Предлагаю заценить "Интернет-банк"
C
Cybervlad
Сайт не имеет доступа к компу.
Это вы так думаете :-)
Ну не надо доводить до маразма а?
Конечно, не надо. Надо проектировать систему так, чтобы онлайновое взаимодействие с критичной системой не требовалось.
В обсуждаемом случае лично мне совершенно непонятно, зачем нужен _мгновенный_ выпуск сертификата без проверки его человеком?
Этого можно легко избежать, если по-другому построить бизнес-процесс.
Согласен.
Мужики, дело ваше. :-) Но мировая практика говорит об обратном - посмотрите CPS серьезных CA. Устройство с ключом CA ставится в онлайн (с Callback-обращением) только в том случае, если по-другому организовать взаимодействие невозможно в принципе.
А так - ныряйте, тут неглубоко :-)
А почему в домене две "i"?
Рабочее название - "Интернет-информ" прототип
http://inf.ssb.ur.ru :-d но он переписан полностью вплоть до смены платформы с Win на Unix
Если не секрет, сколько человек занято в разработке и
сколько времени ушло на создание того что есть сейчас, есть ли сейчас связь с АБС?
3 месяца парень работает. Я типа постановщик. Стало быть 1.5 человека. Связь с АБС есть, подключено к тестовой БД.
А так - ныряйте, тут неглубоко
Я теории тоже читал. Они правильные. Безусловно. И про несколько рубежей защиты и про ... Короче лимит поставят аналитики к примеру 10000 рублей на операцию и сколько-нибудь на день, и никому ломать неохота станет уже.
Это есть управление рисками вроде. А то, что проповедует Влад является не управлением рисками а их параноидальная минимизация по формуле ноль делить на бесконечность.
Кроме того, в дальнейшем, будет независимая оценка системы.
T
Toyo
Коллеги из СК, поясните, чем вызвано данное событие: "Система ИНТЕРНЕТБАНК будет недоступна с 22.00 31 декабря 2004 г. до 10 января 2005 г. включительно" (http://www.kazna.ru/info/news/?n=1004)?
M
Monstr™
http://inf.ssb.ur.ru история повторяется, хочу увидеть когда будет не демка http://ii.apkbank.ru, а ужо рабочая система.
система подвержена XSS атакам, пока непонятно как это можно использовать (еще и в рамках подтверждения подлиности клиента по его сертификату)
хотя нет уже придумал примерный план:
- основная часть клиентов сидит под ослом подверженом URL спуфингу
- вставляем перенаправление клиента на "фишинговый" сайт и там снимаем информацию
ЗЫ: сразу согласен что в этом варианте есть много "НО", НО оставляеть возможность XSS атаки не есть хорошо.
ЗЫ2: на всякие SQL инъекции как то боязно проверять :-) .... так что на вашей совести все!
Хотя я думаю этот инет банк не проходил серьезной, комплексной и компетентой проверки на безопасность.
хотя нет уже придумал примерный план:
- основная часть клиентов сидит под ослом подверженом URL спуфингу
- вставляем перенаправление клиента на "фишинговый" сайт и там снимаем информацию
ЗЫ: сразу согласен что в этом варианте есть много "НО", НО оставляеть возможность XSS атаки не есть хорошо.
ЗЫ2: на всякие SQL инъекции как то боязно проверять :-) .... так что на вашей совести все!
Хотя я думаю этот инет банк не проходил серьезной, комплексной и компетентой проверки на безопасность.
Авторизуйтесь, чтобы принять участие в дискуссии.