В Торонто очень сильно распространены проездные на общественный транспорт. Проезд здесь достаточно дорогой, поэтому тем, у кого нет машины действительно выгодно купить проездной за $130 (если я правильно помню цену) и ездить без ограничения на автобусах, трамваях и метро города.
Цена достаточно высокая. Хотя проездной и выглядит как пластик и его внешний вид меняется каждый месяц, при такой стоимости, подделывать проездной все же выгодно и уже были случаи мошенничества.
В этом месяце транспортная компания пошла дальше - они заказали у стартапа в Нью Йорке приложение для телефона, которое позволит покупать проездные. У самой компании пока электронных считывателей в городе почти нет (в автобусах только планируют начать устанавливать), поэтому приложение просто должно показывать на экране картинку, которая будет говорить контролёру, что это проездной.
Сейчас читаю книгу по Web безопасности одного из специалистов в этой сфере и если честно, то она не очень пока мне нравится. Я даже не читаю, а просматриваю. Но вот один абзац меня натолкнул на размышления:
In any security-critical application, the most effective way to implement realtime alerting is to integrate this tightly with the application’s input validation mechanisms and other controls. For example, if a cookie is expected to have one of a specifi c set of values, any violation of this indicates that its value has been modified in a way that is not possible for ordinary users of the application.
Переведу смысл на всякий случай - для приложений, которым безопасность очень важна, наиболее эффективным методом будет реализовать оповещения в реальном времени и привязать его к механизму проверки входных данных. Например, если плюшка должна быть определенного значения и она модифицирована так, что пользователь не мог этого сделать, нужно сообщить.
Сегодня прочитал в интернете не совсем верное утверждение в отношении CVV2 и CVC2 кодов, которые расположены на обратной стороне кредитной карты. Это всего лишь три цифры, которые предназначены для повышения безопасности и не гарантируют, что этот код никто не уведет.
Основное правило в отношении кодов безопасности кредитных карт заключается в том, что интернет магазины (да и вообще это касается всех) не имеют права хранить этот код в своих базах данных. Смысл в том, что если кто-то спиониздит базу данных, то код безопасности не окажется в руках хакера.
Теоретически код нужен продавцу только для авторизации транзакции и после этого его можно удалять, а точнее, его даже сохранять не нужно. Но где гарантия, что магазин не сохранил CVV код? Абсолютно никакой гарантии.
Жена сообщила из Питера, что у нее проблемы с получением пин кода для карты Яндекса. То, что безопасность для них важнее - это хорошо, но как же удобство?
Мне тоже пин код не прислали, когда я открывал свою карту, поэтому пришлось звонить срочно в службу поддержку устанавливать код. А для меня это не дешевый международный звонок.
В общем, я описал свои мысли в курилке, и чтобы не повторяться здесь, просто оставлю линк для тех, кому интересно: http://www.funniestworld.com/Blog.aspx?id=2143.
Все любят умничать, что резервное копирование очень важно, но мне кажется, что мало кто реально следуют хотя бы базовым правилам создания резервных копий.
После каких-либо проблем я заставляю себя делать копии, и у меня для этого есть все необходимое - достаточно большой внешний жесткий диск WD. Только мне всё равно постоянно лень скопировать все файлы.
Резервные копии фотографий я делаю регулярно. Память у меня хорошая, но на старости лет в канадской избушке на пенсии возможно захочу полистать некоторые фотографии.
Сейчас прочитал, что группа экспертов при участии Microsoft нашли уязвимость в технологии шифрования траффика, которая существовала 10 лет в iOS, Android и MacOS.
Apple уже отреагировала на это сообщение и пообещала выпустить патч и тут у меня н так уж и много вопросов, потому что нужно будет обновить последний билд для iOS 7 и последний для iOS 8. Если кто-то не обновился до последней версии в своей ветке, то это уже их проблемы, ведь все обновления бесплатные и компания посто н может выпускать патчи для каждой существующей сборки, но должна выпускать для каждой существующей на рынке версии. Сейчас практически 100 процентов рынка занимает всего две версии 7 и 8.
Вот интересно, кто смотрит на значок https соединения в наши дни? Я помню, когда появился этот протокол, то первое время я достаточно часто смотрел на наличие https, но ни разу н смотрел на сам сертификат. Сейчас я заглядываю на это значок только тогда, когда ввожу номер кредитной карты на каком-либо сайте.
Если кто-то зарегистрируют доменное имя со схожим с жертвой названием и еще и сможет получить сертификат безопасности, то мне кажется, что большинство не заметит подставы. Быстрый взгляд на строку адреса, и достаточно увидеть только, что там есть сертификат, как никто уже не будет открывать его.
Наличие сертификатов - достаточно сильно усложняет некоторые атаки, но мне кажется, что всё же не решает проблему даже на 90%. Если профессионалы еще смотрят на подобные вещи, то новички и домохозяйки даже не хотят задумываться о том, что у сайтов должен быть https протокол везде, где передаются пароли или номера кредитных карт.
Что-то опять наткнулся на глупое утверждение, что вирусы пишут антивирусные компании или это делается по их заказу. На мой взгляд это полнейшая глупость.
Сейчас на рынке Windows компьютеров существует огромное количество заразы и люди достаточно напуганы, чтобы оставлять свои компьютеры без антивирусной защиты. Тратить деньги и усилия тут бессмысленно, потому что даже если вообще перестать выпускать новую заразу, народ будет продолжать покупать антивирусы . В случае падения спроса достаточно будет выпустить пару вирусов, и спрос опять взлетит до небес.
Привожу письмо в том виде, в котором его получил, потому что не совсем понял, это несколько вопросов или просто так оформлено:
подскажите, как быть/ как защитится
чат переписку в соц сетях (меня атакуют с соц сетей, фаирвол блокирует атаки ) но зачем с какой целью атакуют с соц сетей ??
как защитить почту/ тут тоже не пойму в переписки с людьми приходят (на мой взгляд) не те сообщение что нужно
как защититься
У меня есть карточка Тинькова, которая привязана к Яндекс аккаунту. Невероятно удобная вещь и достаточно безопасная. Если в Канаде кто-то украдет мой номер, то вариантов воспользоваться им не так уж и много, потому что биллинг адрес российский.
Конечно это доставляет неудобства и мне, потому что я могу пользоваться карточкой только в офлайн через машины приема карт или очень в ограниченном количестве магазинов в онлайн. Онлайн магазины могут настроить, сколько информации проверять. Минимумом являются номер карты CCV код, срок действия и имя на карте. Это минимум, но он и достаточно просто ворвется. Не смотря на то, что правилами карт код CCV запрещено хранить где-либо, его все же хранят, поэтому если таких уродов взломают, код CCV уйдет в свободное плаванье вместе с остальной информацией.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
На сайте используются Cookie. Если вы из ЕС или Калифорнии США, то вы должны согласиться с их использованием - Согласен. Если вы из нормальной страны, то вам пох.
