Сервис Mail-money от Mail.ru

Аферы с электронными деньгами существовали в США. Известная американская компания PayPal в свое время погрязла в судебных процессах по исковым требованиям пользователей. Правда причина скандалов в том случае была определна не технической незащищенностью (впрочем было и это), и как следствие утечкой важной информации, а нечестными действиями персонала. Я думаю, многое зависит здесь от компании, предлагающей услуги электронных платежей, от серьезности ее подхода к делу, чистоплотности, технической грамотности и т.п. На территории РФ успешно действует система WM уже несколько лет. Да не будет расценено мое сообщение как реклама, но этой системе я доверяю. Надеюсь, что это доверие сохранится и в дальнейшем. Правда крупных сумм там не держу (да их и нет просто).

Нашу контору (а это несколько тысяч человек!) принудительно перевели на получение зарплаты по электронным картам Сбербанка (ну, были несколько обструкционистов, типа меня, которые отказались это делать и теперь абсолютно спокойно и без всяких очередей получают деньги в кассе).

Аналогичная ситуация. Правда вмешался трудовой коллектив. В результате все равно перевели, однако прелюдно обещали разочаровавшимся в пользовании карточками возможность возврата к традиционному способу получения заработной платы через кассу.

Аналогичная ситуация. Правда вмешался трудовой коллектив.

Вам хорошо! У нас люди более беззащитны и манипулируемы, ибо ... (ладно, не буду писать, где именно я служу!).. и профсоюза нет. Поэтому понятия "трудовой коллектив" в хорошем смысле тоже не существует...

Но поддаваться было нельзя: по законодательству вас (и нас) не могут обязать получать деньги именно по картам, если это не зафиксировано в договоре:

**ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ
Статья 136. Порядок, место и сроки выплаты заработной платы**

(...)
Заработная плата выплачивается работнику, как правило, в месте выполнения им работы либо перечисляется на указанный работником счет в банке на условиях, определенных коллективным договором или трудовым договором.

Место и сроки выплаты заработной платы в неденежной форме определяются коллективным договором или трудовым договором.

Заработная плата выплачивается непосредственно работнику, за исключением случаев, когда иной способ выплаты предусматривается законом или трудовым договором.
(...)

У mail.ru вообще своеобразный взгляд на защиту данных. Кому-то ещё может быть памятен этот случай четырёхлетней
давности. На сегодня единственное упоминание о защите

В частности, речь на http://old.pgpru.com/documents/mailru.htm содержит:

Если сразу после удаления файла запустить какую-либо восстанавливающую программу типа Norton Unerase или Norton
DiskEdit, то с большой долей вероятности файл будет восстановлен.

Нет, как это не странно бы звучало... Но именно на FreeBSD стоит mail.ru, посему нортон давно уже лежит в гробу. Хотя
программы для восстановления файлов написать можно, до сих пор нет ни одной программки по
восстановлению стёртых файлов в UFS1 и UFS2 (такой, какой бы могли воспользоваться не программисты высшего ранга :))

Выживают все mail.ru самый популярная почтовая служба в России. Пользователям глубоко наплевать на
privacy.

Да, нет... Все сейчас сидят под gmail'ом из тех, кто хоть что-то понимает в компьютерах. Это тысячи людей. Я бы даже
так сказал: найди нормального человека, умеющего спокойно пользоваться командной строкой, и при этом работающего с
чем-то отличным от gmail из публичных сервисов :)

Все сейчас сидят под gmail'ом из тех, кто хоть что-то понимает в компьютерах. Это тысячи людей. Я бы даже
так сказал: найди нормального человека, умеющего спокойно пользоваться командной строкой, и при этом работающего с
чем-то отличным от gmail из публичных сервисов

... а те, кто что-то понимает в политической обстановке, :D сидят НЕ под Gmail.

Всеми любимый G-o-o-o-o-gle в угоду китайскому коммунистическому правительству, чтобы удержаться на их net-рынке, уже заблокировал в своем китайском локализованном аналоге поисковика некоторые «некошерные» слова, типа «Тайвань», «антиправительственная секта такая-то» (не помню названия) и т.п.

И тут мне стала еще более ситуация активно не нравиться! Если в Китае владельцы ГУГЛ поступили таким образом, то никто не помешает им в другом месте поступить аналогичным образом (в т.ч. и с обрабатываемыми и хранящимися почтовыми сообщениями, благо они и не скрывают, что перелопачивают всю почту сканером по 100 раз в день; чем, кстати, параллельно занимается еще одна хорошо известная правительственная американская контора... имен называть не буду! И не только американская!)

Абсурден также завуалированный рекламный призыв хранить свои письма на 2-х гигабайтном ящике! Для чего? Чтобы их текст был как можно большее количество раз проиндексирован? Любое пришедшее письмо надо побыстрее скачать, а тем более – удалить с сервера!

А про предложение глобальной индексации всех ваших файлов на машине с последующим расшариванием результатов я вообще не говорю!

Так что все-таки люди, спокойно умеющие пользоваться командной строкой, сидят все же на своих(!), как можно более удаленных(!) от места проживания, серверах на SSL и HTTPS. А если нет возможности – заводят ящичек на www. SAFe-mail.net :D

И поймите, пожалуйста, меня правильно. Я ни в коем случае не собирался и не собираюсь с Вами полемизировать – в принципе, каждый выбирает для себя свои собственные средства анонимности и защиты privacy. Просто мне хотелось обратить внимание на риски, возникающие при использовании некоторых "раскрученных" сервисов.

Равно как я нисколько не демонизирую ГУГЛ – ребята просто молодцы: запустить и поддерживать такую сложную и мощную штуку действительно тяжело. Но бездумно пользоваться ВСЕМ, что предлагается сейчас ими на веб-рынке, я бы не стал!

Глубоко пофиг, на какой странице ВВОДЯТСЯ пароли. Они обычно вводятся на незащищенном компьютере клиента, к радости хакеров полном вирусов, троянов и кейлогеров.

Для безопасности системы, работающей через web, важно куда этот пароль потом ПОСТИТСЯ.

С этой точки зрения MoneyMail требованиям безопасности удовлетворяет:

<form method="post" action="https://money.mail.ru/">

Браузер при обработке поста сначала откроет HTTPS-соединение (с проверкой SSL-сертификата), а потом уже будет что-либо передавать.

Только что проверил. Регистрация прошла без использования httpS. На страничке сообщение с указанием об оджидании письма для подтверждения регистрации. Пароль уже был введен.

Кстати говоря, на https://money.mail.ru/ в сертификате указано, что открытый ключ RSA (512 бит). Это вообще серьезная защита данных-то будет через SSL?

Кстати говоря, на https://money.mail.ru/ в сертификате указано, что открытый ключ RSA (512 бит). Это вообще серьезная защита данных-то будет через SSL?

Нет

Икспэртег, а о такой штуке, как phishing или pharming, Вы слышали? Большинство пользователей, если и слышало, то до сих пор не придаёт этому значания, к счастью спамеров и тех же хакеров, опять же.

Важнее как раз то, куда пароль вводится. В противном случае не может быть никаких гарантий относительно того, куда он постится. Сертификат SSL прежде всего подтверждает аутентичность сайта (домена). (Шифрование трафика — это уже вопрос второй, оно может и не поддерживаться.) Если же форма для ввода пароля находится на неаутентифицированной странице, какие могут быть гарантии защиты данных?

Всё, как обычно: если обмен ключом производится с неаутентифицированной стороной, зашифрованный этим ключом канал не может считаться защищённым.

Кстати говоря, на https://money.mail.ru/ в сертификате указано, что открытый ключ RSA (512 бит).

УжОс!

Я один из тех фанатов-идеалистов, кто пытается внедрить электронную наличность, и знаю этот народ достаточно хорошо. Как с технической, так и с финансовой точки зрения Российские WebMoney (вместе с Paymer) как раз очень даже продуманая и хорошо реализованая система. Я бы даже сказал, что они более надежны, чем российские банки. Кризис 1998-го года и все последующие мини-кризисы они прекрасно перенесли. У них многому можно научиться.
money.mail.ru действительно игрушка, но ей практически никто и не пользуется.

Несколько слов о системе WebMoney.
В последних версиях wm-classic используется новая система ключей. При этом для авторизации кошелька нет необходимости каждый раз вставлять носитель с ключом в привод. Я отправлял вопрос в службу поддержки о безопасности такой авторизации примерно такого содержания:

Если кипер входит сам без запроса ключей, значит материал ключа все равно хранится в файловой системе и следовательно его можно похитить.
Иначе, если материала ключа нет в фаловой системе, физически проосто не возможно провести аутентификацию пользователя.
Вы уверены, что такую схему защиты взломать настолько же трудно как и взломать сам ключ (если только не провести его факторизацию, на что уйдут тысячи лет)? Материал ключа лежит в файловой системе. Я бы не ставил здесь знака равенства.

Ответ:

Временный ключ, который хранится у Вас локально может использован только на Вашей машине и только в Вашей ученой записи.

Приводится такая ссылка http://www4.webmoney.ru/faq/resp3_09_key_whatis.shtml
Может быть я ошибаюсь, но на мой взгляд ранее было более надежно, когда при каждом входе в систему нужно было вставлять CD с ключом, при этом размер контейнера ключа мог достигать сотни мегабайт, чего сейчас нет. Eсть и улучшения правда. В последних версиях classic материал секретного ключа зашифрован и для доступа к нему нужен код, чего не было ранее. Хотя опять же он вводится только при инициализации кошелька (входе после переустановке системы или с другой машины).


PS И вот еще ссылка http://www.securitylab.ru/news/269984.php
Я не склонен считать, что такие новости могут быть 100 процентно точны и произошел сбор всех адресов, в том числе закрытых для просмотра (тем более писал маркетолог). Угрозы для кражи средств я то же считаю нет, т.к. ключи и пароли не хранятся на серверах wm. Тем не менее новость на сайте висит, интересно было бы знать Ваше мнение.

Интересно было бы узнать Ваше мнение по поводу безопасности такого способа использования ключей. В целом знатоки wm утверждают, что такая схема наиболее оптимальна, но меня что-то терзают смутные сомнения. :) Насколько безопасно можно использовать ключ таким способом, когда он привязан в железу и учетной записи?