статье. Если бы интервал времени был бы в 10 секунд, как у приложения Сбера, у меня вопросов бы не было, но здесь целых 5 минут.
В посте на эту же тему, на который я ссылаюсь в статье, был скрин, что в Сбере есть такая же функциональность, но там временной интервал равен 10 секундам. Это в 30 раз короче, чем 5 минут у Т-Банка. Если бы интервал был бы в 10 секунд, у меня вопросов тоже не было бы.
Я считаю, что вне зависимости от того, кто чем предпочитает пользоваться, каждый может на общих основаниях критиковать и то, чем он не пользуется, почему бы и нет.