Я пень.

Apr. 27th, 2010 09:05 am
metaclass: (Default)
[personal profile] metaclass
Забыл оплатить городской телефон в этом месяце. Если бы не робот-автоинформатор белтелекома, который мне позвонил и напомнил - мне бы телефон отключили, видимо.

Взять что ли повесить в коридоре на стену моник, выводить на него задачи из домашнего баг-трекера, а помещать их туда автоматом по расписанию и дополнительными методами вроде "анализ веса мусорки - для выбрасывания мусора" и "по блютузу опрашивать сотовые телефоны, заставляя их посылать USSD запросы на определение баланса и помещать напоминалку для оплаты".

Видимо, печальнее этого только написать робота, который будет автоматически платить за квартиру, интернет и телефоны через инет-банк.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2010-04-27 09:25 am (UTC)
From: [identity profile] metaclass.livejournal.com
Вообще отсутствие в браузерах прямого интерфейса из жабаскрипта в аппаратные крипто-токены удивляет, по-моему это давно пора вкрутить стандартно :)

Date: 2010-04-27 09:28 am (UTC)
From: [identity profile] dizel-by.livejournal.com
Вообще-то интерфейс есть. Просто говнопидоры из банков об этом не в курсе. Им проще эктивХ написать, чем почитать, как это можно правильно сделать.

Date: 2010-04-27 09:39 am (UTC)
From: [identity profile] blacklion.livejournal.com
Да? Где читать?

P.S. Мой банк делает электронную подпись через Java-апплет. Это всё же чуть лучше чем ActiveX. Но всё ещё имеет проблемы с автоматизацией. Может быть, к счастью?

Date: 2010-04-27 09:44 am (UTC)
From: [identity profile] blacklion.livejournal.com
У меня ещё и ничего не запускает, сам ЭПЦ по ГОСТу реализует — я проверял, оно на FreeBSD работает даже без плясок с бубном, если Java стоит.

Date: 2010-04-27 02:26 pm (UTC)
From: [identity profile] dmzlj.livejournal.com
А что за банк? Pure Java ЭЦП это не "чуть лучше". Это просто волшебно и грамотно.
Edited Date: 2010-04-27 02:37 pm (UTC)

Date: 2010-04-27 04:14 pm (UTC)
From: [identity profile] blacklion.livejournal.com
Raiffeisen.ru

Date: 2010-04-27 09:55 am (UTC)
From: [identity profile] swizard.livejournal.com
Я не знаю как в белоруссии, но в россии интернет-банк (как ПО) должен пройти какую-то настолько чудовищную по трудоемкости процедуру сертификации, что большинство банков просто предпочитают тупо купить какую-то уже готовую реализацию, нежели писать что-то самим.

Отсюда походу и всякие допотопные активиксы.

Date: 2010-04-27 10:31 am (UTC)
From: [identity profile] aamonster.livejournal.com
Ага, и стандартно прикрутить вход для вирусов =).
Нах-нах, такие вещи надо делать как-нибудь защищённо, чтобы левый платёж не мог пройти. Грубо говоря, на уровне "платёж заранее формируется в банке и подписывается, а проводится по сигналу" (что делает использование токена для собственно отправки ненужным).

Date: 2010-04-27 10:52 am (UTC)
From: [identity profile] metaclass.livejournal.com
Так двухсторонняя аутентификация же. Банк аутентифицируется токену, а токен банку.

Date: 2010-04-27 10:59 am (UTC)
From: [identity profile] aamonster.livejournal.com
А, я что-то затупил - меня переклинило, что речь идёт о том, чтобы дать своим скриптам возможность пользоваться токеном, чтобы они за вас сами счета оплачивали. Ну типа без интерфейса с юзером.

Интересно, как сейчас решается проблема "криптотокен + вирус на компе".
(в смысле, я вообще не вполне понимаю, как можно обеспечить надёжную защиту, если отображением счёта на оплату и кнопкой "оплатить" ведает потенциально скомпрометированный комп... в плане безопасности меня радует только webmoney+enum.ru)

Date: 2010-04-27 11:19 am (UTC)
From: [identity profile] metaclass.livejournal.com
Вроде никак не решается, судя по количеству банковских троянов. Т.е. теоретически проблема не разрешима (все что делает пользователь, может сделать вирус), а практически всякие обходные маневры (типа экранных клавиатур для ввода пин-кода) на некоторое время усложняют вирусописателям жизнь.

Date: 2010-04-27 12:07 pm (UTC)
From: [identity profile] w00dy.livejournal.com
> Интересно, как сейчас решается проблема "криптотокен + вирус на компе".

Усложнить процедуру входа. У меня вход происходит через логин/пароль плюс код по sms. Ещё есть уведомление о транзакциях по sms плюс можно ключ поменять и сгенерить его самостоятельно. Тобишь если вирус догадался дождаться момента логина и провернул транзакцию самостоятельно, то остаётся только блокировать ключ, потом неспеша искать чистый комп, генерить его вручную ключ и засылать в банк на подпись.

Date: 2010-04-27 12:22 pm (UTC)
From: [identity profile] aamonster.livejournal.com
Т.е. код по sms приходит при логине и не зависит от содержимого транзакции? И после логина можно выполнить ровно одну транзакцию? И в теории троян может подменить одну транзакцию (другая сумма и получатель)?

Тогда логично усовершенствовать ещё - вместе с кодом в той же sms присылать содержимое транзакции, чтобы проверить. Или так и сделано?

Date: 2010-04-27 12:31 pm (UTC)
From: [identity profile] w00dy.livejournal.com
не, код по sms нужен только для логина, дальше уже кто куда хочет, туда столько транзаций и шлёт пока деньги не кончатся.

Но меня, впрочем, спасает то что счёт открыт на юрлицо, а там куча своих (дурацких) ограничений, в итоге почти все транзакции проходят проверку операционистом (или кто там сидит) в банке и деньги можно пересылать только другим юрлицам. Так что деньги всегда можно будет вернуть, главное не прохлопать sms и позвонить в банк.

Так что думаю реализовать толковую защиту можно достаточно просто, ввести список довереных получателей, для которых платежи уходят без проблем и задержек, а для всех остальных ввести авторизацию по sms.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

metaclass: (Default)
metaclass

April 2017

S M T W T F S
      1
2345678
9101112 131415
16171819202122
23242526272829
30      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 15th, 2025 08:09 pm
Powered by Dreamwidth Studios