Шило на мыло, или какому банку продаться

Depish, от ты блондинка Ты скачаешь PDF, и что? Ты его можешь подписть и отослать обратно? нет ведь и как раз таки мы так не делаем, потому что это запрещено внутренними регуляциями. В какой-то момент свед попадёт под раздачу, потому что все знают что то что они делают - это грязный хак, которые нельзя легально применять.

мы делаем вот как Akhenaton написал. в случае необходимости подписи, клиенты присылается криптованный на его имя CDOC, который клиент расшифровывает, проверяет данные, добавляет свою подпись и отсылает контейнер обратно. Да медленно, зато по спецификации, и комар носа не подточит

Агент, И что за банк так делает?

Я понимаю, когда это делается с большими платежами, в этом есть смысл, но если клиент такой паникер, можно и в контору сходить. Там правда тоже люди лажают, человеческий фактор.

Depish, Данске. мы просто не требуем пин2 при платёжках. по причинам описанным выше. про другие - хз, не пользуюсь другими.

То есть вы вообще не просите клиента подвердить клиента платеж паролем, а только кнопочкой или при нажатии подтвердить вы ему посылаете емаил с контейнером, который надо раскрюптировать и подписать? А то вот это непонятно.

 

 

 в случае необходимости подписи

Когда это необходимость возникает? Потому как если платеж подтверждается просто кнопкой, по сути это ничего не меняет. 

У меня есть работник из данске, болеет правда. Спрошу, даже интересно стало. 

Сообщение изменено: Depish (28 декабря 2016 - 11:32 )

Depish, до определённой суммы - да, только кнопочкой. 

При платеже с кнопочкой, вы точно в такой же ситуации, что и свед, когда спрашивает пин2. Никакой разницы для клиента и банка, если систему хакнут.

В сведе при больших суммах так-то тоже звонят и проверяют, что платеж сделал ты и с какими данными. Фирмы сами устанавливают лимиты, а частным лицам свой собственный лимит, уже не помню какой, но автоматом такой платеж не пройдет.

Сообщение изменено: Depish (28 декабря 2016 - 11:41 )

Depish, это до первого бабаха наше рискианалитики прямо запретили внедрять такую функиональность. 

ваши рискеаналитики уже счета людям совсем позакрывали   

банк на который стоит ровняться

LaCroix, Эт не наши, это приказ сверху

Агент, я знаю. тоже же рискоаналитики там у них)) 

Чем отличается подпись от пароля из парольной карты при подтверждении платежа?

Тем, что паролем можно заверить только платеж. Платеж и только платеж. А ЦП - любой документ.

 

Вообщем, странные какие-то доводы, какой пустой лист, когда он совсем не пустой.

Я немного упростил модель, на самом деле не пустой лист, а документ, текст которого скрыт, скажем, листом бумаги, лежащим поверх, который убирают после подписания. Но это техническая деталь, модель все равно в целом верна - подписывание не глядя.

в том то и дело что нет. ты видишь то что тебе показывают на экране, а не документ. У тебя нету на руках конкретного документа, из которого ты делаешь BDOC. у тебя есть картинка на экране, на основе которой генерируется документ и прикоадывается твоя подпись. Проблема именно в том, что существует ненулевая вероятность сбоя/хака, при котором документ к которому твоя подпись приложиться и то что тебе показали на экране - не одно и то же. так понятней?

Например, какой-нибудь MITB, ведь есть/были трояны с автопереводом, которые высвечивали завышенный осаток счета, чтобы человек не хватился.

Тем, что паролем можно заверить только платеж. Платеж и только платеж. А ЦП - любой документ.

спасибо кэп.

Вопрос был не общий, вопрос был "чем в случае совершения платежа в интернет-банке цифровая подпись отличается от пароля с парольной карты". Иными словами, если мы подписываем или подтверждаем пустой лист, то это одинаково опасно, будь то ЦП, пароль с парольной карты или вообще ничего. Если в этот момент, якобы за твоим платежом нет никакого сгенерированного документа (и этот документ якобы кто-то может заменить на другой по-тихому), то какая разница спросил ты пароль или попросил подписать этот платеж. Этот момент мне остался непонятным. 

Сообщение изменено: Depish (28 декабря 2016 - 22:19 )

спасибо кэп.

Вопрос был не общий, вопрос был "чем в случае совершения платежа в интернет-банке цифровая подпись отличается от пароля с парольной карты".

И ответ был дан выше.

С этой точки зрения разницы нет - хоть кровью расписывайся. Если есть возможность подменить то, в чём ты расписываешься, то не важно, как именно.
Хотя, если подписывать ИД-картой как следует (как я писал в своём предыдущем посте) - то разница колоссальная ))

Сообщение изменено: Akhenaton (28 декабря 2016 - 22:56 )

С этой точки зрения разницы нет - хоть кровью расписывайся. Если есть возможность подменить то, в чём ты расписываешься, то не важно, как именно.

Ну, это только если допустить, что мы любым видом подписи может удостоверить любое же действие. А тут не так.

Говоря "чем в случае совершения платежа в интернет-банке цифровая подпись отличается от пароля с парольной карты", я имела ввиду потдтверждение платежа, только подтверждение платежа и ничего кроме подтверждения платежа.

У ит-шников, все же особое мышление.

Depish, узкая направленность твоего вопроса - очевидна, как и ответ, собственно. Просто опасность лежит вне этой, искусственно тобою заданной плоскости. Потому что в реальности, если говорить о гипотетически возможной атаке, все "только лишь платежом" при подтверждении платежа не ограничивается.

Depish, откуда у тебя столько познаний в сфере банковских технологий?

Потому что в реальности, если говорить о гипотетически возможной атаке, все "только лишь платежом" при подтверждении платежа не ограничивается.

в реальности, в реальности, что вы вообще знаете о реальности, виртуальные вы мои

Я вот честно, вообще не верю в возможность такой атаки, вот честно пречестно, и не потому, что я наивняк полный. В банке столько разных мониторингов, которые надо обойти, 24-часовое наблюдение за системами. На кнопку не ту нажмешь, уже напишут, а что ты хотел сделать.

Ведь в вашем гипотетическом случае, мало того, что тебе надо взломать аккаунт, так еще успеть платеж в системе подменить на не платеж, а что-то иное, то есть предварительно разработать функционал, ведь его ж в интернет-банке еще нет, чтобы в месте платежа, вместо платежа что-то другое подписывать. На кой хрен такие качели? Какой с этого может быть профит?

Окей, оставим платеж в покое, перейдем к кредитам, которые изначально заполнены работниками в банковской системе и которые ты подписываешь в интернет-банке, то есть надо сделать так чтобы человек подписал, а деньги например перешли на другой счет, а значит надо в банковской системе менять, то есть взломом одного интернет-банка здесь уже не обойтись. 

Риски, вероятность которых слишком мала, просто акцептируют, иначе все придет к этому:

Сообщение изменено: Depish (29 декабря 2016 - 11:45 )

В банке столько разных мониторингов, которые надо обойти, 24-часовое наблюдение за системами. На кнопку не ту нажмешь, уже напишут, а что ты хотел сделать.

Depish, откуда ты всё обо всём знаешь?

это тебе со стороны фронта кажется.  

Я не только с фронтом/ с фронта работаю.

Сообщение изменено: Depish (29 декабря 2016 - 11:41 )

Ты самая умная на всём форуме что ли?

Punsher, ты что читать не умеешь?

Depish, от ты блондинка

Как будто бы не бывает умных блондинок?

в реальности, в реальности, что вы вообще знаете о реальности, виртуальные вы мои

Я вот честно, вообще не верю в возможность такой атаки, вот честно пречестно, и не потому, что я наивняк полный. В банке столько разных мониторингов, которые надо обойти, 24-часовое наблюдение за системами. На кнопку не ту нажмешь, уже напишут, а что ты хотел сделать.

Писал длинное объяснение, потом передумал и стер. Бесполезно, и времени жалко. Новый год на носу, о приятном думать надо

Я не только с фронтом/ с фронта работаю.

И это похвально

У ит-шников, все же особое мышление.

А кто ты по профессии, кстати? Я запамятовал.

Писал длинное объяснение, потом передумал и стер.

Пользовательский опыт LHV:

Заметил я в инет-банке раздражающую меня вещь - выписка со счёта начиналась с более раннего периода (т.е. последние операции находятся внизу). То ли из-за лени, то ли из-за других мифических вещей, я терпел это до вчерашнего дня. Собрался с мыслями и написал им, что это плохо, т.к. список должен начинаться с последней операции. В письме ни фамилии, ни номера телефона.

Сутра звонок - привет, мы с ЛХВ, у вас тут был вопрос, короче тыркаете туда-то и будет вам счастье. 

И ведь приятно же, что вместо бездушного письма я получил звонок. 

Сообщение изменено: Emptiness (18 января 2017 - 19:21 )

 раз в месяц можно бесплатно снимать бабло в любом банкомате

Вообще пруфф