Свободный доступ к youtube вполе пересекается с их целями
Да, конечно, и поэтому они уверяют, что в случае блокировки ютуба озаботятся поддержанием его работы. Но одно дело обещать, а другое - выдержать такую нагрузку.
должно хватить
При условии, что пользователь вручную выберет низкое качество. Некоторые пользователи, вон, даже торрент-клиент забывают выключить.
Так он не для просмотра видео задуман. Там 2 Гб в день на бесплатном тарифе, а платных пока не завезли. И ещё вопрос, насколько им хватит донатов на поддержание сервиса даже на текущем уровне.
У Гугла в России даже офис был с сотрудниками. Весьма возможно, что на счетах осталось прилично. У Меты огромный вопрос успело ли появиться хоть что-то, кроме формального адреса и бухгалтерии на аутсорсе.
Потому что российское законодательство позволяет им в случае чего спихнуть ущерб на клиентов.
Так я ещё раз повторю, что если бы была возможность так просто отказаться от смс вообще в пользу генерации OTP в приложении, то банки руками и ногами были бы за него. Не потому что их волнует чей-то ущерб. А потому что смс для них - это очень большая статья расходов. Поэтому-то банки так сильно интересуются вопросом доставки уведомлений пушами (довольно дёшево) или мессенджерами (те заломили цены до не очень интересных, устав от спамеров). А вот отдельные приложения для OTP (на то же самое устройство, замечу) не очень зашли.
Причём предположения о том, что наличие таких приложений как-то принципиально изменит ситуацию, остаются предположениями.
В других странах всё это давно уже существует и вовсю используется.
Если это так просто, почему десятки отечественных банков так упорно этого не делают? Наверное, потому что только кажется, что это так просто?
Если бы можно было надёжно генерировать OTP на устройстве, банки бы ещё и сэкономили миллиарды рублей, которые сейчас тратят на дорогие смс. Они очень заинтересованы в отказе от смс. Но такое вот "очевидное" решение почему-то не применяют.
Меня никто не заставляет. Но я прекрасно понимаю, что люди, которые предлагают это или какие-то ещё решения, в основном даже не задумывались о том, насколько сложно это сделать, какие там риски, какие задачи требуется решить...
Ну да, и у российских банков нет ресурсов чтобы это сделать?
Дело не в количестве ресурсов. Дело в оверсложности задачи в первую очередь. И рисках непредвиденного развития ситуации, которые могут затмить скандалы с утечками отдельных смс.
В конце концов, "Сбербанк-Онлайн" формально не работает на рутованных устройствах, но народ ведь научился его обманывать? Это ведь намного более простая задача. А тут требуется совершенно другой уровень надёжности.
Хм, а как вы будете закрывать дыры если ломанут механизм генерации брелка?
Вот алгоритм генерации в брелке может быть даже известен, просто он зависит от ключа, который нельзя достать просто так из устройства (придётся физически разбирать). Если же алгоритм будет зависеть в качестве ключа, например, от серийника устройства или install_id приложения, то при наличии даже непрямого доступа к телефону (привет фальшивым приложениям в сторах или безобидным игрушкам, собирающим данные "в целях анонимной статистики"), то можно будет генерировать OTP как будто они сгенерированы на телефоне. Чтобы исключить или как минимум усложнить такой вариант, придётся думать намного больше и прорабатывать сценарии намного сложнее, чем позволяют узкие поля этого сайта.
Я пишу о том, какие есть механизмы, а не как они реализованы в каком-то конкретном банке.
Если есть проблема, которую допустил альфабанк, это вопрос к альфабанку. Я знаю другие банки, которые реально делают проверку на каждую значимую операцию (даже если пять минут назад уже проверяли) у любого клиента, кроме, может, такого, у кого на счёте сто рублей только лежит.
Если у какого-то банка есть проблема, её надо решать, а не требовать взамен неё делать ещё десять разных сложных дорогих решений, за которые кто-то ещё и заплатить должен.
Для софтверных OTP возникнет другой риск. Если алгоритм генерации ломанут (а при доступе к скомпилированному коду это вполне возможно), то потенциальный ущерб может быть весьма огромным, и его, в отличие от дырок утечки смс, будет закрыть не так просто.
До кучи, если источник OTP находится там же, где и мобильное приложение, остаются все вопросы, которые были к наличию смс на том же устройстве, где и МП. И если в случае смс можно было получать пароли на дешёвый отдельный телефон, то в случае OTP придётся иметь более дорогой второй телефон.
Альфа в прошлом году упоиналась в какой-то новости в связи с тем, что обнаружила смену сим-карты через полгода после смены. Непонятно, как у них там вообще всё работает, если возможность проверки у них есть, а они ею пользуются настолько редко...
Это не кривая аналогия, а полностью прямая. "Продвинутый пользователь" может хотеть чего угодно, но у любой его хотелки есть цена, трудозатраты и необходимая поддержка. А таких будут единицы даже не из тысячи, а из десятков, если не сотен тысяч.
мне не наплевать на мои деньги
За деньги пользователя возможен любой каприз. Например, можно создать свой собственный банк и показать всем, как можно успешно монетизировать свои компетенции в области защиты данных с использованием аппаратных решений для мелкорозничной клиентуры. А пока мы имеем то, что имеем: редкие риски, создаваемые смс (реально редкие, подчеркну!) не идут ни в какое сравнение с расходами на поддержку множества сложных вариаций OTP, где надо разработку и тестирование, регулярный аудит, поддержку, обучение специалистов всех линий, покупку и логистику устройств и ещё много чего. И это в условиях, когда этим интересуется реально незначительная часть клиентов.
Назовите мне уже скорее эти некоторые российские банки в которых сегодня я могу сделать следующее:
А почему я должен отвечать за какие-то другие банки? Я на этом сайте лишь высказываю своё мнение на основе своих знаний и опыта (в том числе опыта работы в сфере, приближенной к банковской). Что могут банки надо спрашивать у этих банков, я не буду за ними бегать и выяснять.
Точно знаю на примере одного знакомого, что у Сбербанка вполне можно отключить услугу "сбербанк-онлайн" вообще и даже залогиниться в него будет невозможно (а для починки пришлось ногами в отделение идти), возможно там есть и другие варианты опций, типа лимитов на суммы, например.
Не надо по себе судить обо всех других людях. У большинства пароль в одноклассниках такой же, как в сбербанк-онлайне. И немалая часть этого большинства смело много раз вводила этот пароль на страницах сервисов типа "узнать, кто заходил на мою страницу". Шансов, что случится такое, в тысячи и тысячи раз больше, чем что у очень продвинутого пользователя перехватят смс.
Вот как раз против перевыпуска симок у многих банков есть защита: после перевыпуска банк блокирует отправку смс на номер. До кучи, некоторые операторы сами блокируют отправку смс на номер 24 часа после перевыпуска симки или MNP. На всякий случай.
Да, дикие неудобства, когда тебя на улице можно ограбить, поэтому предлагаю каждому человеку нанять себе телохранителя 24/7. Но так ведь не делают?
Железное устройство для подобной задачи - это не продукт для массового пользования. Там много проблем будет. И цена, и проблемы с установкой драйверов, и сложности с подключением к мобильным устройствам (далеко не каждый девайс имеет OTG хост, не говоря уже о возможных сложностях подключения и настройки при его наличии). Потом, всё это дело надо саппортить миллионам хомячков. И эти хомячки будут страшно недовольны возникающим неудобствам для их комфорта.
При этом некоторые банки такое предлагали и даже отдельные вот предлагают. Но это спросом не особо пользуется. Потому что риск потери денег не так велик, как раздражают сложности.
Проблема наступает, когда хакер такой доступ имеет
Если хакер имеет доступ к смс, то да, проблема наступает. Но при этом она наступает иногда (когда случаются утечки, как эта, например). А вот при полном отсутствии OTP вообще хотя бы по смс проблема не только наступает, а присутствует перманентно. Достаточно узнать или просто угадать пароль пользователя. Я об этом и говорю. Риски использования смс в качестве канала доставки OTP и риски вообще неиспользования никаких OTP несравнимы.
Это не только расходы для банка (а точнее даже для пользователя банка, ведь расходы эти переложат на пользователя), но и дикие неудобства для пользователя. Поэтому все эти альтернативные способы были так мало распространены даже там, где они были доступны как опция.
VK открыл доступ к сервису для быстрого переноса видео с YouTube — VK Video Transfer
Да, конечно, и поэтому они уверяют, что в случае блокировки ютуба озаботятся поддержанием его работы. Но одно дело обещать, а другое - выдержать такую нагрузку.
При условии, что пользователь вручную выберет низкое качество. Некоторые пользователи, вон, даже торрент-клиент забывают выключить.
VK открыл доступ к сервису для быстрого переноса видео с YouTube — VK Video Transfer
Так он не для просмотра видео задуман. Там 2 Гб в день на бесплатном тарифе, а платных пока не завезли. И ещё вопрос, насколько им хватит донатов на поддержание сервиса даже на текущем уровне.
Что такое ТРИЗ?
И соционика тоже, ну и что? А зачатки инфоцыганства вообще, я думаю, существовали одновременно с зачатками государственности.
Python: потоки по-другому
Зачем везде вставлять pass? Число строк в качестве KPI было в моде совсем давно...
Правительство выделило Минцифры 1,5 млрд рублей на льготную ипотеку для IT-специалистов
Может дадут, а может не дадут. Они же никаких обязательств на себя не взяли. Это ещё один риск участия в подобной лотерее.
Приставы начали принудительное взыскание с Meta* 2 млрд рублей оборотного штрафа
У Гугла в России даже офис был с сотрудниками. Весьма возможно, что на счетах осталось прилично. У Меты огромный вопрос успело ли появиться хоть что-то, кроме формального адреса и бухгалтерии на аутсорсе.
Правительство выделило Минцифры 1,5 млрд рублей на льготную ипотеку для IT-специалистов
И ещё огромный вопрос, каким будет реальный курс рубля в момент "возмещения"...
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Так я ещё раз повторю, что если бы была возможность так просто отказаться от смс вообще в пользу генерации OTP в приложении, то банки руками и ногами были бы за него. Не потому что их волнует чей-то ущерб. А потому что смс для них - это очень большая статья расходов. Поэтому-то банки так сильно интересуются вопросом доставки уведомлений пушами (довольно дёшево) или мессенджерами (те заломили цены до не очень интересных, устав от спамеров). А вот отдельные приложения для OTP (на то же самое устройство, замечу) не очень зашли.
Причём предположения о том, что наличие таких приложений как-то принципиально изменит ситуацию, остаются предположениями.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Если это так просто, почему десятки отечественных банков так упорно этого не делают? Наверное, потому что только кажется, что это так просто?
Если бы можно было надёжно генерировать OTP на устройстве, банки бы ещё и сэкономили миллиарды рублей, которые сейчас тратят на дорогие смс. Они очень заинтересованы в отказе от смс. Но такое вот "очевидное" решение почему-то не применяют.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Меня никто не заставляет. Но я прекрасно понимаю, что люди, которые предлагают это или какие-то ещё решения, в основном даже не задумывались о том, насколько сложно это сделать, какие там риски, какие задачи требуется решить...
Дело не в количестве ресурсов. Дело в оверсложности задачи в первую очередь. И рисках непредвиденного развития ситуации, которые могут затмить скандалы с утечками отдельных смс.
В конце концов, "Сбербанк-Онлайн" формально не работает на рутованных устройствах, но народ ведь научился его обманывать? Это ведь намного более простая задача. А тут требуется совершенно другой уровень надёжности.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Вот алгоритм генерации в брелке может быть даже известен, просто он зависит от ключа, который нельзя достать просто так из устройства (придётся физически разбирать). Если же алгоритм будет зависеть в качестве ключа, например, от серийника устройства или install_id приложения, то при наличии даже непрямого доступа к телефону (привет фальшивым приложениям в сторах или безобидным игрушкам, собирающим данные "в целях анонимной статистики"), то можно будет генерировать OTP как будто они сгенерированы на телефоне. Чтобы исключить или как минимум усложнить такой вариант, придётся думать намного больше и прорабатывать сценарии намного сложнее, чем позволяют узкие поля этого сайта.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Я пишу о том, какие есть механизмы, а не как они реализованы в каком-то конкретном банке.
Если есть проблема, которую допустил альфабанк, это вопрос к альфабанку. Я знаю другие банки, которые реально делают проверку на каждую значимую операцию (даже если пять минут назад уже проверяли) у любого клиента, кроме, может, такого, у кого на счёте сто рублей только лежит.
Если у какого-то банка есть проблема, её надо решать, а не требовать взамен неё делать ещё десять разных сложных дорогих решений, за которые кто-то ещё и заплатить должен.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Для софтверных OTP возникнет другой риск. Если алгоритм генерации ломанут (а при доступе к скомпилированному коду это вполне возможно), то потенциальный ущерб может быть весьма огромным, и его, в отличие от дырок утечки смс, будет закрыть не так просто.
До кучи, если источник OTP находится там же, где и мобильное приложение, остаются все вопросы, которые были к наличию смс на том же устройстве, где и МП. И если в случае смс можно было получать пароли на дешёвый отдельный телефон, то в случае OTP придётся иметь более дорогой второй телефон.
В общем, не всё так просто...
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Альфа в прошлом году упоиналась в какой-то новости в связи с тем, что обнаружила смену сим-карты через полгода после смены. Непонятно, как у них там вообще всё работает, если возможность проверки у них есть, а они ею пользуются настолько редко...
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Это не кривая аналогия, а полностью прямая. "Продвинутый пользователь" может хотеть чего угодно, но у любой его хотелки есть цена, трудозатраты и необходимая поддержка. А таких будут единицы даже не из тысячи, а из десятков, если не сотен тысяч.
За деньги пользователя возможен любой каприз. Например, можно создать свой собственный банк и показать всем, как можно успешно монетизировать свои компетенции в области защиты данных с использованием аппаратных решений для мелкорозничной клиентуры. А пока мы имеем то, что имеем: редкие риски, создаваемые смс (реально редкие, подчеркну!) не идут ни в какое сравнение с расходами на поддержку множества сложных вариаций OTP, где надо разработку и тестирование, регулярный аудит, поддержку, обучение специалистов всех линий, покупку и логистику устройств и ещё много чего. И это в условиях, когда этим интересуется реально незначительная часть клиентов.
А почему я должен отвечать за какие-то другие банки? Я на этом сайте лишь высказываю своё мнение на основе своих знаний и опыта (в том числе опыта работы в сфере, приближенной к банковской). Что могут банки надо спрашивать у этих банков, я не буду за ними бегать и выяснять.
Точно знаю на примере одного знакомого, что у Сбербанка вполне можно отключить услугу "сбербанк-онлайн" вообще и даже залогиниться в него будет невозможно (а для починки пришлось ногами в отделение идти), возможно там есть и другие варианты опций, типа лимитов на суммы, например.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Не надо по себе судить обо всех других людях. У большинства пароль в одноклассниках такой же, как в сбербанк-онлайне. И немалая часть этого большинства смело много раз вводила этот пароль на страницах сервисов типа "узнать, кто заходил на мою страницу". Шансов, что случится такое, в тысячи и тысячи раз больше, чем что у очень продвинутого пользователя перехватят смс.
Вот как раз против перевыпуска симок у многих банков есть защита: после перевыпуска банк блокирует отправку смс на номер. До кучи, некоторые операторы сами блокируют отправку смс на номер 24 часа после перевыпуска симки или MNP. На всякий случай.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Да, дикие неудобства, когда тебя на улице можно ограбить, поэтому предлагаю каждому человеку нанять себе телохранителя 24/7. Но так ведь не делают?
Железное устройство для подобной задачи - это не продукт для массового пользования. Там много проблем будет. И цена, и проблемы с установкой драйверов, и сложности с подключением к мобильным устройствам (далеко не каждый девайс имеет OTG хост, не говоря уже о возможных сложностях подключения и настройки при его наличии). Потом, всё это дело надо саппортить миллионам хомячков. И эти хомячки будут страшно недовольны возникающим неудобствам для их комфорта.
При этом некоторые банки такое предлагали и даже отдельные вот предлагают. Но это спросом не особо пользуется. Потому что риск потери денег не так велик, как раздражают сложности.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Если хакер имеет доступ к смс, то да, проблема наступает. Но при этом она наступает иногда (когда случаются утечки, как эта, например). А вот при полном отсутствии OTP вообще хотя бы по смс проблема не только наступает, а присутствует перманентно. Достаточно узнать или просто угадать пароль пользователя. Я об этом и говорю. Риски использования смс в качестве канала доставки OTP и риски вообще неиспользования никаких OTP несравнимы.
Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»
Это не только расходы для банка (а точнее даже для пользователя банка, ведь расходы эти переложат на пользователя), но и дикие неудобства для пользователя. Поэтому все эти альтернативные способы были так мало распространены даже там, где они были доступны как опция.
СМИ: Huawei с конца марта не заключает новые контракты на поставку сетевого оборудования российским операторам связи
Ну так и мой не про страну, а про то, что может означать (я лишь предположил, не утверждал) упоминание некоего числа в некоем комментарии.