Comments 136
Бвахахахаа. Кхм.
Вы бы заголовок хоть поменяли. Уязвимости там находили, и найдут ещё, к гадалке не ходи. Вот что данные через внешние счетчики не льёте — это может быть.
Вы бы заголовок хоть поменяли. Уязвимости там находили, и найдут ещё, к гадалке не ходи. Вот что данные через внешние счетчики не льёте — это может быть.
Вспомнилось интерьвью одного чиновника перед ОИ в Сочи, а в то время всех живо интересовали права секс-меньшинств в РФ (потом про них все разом позабыли и принядись обсуждать другую тему). Журналист спросил чиновника
как он собирается решать проблему нарушения прав геев во время Олимпиады, на что тот просто заявил, что в Краснодарском крае геев нет и потому проблем с ними тоже нет.
как он собирается решать проблему нарушения прав геев во время Олимпиады, на что тот просто заявил, что в Краснодарском крае геев нет и потому проблем с ними тоже нет.
UFO just landed and posted this here
Группа быстрого реагирования Сбербанка в деле!
Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Реализована ли проверка стороннего js-кода (со всяких метрик) каждый раз, когда грузится страничка Сбербанк Онлайн?
На самом деле современные браузеры защищают страницы от подмены содержимого на этапе передачи данных.
Естественно, HTTPS — хорошая штука, и её не зря придумали.
Таким образом, подмена содержимого возможна только при наличии локального доступа к компьютеру или при заражении компьютера вирусом.
Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?). И это как раз влияет на безопасность, в определённых случаях.
Админ с работы может и полноценную MITM-атаку замутить с перехватом всего трафика.
А если у кого-то есть локальный доступ к вашему незапароленному и незаблокированному ПК, то вы этот ПК уже не контролируете. И даже отсутствие админских прав у владельца такой учётки не спасёт.
А если у кого-то есть локальный доступ к вашему незапароленному и незаблокированному ПК, то вы этот ПК уже не контролируете. И даже отсутствие админских прав у владельца такой учётки не спасёт.
Но проблема в том, что локальный доступ к компьютеру всё-таки может быть у третьих лиц (пример — админ с работы), да и вирусы всё-таки существуют (вы же не будете отрицать это?)
Эмм, но каким боком тут будут безопасники сбера, если вы не следите за вашей машиной?
Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
А почему вы просто не перетащите нужные скрипты на свои сервера, чтобы эту дыру полностью закрытЬ?
Или можно использовать проверку хеша скрипта там где это возможно.
А почему бы вообще не реализовать свой велосипед для аналитики переходов? Ведь у Сбера имеется «грандиозная» лаборатория по разработки программных продуктов?! Тогда все вопросы по счетчикам отпадут сами собой
Какой категоричный заголовок. Где учат такой железобетонной уверенности?
Нафига там вообще нужны сторонние скрипты?
Знаете… Я вообще не веб программист.
Моя специализация — C++ и OpenGL…
Но даже я понял о чем говорил автор предыдущей статьи.
Он говорил о том, что сайт сбербанк-онлайн подгружает сторонние скрипты. Сторонние — это значит не находящиеся в ведении владельцев сайта.
То что вы там никуда ничего не отсылаете, совершенно не гарантирует, что это не отсылает левый скрипт, который вы загрузили из левого источника.
Товарищи веб-эксперты, поправьте пожалуйста меня… А то странное ощущение, что в Сбербанке идиоты сидят, которые даже не поняли в чем уязвимость. Но это просто не может быть правдой. Так что идиот здесь все таки я. Но не могу понять где…
Моя специализация — C++ и OpenGL…
Но даже я понял о чем говорил автор предыдущей статьи.
Он говорил о том, что сайт сбербанк-онлайн подгружает сторонние скрипты. Сторонние — это значит не находящиеся в ведении владельцев сайта.
То что вы там никуда ничего не отсылаете, совершенно не гарантирует, что это не отсылает левый скрипт, который вы загрузили из левого источника.
Товарищи веб-эксперты, поправьте пожалуйста меня… А то странное ощущение, что в Сбербанке идиоты сидят, которые даже не поняли в чем уязвимость. Но это просто не может быть правдой. Так что идиот здесь все таки я. Но не могу понять где…
А если thawte перевыпустит сертификат для сбера-онлайн, то сможет трафик перехватывать! irony
Я с вами в целом согласен.
Когда мне стали в личку присылать первую статью с вопросом дергаться или нет — я всегда отвечал что повода дергаться пока нет.
Но речь же не о том, насколько это опасно сейчас.
Речь о том, что это в целом дыра дырища.
А сейчас вдвойне смущает, что судя по всему господин эксперт не понимает вообще о чем речь.
Когда мне стали в личку присылать первую статью с вопросом дергаться или нет — я всегда отвечал что повода дергаться пока нет.
Но речь же не о том, насколько это опасно сейчас.
Речь о том, что это в целом дыра дырища.
А сейчас вдвойне смущает, что судя по всему господин эксперт не понимает вообще о чем речь.
Я не понимаю, почему все так хотят обосрать компанию даже если в этой области не разбираются.
Это не персонально к вам, а к 90% комментариям в обоих постах.
Google аналитика подключена во многих банках, и не только России (City bank US, итд.)
Кроме google, yandex и rutarget(это дочерняя компания Сбербанка), на сайт ничего стороннего не подключено.
Атака которая скомпрометирует google/yandex аналитику возможна только от Google/Yandex. И если допустить ее вероятность. То Сбербанк уж точно не будет первоочередной целью
Это не персонально к вам, а к 90% комментариям в обоих постах.
Google аналитика подключена во многих банках, и не только России (City bank US, итд.)
Кроме google, yandex и rutarget(это дочерняя компания Сбербанка), на сайт ничего стороннего не подключено.
Атака которая скомпрометирует google/yandex аналитику возможна только от Google/Yandex. И если допустить ее вероятность. То Сбербанк уж точно не будет первоочередной целью
вопрос в другом. если я захожу на сбербанк онлайн значит я осознанно доверяю свои данные сберу. значит ли это что я доверяю свои данные другим организациям?
Согласно пользовательскому соглашение Google аналитики. Вы доверяете свои данные только Сбербанку.
По факту это действительно так. Google собирает только обезличенную информацию.
Гипотетически Google может провести на вас атаку. Как в общем то и любая крупная корпорация. Железо в Сбере, все равно производит не он сам. Это все те же IBM,Cisco, etc.
Эти сервисы подключены не просто так. Как правило они используются UX специалистами, чтобы потом понимать, что удобно получилось в интерфейсе а что стоит переделать. И конечные изменения позитивно складываются на вас же.
По факту это действительно так. Google собирает только обезличенную информацию.
Гипотетически Google может провести на вас атаку. Как в общем то и любая крупная корпорация. Железо в Сбере, все равно производит не он сам. Это все те же IBM,Cisco, etc.
Эти сервисы подключены не просто так. Как правило они используются UX специалистами, чтобы потом понимать, что удобно получилось в интерфейсе а что стоит переделать. И конечные изменения позитивно складываются на вас же.
у меня другое направления мышления. 1 — я считаю что злоумышленники могут с определенной вероятностью получить доступ к ресурсам сбера. 2 — я расчитываю на этот риск и осознанно на него иду заходя в сбербанк онлайн и считаю что в данном случае ответственность несет сбер. 3 — я считаю что злоумышленники могут получить доступ к серверам гугла или яндекса. 4 — кто будет нести ответственность в данном случае?
я отлично понимаю что взломают скорее сбер, чем тот же гугл и ситуация чисто теоретическая, но в случае подобной утечки все косяки легко спишутся на «дырявый компьютер клиента», особенно при том что некий специалист заявляет что дыр у них 100% нет.
я отлично понимаю что взломают скорее сбер, чем тот же гугл и ситуация чисто теоретическая, но в случае подобной утечки все косяки легко спишутся на «дырявый компьютер клиента», особенно при том что некий специалист заявляет что дыр у них 100% нет.
Полностью защищенных систем не существует. Это всегда вопрос стоимости взлома. Взлом это не всегда в лоб, могут быть инсайды, соц. инженерия.
В том случае если взломают яндекс, скорее всего будет как то так:
У Сбера сработает антифрод. Который в банке действительно есть. И вывести деньги смогут у первой сотни человек(Из за двухфакторки, скорее даже меньше). Сбербанк онлайн выключится.(Как и весь интернет в России, взломали Яндекс!) Тем кого обокрали Сбер вернет деньги согласно законодательству сразу. И направит иск в Яндекс
В том случае если взломают яндекс, скорее всего будет как то так:
У Сбера сработает антифрод. Который в банке действительно есть. И вывести деньги смогут у первой сотни человек(Из за двухфакторки, скорее даже меньше). Сбербанк онлайн выключится.(Как и весь интернет в России, взломали Яндекс!) Тем кого обокрали Сбер вернет деньги согласно законодательству сразу. И направит иск в Яндекс
UFO just landed and posted this here
У html тэгов script есть очень полезный атрибут integrity, даже если яндекс взломают, работать подсунутое взломщиками не будет. Угадайте, заморачивается ли сбер такой мелочью?
вы про рекомендацию от wc3 вышедшую меньше года назад, которая не понятно на каких браузерах работает, которая защитит в очень отдельных случаях? И не понятно, константная ли хеш сумма у скрипта от яндекса.
Можно не меняя хеш сумму скрипта придумать разные вектора, если там идет подгрузка каких то данных из других сервисов яндекса(мы подразумеваем что Яндекс под контролем злоумышленника уже), то толку от integrity 0.
Можно не меняя хеш сумму скрипта придумать разные вектора, если там идет подгрузка каких то данных из других сервисов яндекса(мы подразумеваем что Яндекс под контролем злоумышленника уже), то толку от integrity 0.
А иск в Яндекс то с какого перепугу? Или у Сбера с ними коммерческий договор на метрику?
Тем кого обокрали Сбер вернет деньги согласно законодательству сразу.
Ага, проходили. Саппорт по телефону: ждите, в течение 30 рабочих дней, все должно придти. После 30 дней, мы ничего знаем, идите в свое отделение (где карточку получали), подавайте заявку на розыск средств, а чек уже выгорел…
в вашей истории не хватает одного нюанса, до того как деньги начнут снимать может быть скомпрометировано достаточно много данных. так что антифрод тут вряд ли поможет. я отлично понимаю что риск низок. выше об этом уже написал. просто нехорошее отношение.
Сбер никогда денег не вернет. Все действия, которые были инициированы с клиентским логином и паролем считаются действиями клиента, и не важно именно он их делал или нет. О чем прямо говорится в договоре
Эти сервисы могут собирать данные, вводимые в формы. И вот обезличинность уже становится такой личной, когда третьи лица имеют доступ к вашим деньгам (условный). Даже когда эти третьи лица не знают, что деньги ваши
Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере, вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта, вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
А еще вы доверяете всем сотрудникам компании, которой принадлежит данный сайт и всем их подрядчикам. Но, гугл аналитике вы при этом не доверяете.
Не доверяют не гугл аналитике, а тем кто может ей представится, подменить. И если от ОС или сотрудников банка вы не можете избавится, то в гугл аналитике жизненной необходимости нет.
Заходя на любой сайт вы автоматически доверяете авторам своей ОС, авторам своего браузера, авторам кучи других программ, установленных у вас на компьютере,
это мой компьютер, за него отвечаю я
вы так же доверяете провайдеру, через которого вы все это скачивали, вы доверяете центру сертификации выдавшему ssl сертификат данного сайта,
ssl считается доверенным по-умолчанию, и он же практически исключает необходимость в доверии к провайдеру.
вы доверяете авторам ОС, веб сервера и кучи других программ, который использует данный сайт.
все что стоит и лежит на этих серверах относится к организации которой я уже доверил деньги.
гугл аналитике вы при этом не доверяете.
я даже понятия не имею что кто то ее мне подгрузил
Но, гугл аналитике вы при этом не доверяете.
Логично.
А давайте я поставлю вам на компьютер свой кейлоггер, который будет сливать мне всё, набираемое вами на сайте сбербанк-онлайна? Или набираемое вами везде?
Я дам вам исходные коды, вы сможете убедиться, что он не делает ничего кроме заявленного. Если нужно, прямо на вашей машине его и скомпилируем, чтобы не было сомнения, что он всего лишь сливает всё, что набирается на странице и подпишу с вами договор, в котором торжественно обязуюсь не использовать слитые данные.
Ну а что, вы заходя на сбол уже доверяете своей операционной системе, центрам сертификации, браузеру, ..., и даже гугл аналитике, с доверия лично мне у вас не убудет — более того, в отличии от безликого гугла вы даже можете познакомиться со мной лично и у вас со мной будут защищённые законом договорные отношения.
К тому же, мой келоггер будет даже надёжнее гугловской аналитики!
Бинарник я изменить смогу только при согласовании с вами, в отличии от скриптов гугл-аналитики, которые могут подгрузиться другими в любой момент.
К тому же, у гугла-то были случаи, когда его особо доверенные инженеры, имеющие полный доступ к письмам всех пользователей gmail'а эту самую переписку читали, а у меня и сотрудников в этом примере не будет (меньше возможных точек злоупотребления), и репутация получше (случаев подобных сливов нет).
Согласны?)
Из всего списка что я привёл Гугл аналитика даже близко не является самым недоваренный источником, в отличие от вашего софта. Я не хочу сказать, что она вообще не влияет на безопасность. Но истерика поднятая этой статьей не соответствует степени проблемы.
Я думаю «истерика» тут не по поводу самой гугл аналитики, а из-за халатности сотрудников установивших ее, и от вот таких глупых оправдательных постов. У сбербанка, как они заявляют есть отличная лаборатория разработки программных продуктов, неужели они не смогли сделать себе простейшую аналитику если она так необходима? Это можно было бы сделать на серверных скриптах или вообще анализом логов сервер, они ведь только переходы пользователей отслеживают, как они заявляют
Я вообще не понимаю, о какой истерике речь.
Автор исходной статьи, конечно, слегка драматизировал ситуацию, но особой поддержки этой драмматизации со стороны сообщества я вообще не наблюдаю.
Я не вижу ни постов, ни комментариев с призывами сбежать из сбербанка или с криками о том, что завтра все наши данные украдут.
Скорее я вижу много комментаторов, которым, как и мне, такое техническое решение кажется непонятным и плохим. Нормальная тема для обсуждения.
В принципе, я был бы рад, если бы сюда пришёл кто-нибудь и объяснил, почему вот так и нужно делать, но увы.
Автор исходной статьи, конечно, слегка драматизировал ситуацию, но особой поддержки этой драмматизации со стороны сообщества я вообще не наблюдаю.
Я не вижу ни постов, ни комментариев с призывами сбежать из сбербанка или с криками о том, что завтра все наши данные украдут.
Скорее я вижу много комментаторов, которым, как и мне, такое техническое решение кажется непонятным и плохим. Нормальная тема для обсуждения.
В принципе, я был бы рад, если бы сюда пришёл кто-нибудь и объяснил, почему вот так и нужно делать, но увы.
все правильно истерике нет места, так как все понимают что конкретно в данной цепочке на самом деле сам сбер скорее всего и будет самым легкодоступным звеном.
собственно истерики и нет, есть недоумевание и непонимание зачем так делать. у меня еще непонимание действий тех, кто рьяно защищает сбер в данной ситуации. и я тоже был бы раз объянению.
немного аналогии. мы используем гуглопочту завязанную на наш домен и дропбокс для служебных целей. во-первых, наработки в плане фильтрации спама и юзабилити. во-вторых это дешевле чем изобретать велосипед самим. думаю из тех же соображений и подключена сторонняя аналитика. но, в данной ситуации нет третьих лиц. в случае хранения данных третьих лиц мы бы не стали ее хранить на дропбоксе.
собственно истерики и нет, есть недоумевание и непонимание зачем так делать. у меня еще непонимание действий тех, кто рьяно защищает сбер в данной ситуации. и я тоже был бы раз объянению.
немного аналогии. мы используем гуглопочту завязанную на наш домен и дропбокс для служебных целей. во-первых, наработки в плане фильтрации спама и юзабилити. во-вторых это дешевле чем изобретать велосипед самим. думаю из тех же соображений и подключена сторонняя аналитика. но, в данной ситуации нет третьих лиц. в случае хранения данных третьих лиц мы бы не стали ее хранить на дропбоксе.
дело не в том кто самый недоверенный источник, а сам факт подключения софта из левой конторы, про которую пользователь не уведомлен.
Google аналитика подключена во многих банках
На страницах, подобных Сбербанк-онлайн, не должно быть никаких сторонних скриптов в принципе. Аналитику хотите — пишите сами. Я, честно говоря, удивлен, как такое решение согласовала внутренняя безопасность. Это дыра размером с Эверест.
Даже в нашей мелкой конторе, сети магазинов с онлайн-заказами, когда мы объяснили руководству про сторонние скрипты, оно схватилось за голову и нагнуло маркетологов (по заказу которых мы навставляли всякого). И мы почти все скрипты вырезали с каталожных страниц, и вообще все — со страниц профиля и т.п.
Политика «вставим побольше трекеров» понятна с точки зрения анализа, но сама возможность, что поставщик трекера сохранит данные для себя на будущее (либо для ФСБ/ЦРУ/Моссада/...) лично для меня делает AdBlock, NoScript или аналоги обязательным первым действием на новом браузере.
Политика «вставим побольше трекеров» понятна с точки зрения анализа, но сама возможность, что поставщик трекера сохранит данные для себя на будущее (либо для ФСБ/ЦРУ/Моссада/...) лично для меня делает AdBlock, NoScript или аналоги обязательным первым действием на новом браузере.
1. У меня нет договорных отношений с Яндексом или Гуглом, почему мой браузер по указке Сбербанка инициирует подключение к этим ресурсам?
2. Включение сторонних скриптов снижает безопасность ресурса до безопасности самого слабозащищённого. Почему Сбербанк такого низкого мнения о своей инфраструктуре?
3. Как Сбербанк собирается гарантировать, что инициируемые моим браузером подключения ко внешним ресурсам являются подключениями именно к тем партнёрам, о которых он ведёт здесь речь?
2. Включение сторонних скриптов снижает безопасность ресурса до безопасности самого слабозащищённого. Почему Сбербанк такого низкого мнения о своей инфраструктуре?
3. Как Сбербанк собирается гарантировать, что инициируемые моим браузером подключения ко внешним ресурсам являются подключениями именно к тем партнёрам, о которых он ведёт здесь речь?
При заходе на Geektimes он ведь точно так же это делает. И на кучу других ресурсов.
При этом, если вы заходите незалогиненным, то у вас и договора с Geektimes никакого нет.
Это реалии современного веба: вместо того, чтобы хранить ресурсы (хотя бы, те же скрипты) локально, сайты используют CDN.
При этом, если вы заходите незалогиненным, то у вас и договора с Geektimes никакого нет.
Это реалии современного веба: вместо того, чтобы хранить ресурсы (хотя бы, те же скрипты) локально, сайты используют CDN.
У вас нет договорных отношений с магистральными провайдерами, почему ваш провайдер по указке программного обеспечения, установленного на ПК или смартфоне инициирует передачу трафика дальше в сеть? И почему вы пользуетесь полученным контентом?
Бывают же такие параноики, а… А может, и жена ваша — и не жена вовсе, а злобный зеленый монстр, замаскировавшийся под человека? А ещё вам насыпали не 3, а 2 ложки сахара в чай! Кто гарантирует, что кубик сахара не был отравлен?!
Бывают же такие параноики, а… А может, и жена ваша — и не жена вовсе, а злобный зеленый монстр, замаскировавшийся под человека? А ещё вам насыпали не 3, а 2 ложки сахара в чай! Кто гарантирует, что кубик сахара не был отравлен?!
Эм, если не касаться вопроса доверия владельцам счетчиков, то про магистральных провайдеров вы все же загнули. Ну заходите в онлайн банки по http и узнайте как можно доверять магистральным провайдерам. Для этого же https и придумали, а банки уже давно http не используют.
Ну возможно он не такой уж и злобный, к тому же это маловероятно (в истории таких случаев не зафиксировано). Двумя ложками сахара занимается роспотребнадзор, а отравленными кусками полиция. Виновных хотя бы постараются найти и наказать. А вот возместит ли Сбербанк украденные с помощью уязвимости деньги, очень сомнительно.
Пункт 2 нормального человека: гугдим «subresource Integrity», разобрав нагугленное добавляем тэгу script на нашей странице атрибут integrity, если этот очень нужный скрипт «там» подменят — работать [в нормальном браузере] он не будет. Пункт 2 курильщика: не делаем ничего такого, всем рассказываем про «звёздочки».
вообще не передается даже на компьютеры клиентов — эти данные маскируются, то есть скрываются «звездочками».— это сделало мой день. Эксперты такие эксперты…
PCI DSS вообще-то
3.3 Mask PAN when displayed (the first
six and last four digits are the maximum
number of digits to be displayed), such
that only personnel with a legitimate
business need can see the full PAN.
Да, претензии не к «звездочкам», а к контексту и подаче. Из серии «кто на ком стоял».
Неужели эксперту влом наделать скринов с «такая как фамилии, номера карт и счетов и т.д»? Подозрение, что эксперт не пользуется онлайн банком организации в которой работает.
И если честно, я не представляю комфортной работы в банковском приложении, когда вместо своей фамлии и номеров счетов я вижу звездочки, как работать-то?
И даже, больше, я не вижу практической ценности их скрывать.
Неужели эксперту влом наделать скринов с «такая как фамилии, номера карт и счетов и т.д»? Подозрение, что эксперт не пользуется онлайн банком организации в которой работает.
И если честно, я не представляю комфортной работы в банковском приложении, когда вместо своей фамлии и номеров счетов я вижу звездочки, как работать-то?
И даже, больше, я не вижу практической ценности их скрывать.
Мы не только полагаемся на репутацию наших партнеров, но и проверяем состав передаваемой информации.
Вы не можете этого сделать, поскольку информация передаётся внешним скриптом третьей стороны с компьютера клиента непосредственно на сервера этой третьей стороны. Все элементы находятся вне вашего контроля.
На самом деле могут, но не проверяют. Этим постом Сбербанк сделал ситуацию ещё хуже, доказав свою некомпетентность.
Господа, а потрудитесь объяснить почему в моем личном кабинете PayPal нету никакой сторонней аналитики?
Потому, что PP не настолько продвинут и высокотехнологичен и вообще погряз и закоснел в нулевых. Вот когда подтянет свой уровень до СБ, появится и сторонняя аналитика в этом вашем личном кабинете.
Что меня удручает в палке — это вот эта закоснелось. 2017 год. 2-факторная авторизация? Да, вот можете аппаратный токен купить. Но только для определённых стран. Россия? Извините, нет, мы вам не можем включить 2-факторную авторизацию, даже если вы каким-то образом получите токен.
Даже 2-факторная авторизация посредством кода, доставляемого через SMS, была бы лучше, чем совсем ничего (но хуже, чем приложение на смартфоне и аппаратный токен, естественно)
Даже 2-факторная авторизация посредством кода, доставляемого через SMS, была бы лучше, чем совсем ничего (но хуже, чем приложение на смартфоне и аппаратный токен, естественно)
Наверное, Палка не входит в число «крупнейших финансовых организаций» по версии СБ.
Потому что Палке когда-то приходилось делать себе имя, и с тех пор у них остались вот такие вот пережитки прошлого. Сбербанку же на вас было насрать, есть насрать, и будет насрать. Они считают вас за идиота, что и рады показать такими вот закладками в своём софте и вот такими вот опровержительными статьями. Потому что знают, что никуда вы не денетесь с подводной лодки.
ой все!
Эксперт службы Кибербезопасности Сбербанка
… проверяем состав передаваемой информации
Ув. эксперт SCST! А вы могли бы, как эксперт, подробно пояснить, каким образом вы контролируете информацию, передаваемую JS-скриптами третьих лиц, которые исполняются в браузере клиентов и имеют полный доступ к открытым страничкам личного кабинета клиентов?
Прочитал комментарий к той самой статье:
… используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта…
… на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов…
… предоставляют скриптам информацию только об открытой странице (но не её содержании)...
Как в анекдоте – простите, а вы точно эксперт? #позорище
Мы проводим логический и технический аудит при подключении скриптов, анализируем код и в процессе эксплуатации отслеживаем изменения в работе скриптов. Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
Ну, то есть, вы прямо признаёте, что уязвимость есть и вы лишь при подключении и "периодически" проверяете, что ей ещё не пользуются.
Дополнительно на периодической основе анализируется передаваемый скриптами трафик с клиентской страницы.
Скрипты передают данные напрямую на сервера третьих лиц. Каким образом вы проверяете этот трафик?
Ах, да, вы "периодически анализируете". #позорище
Подробностей, тем более публично, раскрывать не могу по понятным причинам.
Потому что не знаете?
Потому что это отдано на откуп Group-IB (продукт SecureBank). Которым почему-то данные сливаются по http протоколу на ibbe.group-ib.ru. А вот их скрипт уже делает fingerprint вашего браузера, смотрит не висят ли всякие лишние callback'и на обработчиках мышки и клавиатур, не изменено ли DOM-дерево, все ли загруженные скрипты в вайт-листе и т.д. И от всего этого считается хэш который передается СБ.
Речь идёт о клиентском коде. Всё доступно любому желающему. Поэтому никаких "понятных причин" (помимо того, что вы нифига не знаете и просто профакапили дырку) я не вижу.
А зачем вообще там скрипты аналитики? Тем более личный кабинет вообще у вас вынесен на отдельный поддомен со своими сертификатами. И чего ради?
А если уж хочется анализировать — то отдавали бы свои скрипты или ограничились следящими пикселями, на худой конец.
А если уж хочется анализировать — то отдавали бы свои скрипты или ограничились следящими пикселями, на худой конец.
Тот случай, когда вообще лучше ничего не отвечать, чем так.
А еще у вас пароль к регистру не привязан…
Уважаемый SCST, не могли бы вы подробнее (возможно в самой статье) расписать технические механизмы (а не юридические), которые используются (прим. и наличие которых мы способны проверить), подтверждающие вашу уверенность?
Вы упомянули про архитектуру, которая не передаёт на страницу пользователю никакой чувствительной информации, но всё же не хватает примеров.
Вы упомянули про архитектуру, которая не передаёт на страницу пользователю никакой чувствительной информации, но всё же не хватает примеров.
Хорошая попытка Эллиот!
А юридические где нибудь описаны? Даже если бы не было столь явной дыры, все равно абсолютно 100% защита вряд ли была бы возможна. Насколько деньги защищены от кражи с помощью банкклиента? Если вы гарантированно получите свои средства назад, то даже небольшие дыры уже не будут большой проблемой (по крайней мере для клиентов).
UFO just landed and posted this here
При подключенном Вебвизоре, человек, у которого есть доступ к счетчику запросто получит логин и пароль от учетной записи.
UFO just landed and posted this here
что счётчики посещений Яндекс.Метрики и Google Analytics используются в России и во всем мире — в том числе и крупнейшими финансовыми организациями.
Давайте не заливать. На корпоративных сайтах — не вопрос: и GA и fb и еще несколько. Как только доходит до ebanking части, то никаких левых скриптов.
Мне вот интересно, сберовский ebanking PCI сертификацию вообще проходил?
Кажется, это за вот эту тему https://nplus1.ru/news/2017/05/29/google
то что наличие доступа к компьютеру пользователя позволяет получить данные и без проблем со стороны СБРФ это и ежу понятно. но подгружать сторонние скрипты на таком ресурсе чревато. сразу вспоминается случай https://habrahabr.ru/post/231853/ когда владельцы стороннего ресурса случайно подставили владельцев кучи других сайтов. вроде ерунда, но тут же вспоминается другой случай https://www.opennet.ru/opennews/art.shtml?num=40671 а ведь могли и jquery.js подменить. если за безопасность данных на стороне СБРФ отвечает собственно СБРФ, то кто отвечает за то что на стороне третьих лиц? мне кажется, что СБРФ должен нести такую же ответственность ибо деньги я доверил им, и мне плевать на его соглашения с третьими лицами. в праве ли СБРФ доверять мои данные третьим лицам, без моего согласия?
Уязвимость есть, но ее нельзя считать опасной, потому что для ее реализации надо подменить dns, чтобы вместо яндекса грузило скрипт с сервера злоумышленника, и еще и иметь на локальной машине сторонний корневой сертификат, чтобы не ругалось на зловредный скрипт (так как никто не даст валидный сертификат на домен яндекса). Например, администратор локальной сети предприятия в принципе может провернуть такую штуку со сбербанк онлайном на компьютере сотрудника. Но с тем же успехом он может сделать и другие грязные вещи (тут уже проблема из темы «кто будет сторожить сторожей»). А в случае обычного компьютера, подключенного к интернету, эксплуатация подобной уязвимости маловероятна.
Хотя проблема все равно есть и она состоит в том, что появляются дополнительно точки потенциального воздействия зловреда Например, взлом сервера яндекс-метрики и подмена их скрипта и так далее.
Хотя проблема все равно есть и она состоит в том, что появляются дополнительно точки потенциального воздействия зловреда Например, взлом сервера яндекс-метрики и подмена их скрипта и так далее.
Подмена dns происходит прямо сейчас, на всей территории РФ, называется РОСкоМнадЗОр. У меня domru возвел dns MITM в абсолют.
Более того, танцы пляски с DNS это вообще мода последних лет, каждый провайдер, каждый производитель роутера, а роутеры вообще дырявые, считает своим долгом впарить свой ДНС. И это ещё не считая всяких видеосервисов работающих через подмену и прочих анонимайзеров и разблокировщиков.
Вообще не понятно как можно ходить в этот ваш энторнет без плугинов типа Disconnect…
Вообще не понятно как можно ходить в этот ваш энторнет без плугинов типа Disconnect…
аналогично. dnscrypt спасает, устанавливается просто.
Не… Это даже не смешно((( по версии СберБанка мы идиоты. А мы не идиоты
Как нет уязвимостей?
Взять хотя бы двухфакторную авторизацию
Логин запоминается в браузере при включенном автозаполнении, не скрывается звездочками, и может быть прочитан посторонними. Далее, можно предпринять попытки ввода пароля, и логин уйдет в блок. Если есть доступ к телефону, то пароль вообще не нужен, можно запросить новый пароль на телефон.
Взять хотя бы двухфакторную авторизацию
Логин запоминается в браузере при включенном автозаполнении, не скрывается звездочками, и может быть прочитан посторонними. Далее, можно предпринять попытки ввода пароля, и логин уйдет в блок. Если есть доступ к телефону, то пароль вообще не нужен, можно запросить новый пароль на телефон.
заминусуете карму аккаунту сбера и сможет он постить только 1 комментарий в неделю да и ещё получит значок «тролль»
Я думаю, здесь тонкий троллинг)
А если это действительно сотрудник сбера, то вероятность увидеть теперь этот ответ в официальном бложике сбера равна 0, возможно так сбер «обкатывает» разные варианты «отмазок» перед публикацией официальной версии)
А если это действительно сотрудник сбера, то вероятность увидеть теперь этот ответ в официальном бложике сбера равна 0, возможно так сбер «обкатывает» разные варианты «отмазок» перед публикацией официальной версии)
Возможно вопрос немного не по теме, но зачем нужен этот скрипт?
https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/vaultonline-2-new-sbol-36f5190612.js
На Пикабу обнаружили что он сканирует некоторые порты на локальной машине.
https://stat.online.sberbank.ru/CSAFront-res/25.0/scripts/vaultonline-2-new-sbol-36f5190612.js
На Пикабу обнаружили что он сканирует некоторые порты на локальной машине.
я просто оставлю это здесь.
А что там не так? Они обратились за помощью к общественности. Мне кажется открытая современная компания и должна так делать.
Собственно и косяк Сбера по обсуждаемым сейчас уязвимостям он не в том, что уязвимость допустили. Косяк в том, что на неё просто забили и человеку её обнаружившему даже не ответили…
Собственно и косяк Сбера по обсуждаемым сейчас уязвимостям он не в том, что уязвимость допустили. Косяк в том, что на неё просто забили и человеку её обнаружившему даже не ответили…
del
В Сбербанк онлайн уязвимостей нет
Как это нет? Двухфакторная авторизация по SMS это разве не дыра в безопасности? Сколько уже писалось о возможности перехвата и подделки SMS. Да элементарно, я год назад менял СИМ карту зеленого оператора, так у меня даже паспорт не спросили?
На мой вопрос, есть ли более безопасный способ двухфакторной авторизации, сотрудница банка ответила, что нет, но вы можете купить страховку! Страховку! Дополнительно заплатить банку, чтобы он гарантированно вернул мне мои деньги!!!
Он вроде и без страховки обязан их вернуть.
Ага, щаз. Даже в случае подтверждения неправомерной замены симки получить обратно украденные деньги клиенты могут только по решению суда, и то банк с оператором будут сопротивляться до конца.
В случае же попадания вируса на клиентское устройство банк вообще умывает руки и посылает… в полицию ловить автора вируса.
В случае же попадания вируса на клиентское устройство банк вообще умывает руки и посылает… в полицию ловить автора вируса.
Должен, только попробуй забрать. Вся соль в том, что вместо более надежных способов защиты, предлагается платная услуга
А меня например смутили вот такие фрагменты кода:
Т.е. чисто технически (по безалаберности) location.protocol в какой-то момент времени может оказаться не «https:» и скрипты вообще перестанут проверяться, а дальше атака на любая MITM атака окажется 100% удачной. Нафига вообще оставлять возможность использования не https протокола?
Ну и стандартное: почему скрипты не скопированы на Ваши сервера? Это же не сложно!
s.src = (d.location.protocol == «https:»? «https:»: «http:») + "//mc.yandex.ru/metrika/watch.js";
ga.src = ('https:' == document.location.protocol? 'https://ssl': 'http://www') + '.google-analytics.com/ga.js';
Т.е. чисто технически (по безалаберности) location.protocol в какой-то момент времени может оказаться не «https:» и скрипты вообще перестанут проверяться, а дальше атака на любая MITM атака окажется 100% удачной. Нафига вообще оставлять возможность использования не https протокола?
Ну и стандартное: почему скрипты не скопированы на Ваши сервера? Это же не сложно!
Предположу, что сделано это с целью снижения нагрузки на сервера Y/GA т.к. шифрование требует ресурсов. И если клиент и так пользуется незащищенным каналом, то чего тратиться на защиту передачи обезличенной информации
Это просто стандартный шаблон. А если у вас протокол внезапно стал не-HTTPS, то вам уже ничего не поможет.
А разве нет локальных инструментов для собрания статистики и внутреннего использования? Обязательно использовать общедоступные Гугл, Яндекс, и для кого эта статистика? для пользователей? Если да то зачем она пользователям?
Отмазки настолько слабые, что даже не смешно.
Ну, как я считаю сделать https реверс прокси только к https яндекса\гугля для забора скрипта дело 5 минут. А в коде в любом случае в шаблоне лежит ссылочка на скрипт, поменять её на свой хост и только через https. Божечки-ёжечки, да любой админ-недоучка сделает это за 10 минут. Но лучше приготовить тазик лапши на хабре и пытаться нам её развешивать. Аплодирую стоя.
Новости подхватили статью Олега Кулабухова olegon-ru
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
Уважаемый эксперт SCST, а скажите, в СБОЛ уже отключили вход по старым паролям? А то вот ведь какая штука — при регистрации СБОЛ мне был выдан «временный» логин/пароль для первого входа.
Каково же было моё удивление, когда я обнаружил, что эти самые «временные» «одноразовые» логин/пароль прекрасно работают до сих пор?
Каково же было моё удивление, когда я обнаружил, что эти самые «временные» «одноразовые» логин/пароль прекрасно работают до сих пор?
А мне вот этот кусок непонятен "… риск-скоринг операций и инструменты, отслеживающие вирусную активность на компьютерах клиентов", это вообще как? Как вы можете отслеживать вирусную активность на компьютерах клиентов?
Очень показательный случай. Вот она цена того, когда вместо адекватной и вменяемой поддержки, человеку просто отписываются в FB
Что написал автор исходной статьи?
Автор оригинальной статьи написал, что ваш банк загружает сторонние скрипты, не находящиеся под вашим контролем на страницу банкинга пользователя.
Хорошо ли это для банка и правильно? Без дополнительных комментариев (которых нет, но об этом ниже) — вроде бы, не очень хорошо. Как минимум, это можно обсудить и это адекватный объект для критики.
Но это не то что бы трагедия или прямо уязвимость, которую можно взять и эксплуатировать. Уж тем более, вряд ли кто-то от этого пострадал.
Это неприятные мелочи. Мелочи, но неприятные.
Автор подал свою статью с довольно провокационным заголовком ну и очень однозначным видео. Он тоже не молодец. Но основной посыл «сайт грузит сторонние скрипты яндекса, гугла, рутаргета, и т.д., я считаю, что это не хорошо» — хорошо вычленяется и однозначно понятен.
Резюме:
1. Автор перегнул палку с драматизмом. Не молодец. Но с автора и взятки гладки — он никому ничего не должен.
2. Автор указал на (возможную) проблему и высказал желание получить комментарий. Судя по плюсам, сообщество тоже хотело бы что-то услышать.
Что не так в вашем ответе?
(речь идёт скорее даже не об этом посте, а о «развёрнутом комментарии» к оригиналу)
Ок, указали на переливающуюся через край ненужную драматичность автора — указали верно, согласен.
Может быть я неправильно понял это предложение, но выглядит как «А поди докажи, что кто-то через это какие-то личные данные сливал».
Если так — совершенно бесмысленная риторика. Сообщество хочет услышать комментарий про возможную уязвимость. Есть ли. Нет ли. А если нет, то какие меры приняты, чтобы её не было.
Был бы конкретный пример слива — был бы совсем другой разговор других масштабов и с уже настоящими репутационными потерями (и не только репутационными).
Многое является «де-факто стандартом». Это не значит, что это следует использовать в банке.
Дурацкий отвлечённый пример: В социальных сеточках, допустим, может быть приемлимо, чтобы отправленное сообщение пришло дважды. Для операций банка это неприемлемо.
Не все допущения, позволительные социальной сеточки или магазину касаются банка — это очевидно.
Аргументации же «почему и в банке так можно/стоит делать» здесь просто нет. Поэтому не стоило и писать об этой практике.
Была речь про безопасность, стала про то, что порог вхождения низок и дешёвых разработчиков с такой компетенцией много.
В огороде бузина, а в Киеве дядька.
Не видел, чтобы какая-нибудь компания заявляла бы обратное, что-то в духе: «А этот сервис мы специально подняли, чтобы злоумышленик мог найти в нём дырку и похакать нас и наших пользователей».
С уязвимостями вообще всегда практически всегда так — намеренье создания сервиса — сделать клиенту/компании хорошо, а не открыть дырку злоумышленнику.
Бесмысленное предложение не несущее никакой информации.
Дык допущение же не в том, что кто-то изменил код страницы, а в том, что кто-то изменит код скрипта на одном из n ваших партнёров, скрипты которых вы подтягиваете.
Безусловно, похакать Яндекс или гугл — задача неименоверно сложная. И внутри яндекса и гугла как правило с безопасностью всё хорошо.
Но вы банк. От вас ждут, что ваши требования к безопасности должны быть строже, чем у поисковика или счётчика.
Другое дело, если бы вы тут рассказали, что принимаете вот такие-то и вот такие-то меры, чтобы на их надёжность не завязываться. Но вы об этом не говорите.
По сути всё, что вы здесь говорите «У нас есть служба безопасности и она компетентна». Читателю это не говорит вообще ничего.
Человек указал на возможную уязвимость, вы ответили:
— Нет, уязвимости нет, мы компетентные.
Представьте, что человек указал на какой-то сомнительный факт в в математических выкладках. Да или даже в маркетинговом тексте. А презентующий ответили «Нет, это не так, я прав». Без какой-либо дополнительной аргументации или объяснения.
Такой ответ попросту не нужен. Он никому ничего не даёт.
Какие-то меры вы предпринимаете, молодцы.
Впрочем, речь же не идёт о том, что вы не предпринимаете никаких мер. Так что зачем это здесь — опять же, непонятно.
Вот в этом месте вы вроде бы начинаете какую-то аргументацию (у нас есть волшебная машинка, которой мы делаем антифрод). Но тут же останавливаетесь.
Этот ответ не нужен. Он не сообщает ничего. В нём нет аргументации. Я сейчас разобрал на цитаты, наверное, чуть ли не каждый абзац — и абсолютно каждый цитируемый кусок можно вычеркнуть без потери смысла текста.
Такое чувство, будто единственное, что текст делает — пытается загипнотизировать читателя. «У нас есть безопасники, наши партнёры — очень надёжные ребята, такие как гугл, смотрите, вот отвлечённый пример, который показывает, что какую-то безопасность мы умеем, а вот в этом абзаце я показал, что я знаю, что такое SSL и XSS, я компетентен».
Но вы же пишете развёрнутый комментарий на техническом ресурсе, а не рекламный буклет для домохозяек.
Самое смешное в этой истории то, что вашему банку, наверное, таки есть что сказать.
У вас там вроде и занятные технологии есть. И адекватное объяснение, почему было принято решение использовать стороннюю аналитику, наверняка, найдётся.
Просто вы зачем-то решили считать читателей за идиотов и вылили кучу воды. Не удивительно, что читателям это не очень нравится — здесь это считается невежливым, лучше уж ничего не писать.
Автор оригинальной статьи написал, что ваш банк загружает сторонние скрипты, не находящиеся под вашим контролем на страницу банкинга пользователя.
Хорошо ли это для банка и правильно? Без дополнительных комментариев (которых нет, но об этом ниже) — вроде бы, не очень хорошо. Как минимум, это можно обсудить и это адекватный объект для критики.
Но это не то что бы трагедия или прямо уязвимость, которую можно взять и эксплуатировать. Уж тем более, вряд ли кто-то от этого пострадал.
Это неприятные мелочи. Мелочи, но неприятные.
Автор подал свою статью с довольно провокационным заголовком ну и очень однозначным видео. Он тоже не молодец. Но основной посыл «сайт грузит сторонние скрипты яндекса, гугла, рутаргета, и т.д., я считаю, что это не хорошо» — хорошо вычленяется и однозначно понятен.
Резюме:
1. Автор перегнул палку с драматизмом. Не молодец. Но с автора и взятки гладки — он никому ничего не должен.
2. Автор указал на (возможную) проблему и высказал желание получить комментарий. Судя по плюсам, сообщество тоже хотело бы что-то услышать.
Что не так в вашем ответе?
(речь идёт скорее даже не об этом посте, а о «развёрнутом комментарии» к оригиналу)
Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов.
Ок, указали на переливающуюся через край ненужную драматичность автора — указали верно, согласен.
При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам.
Может быть я неправильно понял это предложение, но выглядит как «А поди докажи, что кто-то через это какие-то личные данные сливал».
Если так — совершенно бесмысленная риторика. Сообщество хочет услышать комментарий про возможную уязвимость. Есть ли. Нет ли. А если нет, то какие меры приняты, чтобы её не было.
Был бы конкретный пример слива — был бы совсем другой разговор других масштабов и с уже настоящими репутационными потерями (и не только репутационными).
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов.
Многое является «де-факто стандартом». Это не значит, что это следует использовать в банке.
Дурацкий отвлечённый пример: В социальных сеточках, допустим, может быть приемлимо, чтобы отправленное сообщение пришло дважды. Для операций банка это неприемлемо.
Не все допущения, позволительные социальной сеточки или магазину касаются банка — это очевидно.
Аргументации же «почему и в банке так можно/стоит делать» здесь просто нет. Поэтому не стоило и писать об этой практике.
Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная.
Была речь про безопасность, стала про то, что порог вхождения низок и дешёвых разработчиков с такой компетенцией много.
В огороде бузина, а в Киеве дядька.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Не видел, чтобы какая-нибудь компания заявляла бы обратное, что-то в духе: «А этот сервис мы специально подняли, чтобы злоумышленик мог найти в нём дырку и похакать нас и наших пользователей».
С уязвимостями вообще всегда практически всегда так — намеренье создания сервиса — сделать клиенту/компании хорошо, а не открыть дырку злоумышленнику.
Бесмысленное предложение не несущее никакой информации.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли.
Дык допущение же не в том, что кто-то изменил код страницы, а в том, что кто-то изменит код скрипта на одном из n ваших партнёров, скрипты которых вы подтягиваете.
Безусловно, похакать Яндекс или гугл — задача неименоверно сложная. И внутри яндекса и гугла как правило с безопасностью всё хорошо.
Но вы банк. От вас ждут, что ваши требования к безопасности должны быть строже, чем у поисковика или счётчика.
Другое дело, если бы вы тут рассказали, что принимаете вот такие-то и вот такие-то меры, чтобы на их надёжность не завязываться. Но вы об этом не говорите.
Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу
По сути всё, что вы здесь говорите «У нас есть служба безопасности и она компетентна». Читателю это не говорит вообще ничего.
Человек указал на возможную уязвимость, вы ответили:
— Нет, уязвимости нет, мы компетентные.
Представьте, что человек указал на какой-то сомнительный факт в в математических выкладках. Да или даже в маркетинговом тексте. А презентующий ответили «Нет, это не так, я прав». Без какой-либо дополнительной аргументации или объяснения.
Такой ответ попросту не нужен. Он никому ничего не даёт.
именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234.
Какие-то меры вы предпринимаете, молодцы.
Впрочем, речь же не идёт о том, что вы не предпринимаете никаких мер. Так что зачем это здесь — опять же, непонятно.
Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем
Вот в этом месте вы вроде бы начинаете какую-то аргументацию (у нас есть волшебная машинка, которой мы делаем антифрод). Но тут же останавливаетесь.
Этот ответ не нужен. Он не сообщает ничего. В нём нет аргументации. Я сейчас разобрал на цитаты, наверное, чуть ли не каждый абзац — и абсолютно каждый цитируемый кусок можно вычеркнуть без потери смысла текста.
Такое чувство, будто единственное, что текст делает — пытается загипнотизировать читателя. «У нас есть безопасники, наши партнёры — очень надёжные ребята, такие как гугл, смотрите, вот отвлечённый пример, который показывает, что какую-то безопасность мы умеем, а вот в этом абзаце я показал, что я знаю, что такое SSL и XSS, я компетентен».
Но вы же пишете развёрнутый комментарий на техническом ресурсе, а не рекламный буклет для домохозяек.
Самое смешное в этой истории то, что вашему банку, наверное, таки есть что сказать.
У вас там вроде и занятные технологии есть. И адекватное объяснение, почему было принято решение использовать стороннюю аналитику, наверняка, найдётся.
Просто вы зачем-то решили считать читателей за идиотов и вылили кучу воды. Не удивительно, что читателям это не очень нравится — здесь это считается невежливым, лучше уж ничего не писать.
Я сейчас понял главную проблему современного маркетинга. Ведь статья — краткая, с акцентами, с «живыми примерами», всем же понравится! А ваш комментарий — длинный, нудный, буквоедский, ну ничего же не продашь с таким подходом. Вот только тут никто никому ничего не продаёт, по крайней мере читатели явно не покупать сюда пришли, а маркетинг продолжается.
Тот случай, когда не можешь дать карму, потому что уже максимум…
Кстати, а не хотите написать этот пост в виде статьи? Я уж и сам хотел написать, но ваш пост он развернутый и понятный, то что надо!
Кстати, а не хотите написать этот пост в виде статьи? Я уж и сам хотел написать, но ваш пост он развернутый и понятный, то что надо!
Сбербанк Онлайн использует… инструменты, отслеживающие вирусную активность на компьютерах клиентов.
Подскажите, пожалуйста, клиент уведомлен о том, что на его компьютере что-либо отслеживается?
Если будет время — всё-таки подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства (вот это меня и раздражает, логин простой, менять на 2849рафа9ф8зр4ф не хочу);
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства (вот это меня и раздражает, логин простой, менять на 2849рафа9ф8зр4ф не хочу);
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
Sign up to leave a comment.
В Сбербанк онлайн уязвимостей нет