vitus_wagner | Феерическое

http://blog.lexa.ru/2007/12/25/sberbank_sdelal_moj_den.html

Вот так раздаются в одном из крупнейших банков нашей страны обновления софта, критичного для финансовой безопасности клиентов.
Впрочем, по словам начальства, пытавшегося с этим банком взаимодействовать, "Ей богу, это не самая смешная часть клиент-банк-шоу"

Flat | Top-Level Comments Only

From:

crazy-daemon.livejournal.com

Просто "ВАУ"!..

From:

rvb

Промолчу. Поскольку без избыточно крепких выражений эмоции тут не выразить.

From:

ex-digital-4.livejournal.com

Это что, проводимый ими тест на то, какой процент клиентов Сбербанка -- придурки? Очень похоже.

From:

besm6.livejournal.com

Нет, увы, это (очередной) тест на то, какой процент серверов Сбербанка таковы :-(

From:

spb-nick.livejournal.com

ААААААаааааааа......

From:

metaclass.livejournal.com

Позитивно. Но уже не удивляет, подобного уровня "решения" попадаются постоянно :)

From:

freedom_of_sea.livejournal.com

а когда-то клиент- банки работали по фидо..

From:

erlikh.livejournal.com

у меня один клиент-банк для обмена пакетами запускает T-Mail. И это свежая версия.

From:

blacklion.livejournal.com

[поморщившись] “По Интернету”, да.
По FTN вообще-то. Причём строго с расширениями для действительно безопасной авторизации обоих участников обмена.
И я не вижу — почему бы нет.

From:

vitus_wagner

Не знаю насчет расширений. Было дело, отрывал я оттуда родной T-Mail и цеплял вместо этого ifmail на соседнем linux-е. Ибо не цеплять же модем на виндовую машину - она не пустит из дома залогиниться терминалкой.
А так появляется резервный канал доступа в офис, даже если интернета в офисе нет.

From:

blacklion.livejournal.com

Ну как всегда — криворукие админы банка забыли включить :)
Но именно коммерческие версии T-Mail и SF-Mail умели общий для них способ авторизации обеих сторон надёжный.

From:

cmike.livejournal.com

"Ей богу, это не самая смешная часть клиент-банк-шоу"

Не могу, к сожалению, сказать, что не верю. Верю. Но представить себе не могу, фантазия отказывает. Что там такое?

From:

gvy.livejournal.com

У кого это называется "Астра", у кого ещё как.. звонилка, причём чуть ли не до последнего времени встречалось там, где было бы разумно использовать IP вместо междугородки.

Это про Украину. И вообще не всё сбербанк, просто иные фидорасы много куда подобирались, так и не научившись ничему толком. Например, здесь же лет пять тому один из двух больших мобильных операторов выставлял для контент-провайдеров почтовое API, документация которого разве что на "с пивом к хабу" не заканчивалась.

From:

ex-digital-4.livejournal.com

документация которого разве что на "с пивом к хабу" не заканчивалась

5+!!!

From:

vitus_wagner

Бедная у тебя фантазия.
Как например, идея задепонировать в банке копию дискетки с СЕКРЕТНЫМИ ключами?

From:

tzirechnoy.livejournal.com

По сравнению с раздачей возможность подменить бинарно запускаемые от рута обновления первому встречному полупрограммисту ЗАО "Рога и копыта"?
Ой, сущие мелочи. Мы жэ друг другу доверяем...

From:

cmike.livejournal.com

То есть пользователь честно генерит секретные ключа, но потом обязан их отнести в банк (для его же надежности и удобства)? Цирк, действительно.

Это смешнее, но bk.ru - дурдомее.

From:

samurai-within.livejournal.com

т.е. поднять тупой простой ftp они ниасилили (да хоть на сайт выложить свой же), а заводить каждому на мылору почту асилили? omfg. Слава богу с нашим банком такого идиотизма нет.

From:

gvy.livejournal.com

А что, каждому?

From:

samurai-within.livejournal.com

можно подумать у них обновление банк клиента для каждого индивидуально :)
Это ж не ключи )

From:

http://users.livejournal.com/_pacak_/

Там разве написано что каждому? Я знаю несколько ящиков на mail.ru через которые люди музыкой обмениваются.

From:

samurai-within.livejournal.com

извращенцы ога :)

From:

alextutubalin.livejournal.com

Почта для всех клиентов - общая (это я вывел из того логина, который видел, да)

From:

samurai-within.livejournal.com

тем более странненько

From:

maxcom.livejournal.com

Если такие люди начнут сами поднимать ftp и он будет доступен из интернета, то это точно будет последний ахтунг.

А вообще могли бы и на рапидшару выложить ;-)

From:

samurai-within.livejournal.com

ну про фтп это я так - вообщем.
Ну имхо уж саааамое простое это поожить просто на сайт. Он ж у них есть. Ну и положили бы :) Чего уж проще. И ссылку клиентам прям в том же клиенте и прислали б.

From:

beljakoff.livejournal.com

Ужас ужас, просто!

Лично столкнулся с тем, что банк(не помню точно какой, но немаленький) раздавал файл обновления банк-клиентовской конфигурации обычной E-mail рассылкой. Естественно, безо всяких мер безопасности, типа подписывания этого файла. Я удивился, позвонил в банк, они подтвердили, что именно так, просмотрел глазами файлик(он текстовый, к счастью) и все-таки установил. При этом скачать с их сайта по https ничего полезного нельзя.
Теперь будем ждать троян, рассылающийся от имени банка.

From:

stray-cat-mary.livejournal.com

Хех :)
Работала я в том банке. Взаимоотношения с компьютерной службой (и некоторые их фантазии) я помнится рассказывала понимающим людям в качестве анекдотов - и люди делали огромные глаза. Не верили :)
И это я рассказывала, условная блондинка.
Подозреваю, что люди грамотные там бы вовсе с ума сошли.
И вижу, что за истекший период уровень идиотизма вырос...

Кстати, в те времена, когда со спамом уже повсеместно боролись, в этом банке считали лучшим способом привлечения клиентов-юридических лиц... спам.