metaclass: (Default)
metaclass ([personal profile] metaclass) wrote2010-04-27 09:05 am
  • Add Memory
  • Share This Entry

Я пень.

Забыл оплатить городской телефон в этом месяце. Если бы не робот-автоинформатор белтелекома, который мне позвонил и напомнил - мне бы телефон отключили, видимо.

Взять что ли повесить в коридоре на стену моник, выводить на него задачи из домашнего баг-трекера, а помещать их туда автоматом по расписанию и дополнительными методами вроде "анализ веса мусорки - для выбрасывания мусора" и "по блютузу опрашивать сотовые телефоны, заставляя их посылать USSD запросы на определение баланса и помещать напоминалку для оплаты".

Видимо, печальнее этого только написать робота, который будет автоматически платить за квартиру, интернет и телефоны через инет-банк.
Flat | Top-Level Comments Only

[identity profile] aamonster.livejournal.com 2010-04-27 10:31 am (UTC)(link)
Ага, и стандартно прикрутить вход для вирусов =).
Нах-нах, такие вещи надо делать как-нибудь защищённо, чтобы левый платёж не мог пройти. Грубо говоря, на уровне "платёж заранее формируется в банке и подписывается, а проводится по сигналу" (что делает использование токена для собственно отправки ненужным).

[identity profile] metaclass.livejournal.com 2010-04-27 10:52 am (UTC)(link)
Так двухсторонняя аутентификация же. Банк аутентифицируется токену, а токен банку.

[identity profile] aamonster.livejournal.com 2010-04-27 10:59 am (UTC)(link)
А, я что-то затупил - меня переклинило, что речь идёт о том, чтобы дать своим скриптам возможность пользоваться токеном, чтобы они за вас сами счета оплачивали. Ну типа без интерфейса с юзером.

Интересно, как сейчас решается проблема "криптотокен + вирус на компе".
(в смысле, я вообще не вполне понимаю, как можно обеспечить надёжную защиту, если отображением счёта на оплату и кнопкой "оплатить" ведает потенциально скомпрометированный комп... в плане безопасности меня радует только webmoney+enum.ru)

[identity profile] metaclass.livejournal.com 2010-04-27 11:19 am (UTC)(link)
Вроде никак не решается, судя по количеству банковских троянов. Т.е. теоретически проблема не разрешима (все что делает пользователь, может сделать вирус), а практически всякие обходные маневры (типа экранных клавиатур для ввода пин-кода) на некоторое время усложняют вирусописателям жизнь.

[identity profile] w00dy.livejournal.com 2010-04-27 12:07 pm (UTC)(link)
> Интересно, как сейчас решается проблема "криптотокен + вирус на компе".

Усложнить процедуру входа. У меня вход происходит через логин/пароль плюс код по sms. Ещё есть уведомление о транзакциях по sms плюс можно ключ поменять и сгенерить его самостоятельно. Тобишь если вирус догадался дождаться момента логина и провернул транзакцию самостоятельно, то остаётся только блокировать ключ, потом неспеша искать чистый комп, генерить его вручную ключ и засылать в банк на подпись.

[identity profile] aamonster.livejournal.com 2010-04-27 12:22 pm (UTC)(link)
Т.е. код по sms приходит при логине и не зависит от содержимого транзакции? И после логина можно выполнить ровно одну транзакцию? И в теории троян может подменить одну транзакцию (другая сумма и получатель)?

Тогда логично усовершенствовать ещё - вместе с кодом в той же sms присылать содержимое транзакции, чтобы проверить. Или так и сделано?

[identity profile] w00dy.livejournal.com 2010-04-27 12:31 pm (UTC)(link)
не, код по sms нужен только для логина, дальше уже кто куда хочет, туда столько транзаций и шлёт пока деньги не кончатся.

Но меня, впрочем, спасает то что счёт открыт на юрлицо, а там куча своих (дурацких) ограничений, в итоге почти все транзакции проходят проверку операционистом (или кто там сидит) в банке и деньги можно пересылать только другим юрлицам. Так что деньги всегда можно будет вернуть, главное не прохлопать sms и позвонить в банк.

Так что думаю реализовать толковую защиту можно достаточно просто, ввести список довереных получателей, для которых платежи уходят без проблем и задержек, а для всех остальных ввести авторизацию по sms.
Flat | Top-Level Comments Only