называйте как хотите). Хоть рекламой, хоть чем еще. лишь бы было больше ресурсов с EV.
на момент написания статьи специально пробежался по сайтам топ-20 российских банков. только 2 или 3 из них использовали EV-сертификаты (один из которых кстати, филиал американского))… С нашими интернет-магазинами не лучше.
Посмотрите на сайты мировых банков. У них с этим дела обстоят куда получше.
лично я устал тренировать внимательность и всегда контролировать, что сайты защищены. Пусть глаза отдохнут)))
повышение продаж — за счет роста доверия к ресурсу и уменьшения кол-ва незаконченных транзакций (т.е. когда покупатель все-таки не решается предоставить данные о своей кредитке непонятному продавцу).
Есть статистика, которая показывает, что при использовании EV-сертификатов кол-во незаконченных транзакций значительно ниже.
волков бояться — в лес не ходить).
На деле же на самом деле, не настолько сложнее процесс получения EV, чем обычных сертификатов.
Кстати, если кто использует от 5 сертификатов, то у нас процесс перевыпуска сертификата совсем просто происходит. 5 минут и новый сертификат в кармане (читай «на сервере»).
если разницу в цене обычного и EV-сертификата можно отбить за одну продажу, а кол-во продаж можно увеличить, то на мой взгляд это не дорого).
да и смешно говорить, про дороговизну, когда мы говорим про компании, которые совершают огромное кол-во транзакций. Для них эта разница будет вообще не заметна. При этом они ведь тоже не особо разоряются на EV.
Итак: две технологии:
1. Insight (репутационный анализ): собирает информацию об исполняемых файлах (не обязательно в момент сканирования, чаще во время скачивания или запуска файлов). Эта информация о файлах (именно информация, а не сами файлы) может передаваться в Symantec. Если не хотите, то может и не передаваться, это легко отключается.
2. Shared Insight Cache (единократное сканирование в рамках инфраструктуры): информация собирается только в рамках инфраструктуры и никуда не передается.
если мы не боимся использовать хэш-функции для цифровых подписей (где если не доверять надежности хеш-функций, то можно вообще забыть про цифровые подписи), то почему бояться их использовать в данном случае?
согласен, вероятность коллизии есть, но она больше похожа на теоретическую, а не практическую.
ответ писал выше.
Цитирую:
«как всегда, вопрос обсуждаемый))))
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена. „
не забывайте, что в момент вашего дозвона потенциальный злоумышленник также может нажимать кнопку ввода на своем компьютере, логинясь вместо вас. Это как один сценарий, показывающий недостаток данного метода.
При этом мне до сих пор не понятно, почему Вы считаете, что в данном случае все будет бесплатно. Обеспечивать поддержание и такой системы тоже стоит денег. Если это делать для каждой системы отдельно, то каждому нужно будет думать о поддержании своей системы. Если думать централизовано (аналог нашей схемы), то поддержание доступности данной системы -тоже не самая простая задача. А также необходимо забывать промасштабирование.
видимо, не совсем правильно понял. т.е. вы говорите про простоту написания функции, которая «скрещивает» системное время и некий идентификатор, привязанный к пользователю?
разработать, думаю, особой сложности нет.
вот только:
— кто будет это все поддерживать? (есть сомнение, что разработчики захотят ковыряться с проблемами на Win98)
— кто будет использовать? (не видел статистику, но есть предположение, что это нужно единицам)
В описанном решении можно использовать и брелоки (или брелки, как теперь русский язык позволяет, мне так удобнее).
Если нет веры в приложение на мобильном устройстве, то можно использовать брелок. Но, сами понимаете, это лишние затраты + нужно его с собой носить.
Т.ч. сопоставляйте риски от использования телефона и неудобство использования брелков и выбирайте, что удобнее.
как всегда, вопрос обсуждаемый))))
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена.
gmail и сам google используют VeriSign, но немного по другому направлению.
в ссылке указано, что они используют сертификаты от VeriSign.
Эти технологии никак не противоречат, а только дополняют друг друга.
согласен, технология известная.
но реализаций много.
хорошо, что все понимают, что нужно уходить одноразовых паролей.
Другое дело, что плохо, что каждый строит свой дом без оглядки на других.
В итоге получаем «неорганизованную застройку».
В случае Гугла нужно отдать должное, что можно будет использовать в ряде приложений. Но опять же, гугл-аккаунт использовать можно далеко не везде. И конечно же не внутри компаний.
на момент написания статьи специально пробежался по сайтам топ-20 российских банков. только 2 или 3 из них использовали EV-сертификаты (один из которых кстати, филиал американского))… С нашими интернет-магазинами не лучше.
Посмотрите на сайты мировых банков. У них с этим дела обстоят куда получше.
лично я устал тренировать внимательность и всегда контролировать, что сайты защищены. Пусть глаза отдохнут)))
Есть статистика, которая показывает, что при использовании EV-сертификатов кол-во незаконченных транзакций значительно ниже.
На деле же на самом деле, не настолько сложнее процесс получения EV, чем обычных сертификатов.
Кстати, если кто использует от 5 сертификатов, то у нас процесс перевыпуска сертификата совсем просто происходит. 5 минут и новый сертификат в кармане (читай «на сервере»).
да и смешно говорить, про дороговизну, когда мы говорим про компании, которые совершают огромное кол-во транзакций. Для них эта разница будет вообще не заметна. При этом они ведь тоже не особо разоряются на EV.
Или совсем нет).
Итак: две технологии:
1. Insight (репутационный анализ): собирает информацию об исполняемых файлах (не обязательно в момент сканирования, чаще во время скачивания или запуска файлов). Эта информация о файлах (именно информация, а не сами файлы) может передаваться в Symantec. Если не хотите, то может и не передаваться, это легко отключается.
2. Shared Insight Cache (единократное сканирование в рамках инфраструктуры): информация собирается только в рамках инфраструктуры и никуда не передается.
согласен, вероятность коллизии есть, но она больше похожа на теоретическую, а не практическую.
Цитирую:
«как всегда, вопрос обсуждаемый))))
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена. „
При этом мне до сих пор не понятно, почему Вы считаете, что в данном случае все будет бесплатно. Обеспечивать поддержание и такой системы тоже стоит денег. Если это делать для каждой системы отдельно, то каждому нужно будет думать о поддержании своей системы. Если думать централизовано (аналог нашей схемы), то поддержание доступности данной системы -тоже не самая простая задача. А также необходимо забывать промасштабирование.
Попробуем предсказать результат сопоставления двух величин.
вот только:
— кто будет это все поддерживать? (есть сомнение, что разработчики захотят ковыряться с проблемами на Win98)
— кто будет использовать? (не видел статистику, но есть предположение, что это нужно единицам)
Если нет веры в приложение на мобильном устройстве, то можно использовать брелок. Но, сами понимаете, это лишние затраты + нужно его с собой носить.
Т.ч. сопоставляйте риски от использования телефона и неудобство использования брелков и выбирайте, что удобнее.
подозреваю, что не многие все еще это делают, поэтому и поддержку не реализовали.
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена.
в ссылке указано, что они используют сертификаты от VeriSign.
Эти технологии никак не противоречат, а только дополняют друг друга.
но реализаций много.
хорошо, что все понимают, что нужно уходить одноразовых паролей.
Другое дело, что плохо, что каждый строит свой дом без оглядки на других.
В итоге получаем «неорганизованную застройку».
В случае Гугла нужно отдать должное, что можно будет использовать в ряде приложений. Но опять же, гугл-аккаунт использовать можно далеко не везде. И конечно же не внутри компаний.