информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
не брехня 26.12.07 14:57  Число просмотров: 3308
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Не знаю ккому верить. Может брехня на blog.lexa.ru и не
> было никакого обновления. То ли какой-то идиот выложил
> что-то на мэйлру, тогда как он заставил сотрудников дать
> клиенту такую распечатку. То ли и в самом деле обновления
> так рассылают, хотя почему бы и не выложить на официальном
> сайте.

Мне об этом по другим каналам три недели назад сообщили, я тогда решил придержать, ну а уж коли утекло, присоединился. Понятно, что скорее всего самодеятельность.

> Ну допустим они по уродски для каждого клиента завели
> учетную запись на мэйлру, чтоб туда выложить обновление, а
> логин и пароль для этого одноразового ящика выдать на
> бумажке индивидуально. Вполне возможно ПО у них правильное
> и проверит сначала подпись у обновления. Все равно по
> уродски, хотя в чем прикол - не пойму.

Нет, ящик действительно общий, без намека на индивидуальность.
<site updates>
Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк 25.12.07 22:38  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк
blog.lexa.ru http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались. Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.
Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.


Полный текст
Не знаю ккому верить. Может брехня на blog.lexa.ru и не было... 26.12.07 11:23  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 26.12.07 11:25  Количество правок: 1
<"чистая" ссылка>
> Сбербанк использует общий почтовый ящик на mail.ru для
> раздачи обновлений системы клиент-банк
> blog.lexa.ru
> http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Не знаю ккому верить. Может брехня на blog.lexa.ru и не было никакого обновления. То ли какой-то идиот выложил что-то на мэйлру, тогда как он заставил сотрудников дать клиенту такую распечатку. То ли и в самом деле обновления так рассылают, хотя почему бы и не выложить на официальном сайте.

> Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип
> враждебного окружения, безопасное распределение ключей -
> иль это все сон?

Ну допустим они по уродски для каждого клиента завели учетную запись на мэйлру, чтоб туда выложить обновление, а логин и пароль для этого одноразового ящика выдать на бумажке индивидуально. Вполне возможно ПО у них правильное и проверит сначала подпись у обновления. Все равно по уродски, хотя в чем прикол - не пойму.
не брехня 26.12.07 14:57  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Не знаю ккому верить. Может брехня на blog.lexa.ru и не
> было никакого обновления. То ли какой-то идиот выложил
> что-то на мэйлру, тогда как он заставил сотрудников дать
> клиенту такую распечатку. То ли и в самом деле обновления
> так рассылают, хотя почему бы и не выложить на официальном
> сайте.

Мне об этом по другим каналам три недели назад сообщили, я тогда решил придержать, ну а уж коли утекло, присоединился. Понятно, что скорее всего самодеятельность.

> Ну допустим они по уродски для каждого клиента завели
> учетную запись на мэйлру, чтоб туда выложить обновление, а
> логин и пароль для этого одноразового ящика выдать на
> бумажке индивидуально. Вполне возможно ПО у них правильное
> и проверит сначала подпись у обновления. Все равно по
> уродски, хотя в чем прикол - не пойму.

Нет, ящик действительно общий, без намека на индивидуальность.
Неожиданный ход :) Берет тем, что злоумышленик не поверит своим глазам или помрет от хохота 26.12.07 10:32  
Автор: jiZo <Александр> Статус: Member
<"чистая" ссылка>
Походу это есть развод с самого начала. Ждём с нетерпением продолжения! 26.12.07 08:33  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
неужели никто не догадается сменить пароль? ну или накрайняк, сменить файл обновления 25.12.07 23:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
я не верю своим глазам :))))) кошмар :) может сегодня 1-е апреля? :) 25.12.07 23:33  
Автор: noonv <Vladimir> Статус: Member
Отредактировано 25.12.07 23:33  Количество правок: 1
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach