информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Шестой Perl превратится в Raku,... 
 Kik закрывается, все ушли на криптофронт 
 Sophos открывает Sandboxie 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Походу это есть развод с самого начала. Ждём с нетерпением продолжения! 26.12.07 08:33  Число просмотров: 2520
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
<site updates>
Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк 25.12.07 22:38  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк
blog.lexa.ru http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались. Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.
Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.


Полный текст
Не знаю ккому верить. Может брехня на blog.lexa.ru и не было... 26.12.07 11:23  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.12.07 11:25  Количество правок: 1
<"чистая" ссылка>
> Сбербанк использует общий почтовый ящик на mail.ru для
> раздачи обновлений системы клиент-банк
> blog.lexa.ru
> http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Не знаю ккому верить. Может брехня на blog.lexa.ru и не было никакого обновления. То ли какой-то идиот выложил что-то на мэйлру, тогда как он заставил сотрудников дать клиенту такую распечатку. То ли и в самом деле обновления так рассылают, хотя почему бы и не выложить на официальном сайте.

> Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип
> враждебного окружения, безопасное распределение ключей -
> иль это все сон?

Ну допустим они по уродски для каждого клиента завели учетную запись на мэйлру, чтоб туда выложить обновление, а логин и пароль для этого одноразового ящика выдать на бумажке индивидуально. Вполне возможно ПО у них правильное и проверит сначала подпись у обновления. Все равно по уродски, хотя в чем прикол - не пойму.
не брехня 26.12.07 14:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Не знаю ккому верить. Может брехня на blog.lexa.ru и не
> было никакого обновления. То ли какой-то идиот выложил
> что-то на мэйлру, тогда как он заставил сотрудников дать
> клиенту такую распечатку. То ли и в самом деле обновления
> так рассылают, хотя почему бы и не выложить на официальном
> сайте.

Мне об этом по другим каналам три недели назад сообщили, я тогда решил придержать, ну а уж коли утекло, присоединился. Понятно, что скорее всего самодеятельность.

> Ну допустим они по уродски для каждого клиента завели
> учетную запись на мэйлру, чтоб туда выложить обновление, а
> логин и пароль для этого одноразового ящика выдать на
> бумажке индивидуально. Вполне возможно ПО у них правильное
> и проверит сначала подпись у обновления. Все равно по
> уродски, хотя в чем прикол - не пойму.

Нет, ящик действительно общий, без намека на индивидуальность.
Неожиданный ход :) Берет тем, что злоумышленик не поверит своим глазам или помрет от хохота 26.12.07 10:32  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
Походу это есть развод с самого начала. Ждём с нетерпением продолжения! 26.12.07 08:33  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
неужели никто не догадается сменить пароль? ну или накрайняк, сменить файл обновления 25.12.07 23:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
я не верю своим глазам :))))) кошмар :) может сегодня 1-е апреля? :) 25.12.07 23:33  
Автор: noonv <Vladimir> Статус: Member
Отредактировано 25.12.07 23:33  Количество правок: 1
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach