Предлагаю заценить "Интернет-банк"
Предлагаю заценить пилотную версию интернет-банка.
Наваяли тут между делом :-)
Может быть есть какие пожелания, замечания и т.д...
Продукт обещает быть оооочень дешевым и доступным для клиента, но это уже отдельная песня.
http://ii.apkbank.ru
Наваяли тут между делом :-)
Может быть есть какие пожелания, замечания и т.д...
Продукт обещает быть оооочень дешевым и доступным для клиента, но это уже отдельная песня.
http://ii.apkbank.ru
Y
YK115
в опере не работает :-(
Y
YK115
Реклама: У нас, как раз с сегодняшнего дня, работает в любом браузере.
Y
YK115
Вообщем в IE тоже не работает:
Невозможна загрузка объекта CAPICOM.
Дальнейшая работа невозможна.
Дальнейшая работа невозможна.
в опере не работает
Увы. И в нетскейпе не работает.
Ясен пень сырая она еще, ну а вообще как?
[Сообщение изменено пользователем 09.12.2004 18:13]
Y
YK115
:-) понял уже. Слава богу, зашел IE, с грехом пополам.
1. Не понял как, все-таки, платеж сделать.
2. Интерфейс для физиков точно не подходит, только для банкиров или юриков.
3. Много графики.
4. Зачем copyright в интернет-банке?
5. Названия разделов неприлично делать картинкой.
ну и тормозит немного.
PS. В общем, симпатично :-)
1. Не понял как, все-таки, платеж сделать.
2. Интерфейс для физиков точно не подходит, только для банкиров или юриков.
3. Много графики.
4. Зачем copyright в интернет-банке?
5. Названия разделов неприлично делать картинкой.
ну и тормозит немного.
PS. В общем, симпатично :-)
Y
YK115
Про безопасность, надо Влада ждать из Тайланда.
y
yarick
тормозит - страшно... 5 клиентов - и его парализует :-)
вы серьезно хотите на php делать???
[Сообщение изменено пользователем 09.12.2004 18:27]
вы серьезно хотите на php делать???
[Сообщение изменено пользователем 09.12.2004 18:27]
тормозит
из-за канала связи. Ну и щас узнал похоже поставили пока на пень2-266 и там же какая-то ДОСовская прога крутится постоянно, ресурс машины жрет 100% - демка же.
оно не на php :-)
[Сообщение изменено пользователем 09.12.2004 18:37]
a
av_
Реклама: У нас, как раз с сегодняшнего дня, работает в любом браузере.
Вот это хорошо!
Дождались.
А почему в новостях ни слова?
2 galiy:
А вы каким-то не правильным путем пошли, раз изначально один IE. Imho.
А у меня и в IE не заработало. Объекты потенциально небезопасные хотела поставить. Да кто же ей даст...
y
yarick
А у меня и в IE не заработало. Объекты потенциально небезопасные хотела поставить. Да кто же ей даст...
сертификат это небезопасный элемент? :-)
Ю
Юноша-
Симпатично... для юриков :-)
N
Natalca
А справочник корреспондентов не предусмотрен?
А вы каким-то не правильным путем пошли, раз изначально один IE.
Может быть, может быть... подумаем об этом потом. Сейчас главное сделать чтоб жило.
Да и не столь критично это. Если клиенту оно будет надо, клиент запустит IE, несмотря на свой любимый браузер. Вообще, любимые браузеры, отличные от ИЕ, (а также линуксы и т.п.) встречаются в основном у продвинутых пользователей или программеров. Мы же не ставили перед собой задачу удовлетворить их прихоти, нам нужно было сделать работающую систему. Сейчас по факту втандарт работы с вебом один - виндовоз и эксплорер, так что основная масса клиентов будет довольна. Что же до потенциально небезопасных элементов - ну если Вы не доверяете банку с которым Вам работать, то что мы можем поделать.
А справочник
корреспондентов не предусмотрен?
А вот это интересно. Существует мнение, что для сегмента рынка, пользующегося интернет-банком, достаточно возможности создавать документ по образу и подобию ранее оплаченного. Я вот пользуюсь инетрнет-банком одного е-бургского банка довольно давно, там есть
такой справочник, но я что-то так ни разу им и не воспользовался. Копирую платежки, сумму меняю и отправляю.для юриков
Да, тут я наверное соглашусь. Интерфейс расчитан на некоторые первоначальные знания о правилах оформления платежных документов. Надо что-то придумать наверное, чтобы смог пользоваться не сильно грамотный юзер.
Да кто же ей даст...
Кстати, av, мы вот это чудо в перьях написали месяца за 3. А я слышал, что Вы года 2 назад начали интернет-банк рисовать свой. Как прогресс? Можно демку глянуть?
Y
YK115
Интересно. А что за банк? 2 года -- это срок. Где демка?
a
av_
Кстати, av, мы вот это чудо в перьях написали месяца за 3. А я слышал, что Вы года 2 назад начали интернет-банк рисовать свой. Как прогресс? Можно демку глянуть?
Да вроде работает... Для Юр.лиц... Как физики сами в банк24 ходим.
А демки нет. Наверно потому, что банк приватный.
C
Cybervlad
мы вот это чудо в перьях написали месяца за 3
Заметно.
Равно как и то, что специалистов по безопасности к разработке не привлекали. В результате, дизайн системы настолько небезопасен, что я бы не рискнул ей пользоваться.
У вас что, денег не хватило купить сертификат thawte/verisign для сервера и подписи кода?
Это ж надо догадаться вдувать самоподписанный корневик по незащищенному каналу!
Подпись кода "упирается" в этот же корневик, не имеет даты. На extended key usage в юзерском сертификате без слез смотреть невозможно. Контроль качества пароля отсутствует напрочь, позволяет делать пароль из 1 символа.
При этом интерфейс неплохой, особенно радует, что форма платежки выглядит как на бумаге (это, к сожалению, редко кто делает) и имеется связка с самой распространенной бух. программой.
Если безопасность до ума довести, то будет, наверное, неплохой продукт ("наверное" - потому что мы видим только юзерскую сторону, а есть еще много тонких моментов в банке). К сожалению, опыт показывает, что если вопросы безопасности грамотно не учитывать с самого начала разработки, потом это превращается в натягивание презерватива на глобус. Надеюсь, в вашем случае это не так и систему можно будет доработать.
У вас что, денег не хватило купить сертификат thawte/verisign для сервера и подписи кода?
Купим перед запуском в эксплуатацию. Это ж демка.
На extended key usage в юзерском
сертификате
Вот за это спасибо, Обрежем.
позволяет делать пароль из 1 символа.
Было только слишком жестко, убрали. Как требования новые сформируют - поставим на место.
систему можно будет доработать
Угу. Уже пишу ТЗ :-d
Спасибо, Влад.
не имеет даты
Сказали что ее нет т.к. для того чтобы поставить timestamp приходится через GPRS соединяться с и-нетом и подписывать :-) Лень для демки-то.
C
Cybervlad
Спасибо, Влад.
Не за что ,)
Но все-таки лучше безопасников привлекать с самого начала разработки. То, что заметил я, лежало на поверхности. Наверняка много неочевидных вещей, если посмотреть на проект изнутри...
Кстати, а как вы планируете "не в демке" выпускать сертификаты юзерам в онлайне? Во-первых, для этого вам придется получит сертификат подчиненного СА, а во-вторых - держать соответствующий секретный ключ в онлайне, что есть очень опасно.
сертификат подчиненного СА
Вопрос прорабатывается
держать соответствующий секретный ключ в онлайне
Что есть "в онлайне" ? На веб-сайте чтоль? Он не там.
C
Cybervlad
Что есть "в онлайне" ? На веб-сайте чтоль? Он не там.
Хорошо, не на самом веб-сайте, но на компе, который связан с веб-сайтом явно не дискетой, судя потому, что сертификат выпустился мгновенно ;-)
Best practices - ключи CA живут на компе, не включенном в сеть.
ключи CA живут на компе, не включенном в сеть.
Согласен. Комп, на котором лежит CA имеет доступ к сайту. Сайт не имеет доступа к компу. Да и вообще никто не имеет. По нашему мнению, учитывая что между сайтом и компом ишо файрвол стоит, этого достаточно.
Ну не надо доводить до маразма а? Должна же быть реальная оценка рисков, сопоставленная с потерями от их минимизации...
А то так мы этот комп для надежности вообще выключим и в кассу сдадим на хранение млин... :-d
[Сообщение изменено пользователем 17.12.2004 16:02]
Y
YK115
Ну не надо доводить до маразма а? Должна же быть реальная оценка рисков, сопоставленная с потерями от их минимизации...
Согласен.
А почему в домене две "i"?
Если не секрет, сколько человек занято в разработке и сколько времени ушло на создание того что есть сейчас, есть ли сейчас связь с АБС?
[Сообщение изменено пользователем 17.12.2004 16:37]
Авторизуйтесь, чтобы принять участие в дискуссии.