WebMoney: мифы безопасности

WebMoney титаник платёжных систем

И так, согласно логике надёжность всей цепи зависит от надёжности самого слабого звена. С этим сложно спорить - цепочки рвутся с самых слабых местах. Точно тоже самое можно сказать и о платёжных системах - самыми слабыми звеньями в них являются две прокладки между микросхемами и стулом: программное обеспечение и пользователи

Платёжная система WebMoney пытается создать вокруг себя миф безопасного средства платежей, для этого они нагородили столько костылей, что разбраться в них довольно сложно и остаётся лишь надеяться, что это действительно безопасно, впрочем поклонникам этой платёжной системы достаточно одних обещаний и они спокойно применяют к себе весь этот BSDM в виде всяких киперов, персональных сертификатов, кошелей и прочей ерунды без понимания всех процессов

Но как всегда, чем проще инструмент тем он надёжнее. Все эти безумные аппаратные защиты на которые надеются миллионы хомячков WM не устояли перед банальной заменой динамической библиотеки которая перехватывая платёжные данные переправляет их хакерами

Получается, что все этим киперы, касперские, win7 всего лишь мифы ослабляющие безопасность пользователя, позволяя ему расслабляться и оставаться тупым верующим в серебрянные пули и в одну кнопку "сделай мне пездато", которые якобы должны спасти его без понимания того как всё работает

В этом смысле Yandex поступил более мудро и разумно - они не создают мифов! они перекладывают ответственность с себя на самого пользователя и на производителей браузеров. Тоесть, если ты хочешь уберечь свои деньги то занимайся своей безопасностью сам, мы лишь платёжная система, а не твои телохранители

похожие страницы

  1. Chromium работа с сертификатами WebMoney
  2. Онлайн сервисы платёжных систем экономят на безопасности
  3. Yandex.Money или Webmoney
  4. Linux территория безопасности или опять наш Касперский хочет жрать
  5. Стратегия национально безопасности России до 2020 года, как правильно читать

#1:

s/BSDM/BDSM/

ответить  2010-02-23 13:06:57 

#2:

Хотелось бы более объективной оценки, а не кликушества. То, что для управления кошельком существует отдельная от броузера программа, это хорошо. Броузер — очень сложная программа, потому что он выполняет функции не только кошелька. Чем сложнее программа, тем труднее в ней устранить уязвимости. То, что Webmoney Keeper Classic имеет закрытый исходный код, это плохо. Если бы был открытый исходный код, давно бы портировали на Linux, не говоря уже об усилении безопасности. То, что используют персональный сертификат, это хорошо, ибо его нельзя подобрать с помощью социальной инженерии, как это можно сделать с паролем. Если троян имеет возможность изменять исполняемые файлы, то это фактически полная власть над компьютером. Против этого не устоит ни платёжная, ни какая другая система защиты, то есть однозначно виноват администратор заражённого компьютера.

ответить  2010-02-26 11:17:45 

#3:  Басманов:

Ключевое слово прозрачность
Как вы считаете, что лучше охранять одну дверь или десять?
Чем проще прозрачнее система тем она надёжнее, вот моя ключевая мысль
Яндекс не является панацеей, ровна как и линукс, но эти системы прозрачнее и проще в плане понимания процессов и обеспечения безопасности на основе этих знаний
А в случае с яндексой можно неплохо обезопаситься используя усиленную авторизацию посредством ввода паскея с пластиковой карточки, таким образом перехват всех данных бессмысленен, так как данные одноразовые

ответить  2010-02-26 11:24:21 

#4:  Басманов:

разумеется браузер это сложная программа, но мы ведь полюбому следим за безопасностью этой программы, устанавливаем обновления(автоматически), следим за состоянием в процессе использования, а используем мы его постоянно
в случае с кипером, мы получаем ещё одну сущность, причём сущность закрытую и не понятную, причём обладающую аурой супер секурной программы
таким образом получается, что наше внимание ослабляется так как приходится думать уже о двух программах, ослабляется внимание - появляются проблемы

ответить  2010-02-26 11:30:32 

#5:

боже, настолько безграмотный автор постов на этом блоге... Ну, пипец же просто! Читать неприятно :( Все делают ошибки. Но есть же мера...

что до самой статьи, то ничего толком не сказано. Статья писалась для проведения одной банальной мысли. Но ни файтов, ничего более. Одни домыслы.

Теперь Яндекс. И кто им пользуется? Мало кто. Да и условия там... Стараюсь обходтить стороной эту денежную систему. А если туда деньги и попадают, то плачу всем за телефон, интернет или ещё как.

С вебманями большинство операций и выгодней, и проще.

Теперь вебмани. Да кто вас вообще заставляет пользоваться проприетарным говном? У меня столько денег за последние годы прошло через ВМ и никогда я ничего не ставил. Только браузер и сертификаты.

Я не хочу оправдывать ВМ. Они те ещё козлы... Есть такие неприятные моменты в разных закоулках их сервисов... Но если быть с головой и знать оптимальные варианты, то какие проблемы?

ответить  2010-02-27 20:55:03 

#6:

Немного не так: в ВМ при взломе использовался фактически оконный перехватчик с функцией удалённого администрирования, т.е. злоумышленник мог удалённо с хост-машины отправить все деньги куда хочет. Вроде проблема решена, но кто-то определённо с этого поимел много денег (у друга стянули 100 баксов, а судя по шорохам в сети, кто-то встрявал на десятки тысяч).

Абсолютно безопасного решения не существует.

Так, яндекс.деньги тоже подвержены влиянию XSS-атак. Где-то приводился пример скрипта, который может хитро тырить куки (а ведь не у всех даже выключено кэширование httpsных страниц!!). Смысл скрипта заключался в том, что он вживляется в код сайта, и если открыть заданный сайт в то же время, когда в другом окне браузера/его вкладке открыт целевой сайт, куки с данными пользователя улетают на заданный адрес.

Так-то. Причём, второй вариант по сути кросс-платформенный, т.к. при определённой сноровке позволяет юзать дыры как в приложениях вин, так и в *никс.

Как выход из ситуации с вебмани, можно юзать авторизацию eNum. В этом случае на телефон ставится Java-приложение, реализующее "вопрос-ответ". Т.е. при необходимости оплаты вам просто задаётся вопрос. А приложение на телефоне генерирует правильный ответ на него. Всё.

Что касается яндекс.денег - это тоже чревато. Можно с таким же успехом сделать tcpdump жертвы и затратить немного времени и скила на высасывание из всего великолепия пароля. И даже программа-кошелёк в этом случае тоже бессильна.

Храните деньги в сберегательной кассе! © Милославский

ответить  2010-03-07 13:28:14