Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк dl // 25.12.07 22:38
Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/12/18.html] Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.
Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.
Не знаю ккому верить. Может брехня на blog.lexa.ru и не было...26.12.07 11:23 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 26.12.07 11:25 Количество правок: 1
Не знаю ккому верить. Может брехня на blog.lexa.ru и не было никакого обновления. То ли какой-то идиот выложил что-то на мэйлру, тогда как он заставил сотрудников дать клиенту такую распечатку. То ли и в самом деле обновления так рассылают, хотя почему бы и не выложить на официальном сайте.
> Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип > враждебного окружения, безопасное распределение ключей - > иль это все сон?
Ну допустим они по уродски для каждого клиента завели учетную запись на мэйлру, чтоб туда выложить обновление, а логин и пароль для этого одноразового ящика выдать на бумажке индивидуально. Вполне возможно ПО у них правильное и проверит сначала подпись у обновления. Все равно по уродски, хотя в чем прикол - не пойму.
> Не знаю ккому верить. Может брехня на blog.lexa.ru и не > было никакого обновления. То ли какой-то идиот выложил > что-то на мэйлру, тогда как он заставил сотрудников дать > клиенту такую распечатку. То ли и в самом деле обновления > так рассылают, хотя почему бы и не выложить на официальном > сайте.
Мне об этом по другим каналам три недели назад сообщили, я тогда решил придержать, ну а уж коли утекло, присоединился. Понятно, что скорее всего самодеятельность.
> Ну допустим они по уродски для каждого клиента завели > учетную запись на мэйлру, чтоб туда выложить обновление, а > логин и пароль для этого одноразового ящика выдать на > бумажке индивидуально. Вполне возможно ПО у них правильное > и проверит сначала подпись у обновления. Все равно по > уродски, хотя в чем прикол - не пойму.
Нет, ящик действительно общий, без намека на индивидуальность.
Неожиданный ход :) Берет тем, что злоумышленик не поверит своим глазам или помрет от хохота26.12.07 10:32 Автор: jiZo <Александр> Статус: Member
я не верю своим глазам :))))) кошмар :) может сегодня 1-е апреля? :)25.12.07 23:33 Автор: noonv <Vladimir> Статус: Member Отредактировано 25.12.07 23:33 Количество правок: 1