Сервис Mail-money от Mail.ru
На mail.ru появился сервис mail-money. Не хочу заниматься антирекламой, но по моему там все сделано несерьезно. Ввод паролей производится на незащищенной странице. Интересны Ваши мнения на этот счет. Если направление моих мыслей не верно, не обижусь, если SATtva удалит эту тему.
Просто не хочется, что бы кто-нибудь остался с "носом".
У mail.ru вообще своеобразный взгляд на защиту данных. Кому-то ещё может быть памятен этот случай[link1] четырёхлетней давности. На сегодня единственное упоминание о защите — это https://secure.mail.ru, защищённо передающий только пароль (единственное применение этой функции, какое я вижу, — это доступ к ящику в инет-кафе).
Мне тотже кажется, что несерьезно. Кстати, разве в России WebMoney не повсемесно используется? На что mail.ru в таком случае рассчитывает?
Даже Яndex деньги на мой взгляд уступает WebMoney по безопасности, a это money@mail.ru — просто не серьезно.
Кстати, они там аукционный сайт запустили, где продавалось -3 (минус три) спорттовара, когда я смотрел. Всего около дюжини лотов предлогалось по всему сайту (на три порядка меньше, чем в molotok.ru). Амбиции, однако!
По видимому MAIL не желает отставать. Только эти потуги мне не нравяться. Представляете, если каждый интернет проект начнет свои деньги проталкивать направо и налево! Да еще в таком виде!
Не знаю, реклама ли это, но WM действительно наверное самая популярная, развитая и надежная система, по крайней мере в России, хотя территория ее действия – весь мир.
Нет, это не реклама WM, просто непонятно, на что mail.ru рассчитывает с системой по всем параметрам уступающей WM. Я — за рыночное соревнование и выбор, но для этого нужны серьезные конкуренты.
К сожалению, приобрести WM за пределами крупных городов бСССР достаточно сложно и дорого. Самый "прямой" путь: обмен через e-gold, но это дороговато. Все бизнесы на Западе, которые знают о WM, с удовольствием его принимают, но не продают. Я, например, готов предоставлять услуги (консультацию, програмированине, перевод и хостинг) за WM, но мне этот вид расчета еще никто не предлагал.
Д. Надь, добрый день!
Разрешите Вас немного поправить. Вы имели в виду скоре wm краты оплаты. Они действительно продаются к сожалению не везде. Кошельки же можно пополнить и банковским переводом например, правда банк берет свой процент, поэтому действительно получается несколько дороже. Как обстоят дела за рубежом мне не известно, Вы здесь конечно знаете лучше. Я могу судить лишь по данной странице[link2], дилеров за рубежом к сожалению действительно маловато.
Да и кроме диллеров. Найти пути покупки не так слозно
Вот допустим www.2pay.ru
Покупаю тут. Быстро и просто.
Ввод паролей по умолчанию на незащищённой странице. Но можно вручную переключиться на https://money.mail.ru/ — даже сертификат нормально оформлен. Однако это всё равно несерьёзно — обычный «пользователь» знать не знает ничего про https://.
Новое слово в защите клиентской информации: по умолчанию вы работаете по открытому http, но если догадаетесь как, можете переключиться в SSL-защищённый режим (мы даже корректно оформили SSL-сертификат на этот случай).
Что говорить, выживает сильнейший (умнейший). ;)
Это не новое слово, так везде сделано — клиентскую информацию никто не защищает. На той же почте Яндекса[link3] — по умолчанию ни через web-интерфейс, ни по POP/SMTP ничего не шифруется. Но если включить SSL, то всё вроде работает.
Только в Gmail[link4] страница ввода пароля через web недоступна без https://, и POP/SMTP тоже не работают без SSL/TLS.
Выживают все — mail.ru[link5] самый популярная почтовая служба в России. Пользователям глубоко наплевать на privacy.
Вот когда у клиентов money.mail.ru станут исчезать деньги со счетов, тогда может mail.ru и задумается.
А об электронной почте уж точно никто не заботится: ни пользователи, ни поставщики e-mail услуги; а самое главное, что даже если перехват e-mail сообщений происходит, то никто это не заметит, в отличие от денежных переводов.
Отнюдь. Здесь мы прежде всего говорим о платёжной системе, а не о публичной почте. В этом смысле mail.ru выбивается из общих рядов.
SATtva,
В защите клиентской информации — так везде, в платёжных системах — нет, конечно. В последних обычно куда бóльшее внимание безопасности уделяют (SSL и т.д.).
Да, я говорил о картах оплаты, так как это самый дешевий способ преобрести WM. Банковский перевод — жутко дорогой. Хуже только Western Union. Дилеров WM на Западе считанные единицы. Лондонский дилер был недоступен, когда я с ним пытался связаться. В NYC я последнее время небыл, не знаю, как там работают.
Дешевле всего получается через e-gold.
Насчет 2pay.ru, я не совсем понял, как у них <<удаленно>> купить WM, если это вообще возможо?
Что значит Удаленно я и сам не понял...
Но советую почитать
http://www.2pay.ru/text/buyer.html
если что там еще и ICQ консультанты есть...
http://money.mail.ru/
И до сих пор так и не исправили, хотя я им писал. И они даже отвечали что-то кажется.
Лучше всего относиться к предлагаемым «веб-деньгам» отечественного производства как к безобидной игре. Вспомните свое детство – вы наверняка играли «в магазин» каким-либо фантиками... :D
Поэтому учитывая абсолютно безалаберное отношение к защите данных в процессе передачи их от веб-клиента к серверу, а также общую (в кавычках) «осведомленность» :D народа о всякого рода криптографических изысках, «серьезность» подобных затей (когда чуть ли не каждый второй крупный сайт, подобно маленькому африканскому государству, пытается ввести свою собственную валюту и успешно продвинуть ее на мировой рынок) не вызывает никаких сомнений.
Мне кажется, что эта, как принято сейчас говорить, «фишка» с веб-деньгами (на территории x-USSR) в первую очередь предназначена для людей в относительно молодом (20-40 лет) возрасте, причем таких, которые, что называется, «стремятся идти в ногу с техническим процессом» – т.е. покупают «навороченные» гаджеты «все в одном флаконе» – зачем именно – не известно, зато модно и «круто»! :D
Вот вам очень хороший пример, вернее два.
Нашу контору (а это несколько тысяч человек!) принудительно перевели на получение зарплаты по электронным картам Сбербанка (ну, были несколько обструкционистов, типа меня, которые отказались это делать и теперь абсолютно спокойно и без всяких очередей получают деньги в кассе). А мой шеф соблазнился еще на и на такую услугу, как т.н. «мобильный банк» – это когда на мобильный телефон в случае каких-либо приходно-расходных операций автоматически посылаются текстовые сообщения о проведенной операции... Вот и представьте себе, это ведь не «веб-деньги» (10 центов за скачанную мелодию, 5 – за понравившуюся заставку в телефон), тут гораздо все серьезнее, ибо речь идет о больших суммах.... Человек ходит дико счастливый, :D через каждые пять минут проверяя свой баланс!
Я пытался объяснить ему современное состояние «шифрования» стандарта GSM (с учетом той информации, которая уже публиковалась на данном форуме)... но бесполезно. Человек абсолютно(!) уверен в сохранности тех личных учетных и финансовых данных, которые практически в открытом виде гуляют туда-сюда по эфиру, а также в том, что никто не сможет их квалифицированно перехватить и использовать во вред ему самому! Учитывая, что у нас в городе несколько лет назад уже проходил уголовный процесс по факту сканирования, перехвата и незаконного использования данных с чужих мобильных устройств – «оптимизм» его внушает опасения.
Это о «надежности».
Теперь второй случай – об «ответственности» стороны, обеспечивающей банковские услуги.
Те же электронные карты. Та же организация. Еще один коллега (замначальника) получает деньги в банкомате. Устройство проводит операцию, благополучно выдает чек, а вот деньги... не выползают. Тот едет в отделении банка, нас обслуживающего, там скрепя сердце принимают заявление и говорят: «рассмотрим вашу жалобу... в течение года!» Вот так! Вот и представьте – если в солидном казалось бы Сбербанке такое хамское отношение к клиентам, то что будет, если подобный случай произойдет, скажем, с вашими российскими «веб-деньгами». Кто будет нести ответственность за, допустим, ма-а-а-аленький сбой во время передачи данных... и, самое главное – найдете ли вы этого человека?
К слову пришлось – где-то читал, что шифрпанки на западе наотрез(!) отказываются пользоваться любыми электронными средствами платежа, которые позволяли бы как-то контролировать и влиять на их privacy... У остального народа, к сожалению, другой менталитет.
Аферы с электронными деньгами существовали в США. Известная американская компания PayPal в свое время погрязла в судебных процессах по исковым требованиям пользователей. Правда причина скандалов в том случае была определна не технической незащищенностью (впрочем было и это), и как следствие утечкой важной информации, а нечестными действиями персонала. Я думаю, многое зависит здесь от компании, предлагающей услуги электронных платежей, от серьезности ее подхода к делу, чистоплотности, технической грамотности и т.п. На территории РФ успешно действует система WM уже несколько лет. Да не будет расценено мое сообщение как реклама, но этой системе я доверяю. Надеюсь, что это доверие сохранится и в дальнейшем. Правда крупных сумм там не держу (да их и нет просто).
Аналогичная ситуация. Правда вмешался трудовой коллектив. В результате все равно перевели, однако прелюдно обещали разочаровавшимся в пользовании карточками возможность возврата к традиционному способу получения заработной платы через кассу.
Вам хорошо! У нас люди более беззащитны и манипулируемы, ибо ... (ладно, не буду писать, где именно я служу!).. и профсоюза нет. Поэтому понятия "трудовой коллектив" в хорошем смысле тоже не существует...
Но поддаваться было нельзя: по законодательству вас (и нас) не могут обязать получать деньги именно по картам, если это не зафиксировано в договоре:
В частности, речь на http://old.pgpru.com/documents/mailru.htm содержит:
Нет, как это не странно бы звучало... Но именно на FreeBSD стоит mail.ru, посему нортон давно уже лежит в гробу. Хотя
программы для восстановления файлов написать можно, до сих пор нет ни одной программки по
восстановлению стёртых файлов в UFS1 и UFS2 (такой, какой бы могли воспользоваться не программисты высшего ранга :))
Да, нет... Все сейчас сидят под gmail'ом из тех, кто хоть что-то понимает в компьютерах. Это тысячи людей. Я бы даже
так сказал: найди нормального человека, умеющего спокойно пользоваться командной строкой, и при этом работающего с
чем-то отличным от gmail из публичных сервисов :)
... а те, кто что-то понимает в политической обстановке, :D сидят НЕ под Gmail.
Всеми любимый G-o-o-o-o-gle в угоду китайскому коммунистическому правительству, чтобы удержаться на их net-рынке, уже заблокировал в своем китайском локализованном аналоге поисковика некоторые «некошерные» слова, типа «Тайвань», «антиправительственная секта такая-то» (не помню названия) и т.п.
И тут мне стала еще более ситуация активно не нравиться! Если в Китае владельцы ГУГЛ поступили таким образом, то никто не помешает им в другом месте поступить аналогичным образом (в т.ч. и с обрабатываемыми и хранящимися почтовыми сообщениями, благо они и не скрывают, что перелопачивают всю почту сканером по 100 раз в день; чем, кстати, параллельно занимается еще одна хорошо известная правительственная американская контора... имен называть не буду! И не только американская!)
Абсурден также завуалированный рекламный призыв хранить свои письма на 2-х гигабайтном ящике! Для чего? Чтобы их текст был как можно большее количество раз проиндексирован? Любое пришедшее письмо надо побыстрее скачать, а тем более – удалить с сервера!
А про предложение глобальной индексации всех ваших файлов на машине с последующим расшариванием результатов я вообще не говорю!
Так что все-таки люди, спокойно умеющие пользоваться командной строкой, сидят все же на своих(!), как можно более удаленных(!) от места проживания, серверах на SSL и HTTPS. А если нет возможности – заводят ящичек на www. SAFe-mail.net :D
И поймите, пожалуйста, меня правильно. Я ни в коем случае не собирался и не собираюсь с Вами полемизировать – в принципе, каждый выбирает для себя свои собственные средства анонимности и защиты privacy. Просто мне хотелось обратить внимание на риски, возникающие при использовании некоторых "раскрученных" сервисов.
Равно как я нисколько не демонизирую ГУГЛ – ребята просто молодцы: запустить и поддерживать такую сложную и мощную штуку действительно тяжело. Но бездумно пользоваться ВСЕМ, что предлагается сейчас ими на веб-рынке, я бы не стал!
Глубоко пофиг, на какой странице ВВОДЯТСЯ пароли. Они обычно вводятся на незащищенном компьютере клиента, к радости хакеров полном вирусов, троянов и кейлогеров.
Для безопасности системы, работающей через web, важно куда этот пароль потом ПОСТИТСЯ.
С этой точки зрения MoneyMail требованиям безопасности удовлетворяет:
<form method="post" action="https://money.mail.ru/">
Браузер при обработке поста сначала откроет HTTPS-соединение (с проверкой SSL-сертификата), а потом уже будет что-либо передавать.
Только что проверил. Регистрация прошла без использования httpS. На страничке сообщение с указанием об оджидании письма для подтверждения регистрации. Пароль уже был введен.
Кстати говоря, на https://money.mail.ru/ в сертификате указано, что открытый ключ RSA (512 бит). Это вообще серьезная защита данных-то будет через SSL?
Нет
Икспэртег, а о такой штуке, как phishing или pharming, Вы слышали? Большинство пользователей, если и слышало, то до сих пор не придаёт этому значания, к счастью спамеров и тех же хакеров, опять же.
Важнее как раз то, куда пароль вводится. В противном случае не может быть никаких гарантий относительно того, куда он постится. Сертификат SSL прежде всего подтверждает аутентичность сайта (домена). (Шифрование трафика — это уже вопрос второй, оно может и не поддерживаться.) Если же форма для ввода пароля находится на неаутентифицированной странице, какие могут быть гарантии защиты данных?
Всё, как обычно: если обмен ключом производится с неаутентифицированной стороной, зашифрованный этим ключом канал не может считаться защищённым.
УжОс!
Я один из тех фанатов-идеалистов, кто пытается внедрить электронную наличность, и знаю этот народ достаточно хорошо. Как с технической, так и с финансовой точки зрения Российские WebMoney (вместе с Paymer) как раз очень даже продуманая и хорошо реализованая система. Я бы даже сказал, что они более надежны, чем российские банки. Кризис 1998-го года и все последующие мини-кризисы они прекрасно перенесли. У них многому можно научиться.
money.mail.ru действительно игрушка, но ей практически никто и не пользуется.
Несколько слов о системе WebMoney.
В последних версиях wm-classic используется новая система ключей. При этом для авторизации кошелька нет необходимости каждый раз вставлять носитель с ключом в привод. Я отправлял вопрос в службу поддержки о безопасности такой авторизации примерно такого содержания:
Ответ:
Приводится такая ссылка http://www4.webmoney.ru/faq/resp3_09_key_whatis.shtml
Может быть я ошибаюсь, но на мой взгляд ранее было более надежно, когда при каждом входе в систему нужно было вставлять CD с ключом, при этом размер контейнера ключа мог достигать сотни мегабайт, чего сейчас нет. Eсть и улучшения правда. В последних версиях classic материал секретного ключа зашифрован и для доступа к нему нужен код, чего не было ранее. Хотя опять же он вводится только при инициализации кошелька (входе после переустановке системы или с другой машины).
PS И вот еще ссылка http://www.securitylab.ru/news/269984.php
Я не склонен считать, что такие новости могут быть 100 процентно точны и произошел сбор всех адресов, в том числе закрытых для просмотра (тем более писал маркетолог). Угрозы для кражи средств я то же считаю нет, т.к. ключи и пароли не хранятся на серверах wm. Тем не менее новость на сайте висит, интересно было бы знать Ваше мнение.
Интересно было бы узнать Ваше мнение по поводу безопасности такого способа использования ключей. В целом знатоки wm утверждают, что такая схема наиболее оптимальна, но меня что-то терзают смутные сомнения. :) Насколько безопасно можно использовать ключ таким способом, когда он привязан в железу и учетной записи?