WebMoney: мифы безопасности, на breys.ru (6)

→ #1889

Sun, 07 Mar 2010 13:28:14 +0400

Немного не так: в ВМ при взломе использовался фактически оконный перехватчик с функцией удалённого администрирования, т.е. злоумышленник мог удалённо с хост-машины отправить все деньги куда хочет. Вроде проблема решена, но кто-то определённо с этого поимел много денег (у друга стянули 100 баксов, а судя по шорохам в сети, кто-то встрявал на десятки тысяч).

Абсолютно безопасного решения не существует.

Так, яндекс.деньги тоже подвержены влиянию XSS-атак. Где-то приводился пример скрипта, который может хитро тырить куки (а ведь не у всех даже выключено кэширование httpsных страниц!!). Смысл скрипта заключался в том, что он вживляется в код сайта, и если открыть заданный сайт в то же время, когда в другом окне браузера/его вкладке открыт целевой сайт, куки с данными пользователя улетают на заданный адрес.

Так-то. Причём, второй вариант по сути кросс-платформенный, т.к. при определённой сноровке позволяет юзать дыры как в приложениях вин, так и в *никс.

Как выход из ситуации с вебмани, можно юзать авторизацию eNum. В этом случае на телефон ставится Java-приложение, реализующее "вопрос-ответ". Т.е. при необходимости оплаты вам просто задаётся вопрос. А приложение на телефоне генерирует правильный ответ на него. Всё.

Что касается яндекс.денег - это тоже чревато. Можно с таким же успехом сделать tcpdump жертвы и затратить немного времени и скила на высасывание из всего великолепия пароля. И даже программа-кошелёк в этом случае тоже бессильна.

Храните деньги в сберегательной кассе! © Милославский

→ #1862

Sat, 27 Feb 2010 20:55:03 +0400

боже, настолько безграмотный автор постов на этом блоге... Ну, пипец же просто! Читать неприятно :( Все делают ошибки. Но есть же мера...

что до самой статьи, то ничего толком не сказано. Статья писалась для проведения одной банальной мысли. Но ни файтов, ничего более. Одни домыслы.

Теперь Яндекс. И кто им пользуется? Мало кто. Да и условия там... Стараюсь обходтить стороной эту денежную систему. А если туда деньги и попадают, то плачу всем за телефон, интернет или ещё как.

С вебманями большинство операций и выгодней, и проще.

Теперь вебмани. Да кто вас вообще заставляет пользоваться проприетарным говном? У меня столько денег за последние годы прошло через ВМ и никогда я ничего не ставил. Только браузер и сертификаты.

Я не хочу оправдывать ВМ. Они те ещё козлы... Есть такие неприятные моменты в разных закоулках их сервисов... Но если быть с головой и знать оптимальные варианты, то какие проблемы?

Басманов → #1841

Fri, 26 Feb 2010 11:30:32 +0400

разумеется браузер это сложная программа, но мы ведь полюбому следим за безопасностью этой программы, устанавливаем обновления(автоматически), следим за состоянием в процессе использования, а используем мы его постоянно
в случае с кипером, мы получаем ещё одну сущность, причём сущность закрытую и не понятную, причём обладающую аурой супер секурной программы
таким образом получается, что наше внимание ослабляется так как приходится думать уже о двух программах, ослабляется внимание - появляются проблемы

Басманов → #1840

Fri, 26 Feb 2010 11:24:21 +0400

Ключевое слово прозрачность
Как вы считаете, что лучше охранять одну дверь или десять?
Чем проще прозрачнее система тем она надёжнее, вот моя ключевая мысль
Яндекс не является панацеей, ровна как и линукс, но эти системы прозрачнее и проще в плане понимания процессов и обеспечения безопасности на основе этих знаний
А в случае с яндексой можно неплохо обезопаситься используя усиленную авторизацию посредством ввода паскея с пластиковой карточки, таким образом перехват всех данных бессмысленен, так как данные одноразовые

→ #1839

Fri, 26 Feb 2010 11:17:45 +0400

Хотелось бы более объективной оценки, а не кликушества. То, что для управления кошельком существует отдельная от броузера программа, это хорошо. Броузер — очень сложная программа, потому что он выполняет функции не только кошелька. Чем сложнее программа, тем труднее в ней устранить уязвимости. То, что Webmoney Keeper Classic имеет закрытый исходный код, это плохо. Если бы был открытый исходный код, давно бы портировали на Linux, не говоря уже об усилении безопасности. То, что используют персональный сертификат, это хорошо, ибо его нельзя подобрать с помощью социальной инженерии, как это можно сделать с паролем. Если троян имеет возможность изменять исполняемые файлы, то это фактически полная власть над компьютером. Против этого не устоит ни платёжная, ни какая другая система защиты, то есть однозначно виноват администратор заражённого компьютера.

→ #1830

Tue, 23 Feb 2010 13:06:57 +0400

s/BSDM/BDSM/