Сервис Mail-money от Mail.ru
На mail.ru появился сервис mail-money. Не хочу заниматься антирекламой, но по моему там все сделано несерьезно. Ввод паролей производится на незащищенной странице. Интересны Ваши мнения на этот счет. Если направление моих мыслей не верно, не обижусь, если SATtva удалит эту тему.
Просто не хочется, что бы кто-нибудь остался с "носом".
комментариев: 510 документов: 110 редакций: 75
Аналогичная ситуация. Правда вмешался трудовой коллектив. В результате все равно перевели, однако прелюдно обещали разочаровавшимся в пользовании карточками возможность возврата к традиционному способу получения заработной платы через кассу.
комментариев: 143 документов: 19 редакций: 0
Вам хорошо! У нас люди более беззащитны и манипулируемы, ибо ... (ладно, не буду писать, где именно я служу!).. и профсоюза нет. Поэтому понятия "трудовой коллектив" в хорошем смысле тоже не существует...
Но поддаваться было нельзя: по законодательству вас (и нас) не могут обязать получать деньги именно по картам, если это не зафиксировано в договоре:
комментариев: 20 документов: 2 редакций: 0
В частности, речь на http://old.pgpru.com/documents/mailru.htm содержит:
Нет, как это не странно бы звучало... Но именно на FreeBSD стоит mail.ru, посему нортон давно уже лежит в гробу. Хотя
программы для восстановления файлов написать можно, до сих пор нет ни одной программки по
восстановлению стёртых файлов в UFS1 и UFS2 (такой, какой бы могли воспользоваться не программисты высшего ранга :))
Да, нет... Все сейчас сидят под gmail'ом из тех, кто хоть что-то понимает в компьютерах. Это тысячи людей. Я бы даже
так сказал: найди нормального человека, умеющего спокойно пользоваться командной строкой, и при этом работающего с
чем-то отличным от gmail из публичных сервисов :)
комментариев: 143 документов: 19 редакций: 0
... а те, кто что-то понимает в политической обстановке, :D сидят НЕ под Gmail.
Всеми любимый G-o-o-o-o-gle в угоду китайскому коммунистическому правительству, чтобы удержаться на их net-рынке, уже заблокировал в своем китайском локализованном аналоге поисковика некоторые «некошерные» слова, типа «Тайвань», «антиправительственная секта такая-то» (не помню названия) и т.п.
И тут мне стала еще более ситуация активно не нравиться! Если в Китае владельцы ГУГЛ поступили таким образом, то никто не помешает им в другом месте поступить аналогичным образом (в т.ч. и с обрабатываемыми и хранящимися почтовыми сообщениями, благо они и не скрывают, что перелопачивают всю почту сканером по 100 раз в день; чем, кстати, параллельно занимается еще одна хорошо известная правительственная американская контора... имен называть не буду! И не только американская!)
Абсурден также завуалированный рекламный призыв хранить свои письма на 2-х гигабайтном ящике! Для чего? Чтобы их текст был как можно большее количество раз проиндексирован? Любое пришедшее письмо надо побыстрее скачать, а тем более – удалить с сервера!
А про предложение глобальной индексации всех ваших файлов на машине с последующим расшариванием результатов я вообще не говорю!
Так что все-таки люди, спокойно умеющие пользоваться командной строкой, сидят все же на своих(!), как можно более удаленных(!) от места проживания, серверах на SSL и HTTPS. А если нет возможности – заводят ящичек на www. SAFe-mail.net :D
И поймите, пожалуйста, меня правильно. Я ни в коем случае не собирался и не собираюсь с Вами полемизировать – в принципе, каждый выбирает для себя свои собственные средства анонимности и защиты privacy. Просто мне хотелось обратить внимание на риски, возникающие при использовании некоторых "раскрученных" сервисов.
Равно как я нисколько не демонизирую ГУГЛ – ребята просто молодцы: запустить и поддерживать такую сложную и мощную штуку действительно тяжело. Но бездумно пользоваться ВСЕМ, что предлагается сейчас ими на веб-рынке, я бы не стал!
Для безопасности системы, работающей через web, важно куда этот пароль потом ПОСТИТСЯ.
С этой точки зрения MoneyMail требованиям безопасности удовлетворяет:
<form method="post" action="https://money.mail.ru/">
Браузер при обработке поста сначала откроет HTTPS-соединение (с проверкой SSL-сертификата), а потом уже будет что-либо передавать.
комментариев: 510 документов: 110 редакций: 75
комментариев: 49 документов: 2 редакций: 0
комментариев: 9796 документов: 488 редакций: 5664
Нет
комментариев: 11558 документов: 1036 редакций: 4118
Важнее как раз то, куда пароль вводится. В противном случае не может быть никаких гарантий относительно того, куда он постится. Сертификат SSL прежде всего подтверждает аутентичность сайта (домена). (Шифрование трафика — это уже вопрос второй, оно может и не поддерживаться.) Если же форма для ввода пароля находится на неаутентифицированной странице, какие могут быть гарантии защиты данных?
Всё, как обычно: если обмен ключом производится с неаутентифицированной стороной, зашифрованный этим ключом канал не может считаться защищённым.
УжОс!
money.mail.ru действительно игрушка, но ей практически никто и не пользуется.
комментариев: 510 документов: 110 редакций: 75
В последних версиях wm-classic используется новая система ключей. При этом для авторизации кошелька нет необходимости каждый раз вставлять носитель с ключом в привод. Я отправлял вопрос в службу поддержки о безопасности такой авторизации примерно такого содержания:
Ответ:
Приводится такая ссылка http://www4.webmoney.ru/faq/resp3_09_key_whatis.shtml
Может быть я ошибаюсь, но на мой взгляд ранее было более надежно, когда при каждом входе в систему нужно было вставлять CD с ключом, при этом размер контейнера ключа мог достигать сотни мегабайт, чего сейчас нет. Eсть и улучшения правда. В последних версиях classic материал секретного ключа зашифрован и для доступа к нему нужен код, чего не было ранее. Хотя опять же он вводится только при инициализации кошелька (входе после переустановке системы или с другой машины).
PS И вот еще ссылка http://www.securitylab.ru/news/269984.php
Я не склонен считать, что такие новости могут быть 100 процентно точны и произошел сбор всех адресов, в том числе закрытых для просмотра (тем более писал маркетолог). Угрозы для кражи средств я то же считаю нет, т.к. ключи и пароли не хранятся на серверах wm. Тем не менее новость на сайте висит, интересно было бы знать Ваше мнение.
комментариев: 510 документов: 110 редакций: 75