б24 и "другая" версия интернет-банкинга?

Это почему это? - Поясните!!! Нам с Сергеем Геннадьевичем будет очень интересно и поучительно послушать... :-)

Нормальные пацаны всегда на измене (с)

Ну Вы опять все в лозунгах, давайте примеры в студию и объяснения, а не просто: "ЭЦП Rulez, Сеансовые Ключи - SUX!"
Как крадется ЭЦП видимо Вы все-таки в курсе? И то что при желании изготовить штамм вредоносного ПО который не будет отлавливать НИ ОДИН из популярных антивирусов, по крайней мере определенное время - тоже не будете спорить? :-)
Это нам для ясности, чтобы понять в дальнейшем что с чем мы сравниваем - ЭЦП в упаковке USB-Токен с одноразовыми ключами или ЭЦП БЕЗ Упаковки... :-)

Yo!
Я всю вторую страницу как можно подробнее и понятнее это делал!


Как крадётся ключ ЭЦП из аппаратного криптопровайдера - средствами не-КГБ/не-NSA - я не в курсе.


При желании - можно всё, люди, вон, на Луну слетали...
Именно по этому и нет никакий безопасности у кодиков - ни карта у пользователя PIN-код спросить не может, ни обеспечить целостность введённых пользователем данных платёжного поручения!


Ни слова не понял, ещё раз, пожалуйста.

как будто ваш криптопровайдер может обеспечить целостность введенных данных

У "нормальных" пацанов предубеждение перед кодиками и святая вера в неломаемость и доказываемость подлинности Плат.поручения "по-любому" со связкой ЭЦП+Токены. (Как бы я хотел бы также "верить в Чудеса"! :-) )
Однако перед предложенной Вами "шутки" с подменой счета бессильны и те и другие практически одинаково. :-(

:-)
Прямо мысли мои читаете!

Именно потому, что нынешние аппаратные криптопровайдеры не соответствуют моим представлениям о минимальном уровне безопасности (не оснащены собственными экранами и клавиатурой для контроля подписываемого документа и запроса PIN-кода) мне и приходится таскать с собой по всему свету ноутбук, париться с TrueCrypt'ом и прочими наворотами...

Но кодики-то и этого не могут В ПРИНЦИПЕ!!!
Даже если некто сделает такой же доверенный комп, как у меня, приклеит его к себе намертво и не будет с ним расставаться даже в бане - всё равно остаётся возможность злоупотребления его средствами.
Постоянно в новостях читаем: "арестован оперционист того банка, сего банка, пятого, десятого, за кражу средств со счетов Клиента", подозреваю, то в Райфайзене именно это сейчас и происходит.

Оно мне надо?!
Я за тридесять земель любуюсь закатом над Индийским Океаном, а мне банк сообщает "с вашего счёта списано Z рублей в адрес Q, кодик такой-то". Мне что - кидаться в самолёт и лететь к месту банковской регистрации и МЕСЯЦАМИ доказывать, что я в глаза не видел реквизитов Q?!
Если я сам профукал ЭЦП - сам дурак, но зависеть от банковских кротов, могущих подправить п/п по кодикам, я не желаю, по крайней мере не в суммах, выше пары тысяч рублей.

В Российском законодательстве чётко оговорено, что является аналогом собственноручной подписи, все нормальные банки должны соблюдать Российскон законодательство. По определению.

Уважаемый, вы действительно сотрудник б24?
Как сказала бы блондинка - "Я в шоке!".

Пожалуйста, распечатайте тему со второй страницы и прочитайте мои сообщения медленно, вдумчиво, несколько раз, до просветления.

Готов ответить по существу.

А мне Альфа смс-ки присылает... Платеж такому то, на счет такой-то, сумма столько подтверждаете? Если да, то вот вам кодик именно на эту платежку. Вводите если согласны.

Давайте еще за это разгоним ;-) Мне интересно!

ваш криптопровайдер не может, и кодики не могут
в чем разница, генерал? в том, что полностью защищенный криптопровайдер в теории может существовать? ну дак когда будет существовать - тогда и поговорим, а сейчас разницы между ним и кодиком - котенок наплакал

и это ладно, что щас хоть токены есть - на вариант с убрировскими/казнинскими ключами на флэшке ваще без слез смотреть нельзя

Вы на сайте банки.ру зарегистрированы, новости там, наверное, читаете.
Сами найдёте ссылки на шквал сообщений о хищениях (доказанных!) через клик, или мне этим заняться?

Да у Вас "мания Величия", как я посмотрю... :-)
Тогда Вам в другой форум... :-(


Нет, но это сути дела не меняет...


После этого Ваше предложение - смотрится как-то странновато... :-(



опять лозунги, "один я Д`Артаньян, остальные ...." :-)
Неинтересно с Вами стало - простите скучно...

Разница в том, что добросовестный Клиент, принявший все мыслимые и НЕмыслимые меры к защите своего рабочего места ДБО, не гарантирован от хищений, если он зависит от кодиков.

При нормально реализованной инфраструктуре ЭЦП, когда ключ аппаратно генерируется, хранится, используется, (не как в ВТБ, который сам генерирует ключи Клиентам!), у добросовестного Клиента есть гораздо большая уверенность, что его не обворуют.

Думаю, разница очевидна.

Генерал, не ругайтесь. Я ж не с подколом. И в мыслях не имел. Мне действительно интересно. Ликбез

Скандалы с Альфой были связаны с ситуацией до достаточно плотной доработки напильником SMS-кодиков. Читал, подробно читал. Со всем познакомился. Хочу узнать и Ваше мнение.

P.S. Вы на меня за 4-ку Альфе обижаетесь? ;-)

Цитируйте, плиз, аккуратнее.

Глубокое СОРРИ!!! Чудеса копипаста... :-)

Скандалы с кодиками были, есть и будут, пока кодики используются. Никакие доработки не спасут. Точка.

Есть понятие об АСП, оно чётко оговорено в Законодательстве.
Всякие доморощенные изобретения - в лучшем случае нелигитимны.

Тут речь о превратно понимаемом противоречии "удобство vs безопасность".
У меня достаточно крупные суммы в банках, чтобы беспокоиться о безопасности.
Да, я предпочёл бы возможность не таскать ноут, работать с любого компа - при условии безопасности ДБО.
Пока не сделают токены, способные подключаться к банковским серверам напрямую - буду терпеть "неудобство" ношения EeePC900.

А альфе - стократный позор - получить КУРС и не воспользоваться!

Я хочу сказать что...

1. Крупные суммы должны работать. Либо в трейдинге, либо лежать на хороших длинных вкладах.

2. Иметь крупную сумму в оперативном доступе - заведомо риск.

Моя позиция: преподчитаю разделять. Крупные суммы в банках с доступом по ЭЦП только с доверенной среды. А еще лучше вообще без доступа - только лично, с паспортом и три раза КУ в отделении. Текущие суммы в ДРУГИХ банках с кодиками и максимально удобным доступом.

Сказал как отрезал... :-)
Конечно, как может быть иначе:
если Клиент - то добросовестный (а как же еще!)
Если Банк - то Жулики "ОДНОЗНАЧНО!" (с) В.Жириновский) :-)
А про собственно Злоумышленников почему-то как-то забылось... :-)

КУРС был тоже не безгрешен. ЭЦП не вычислялалсь на отдельной аппаратной криптомашине и подписание документа происходило в ОЗУ машины пользователя, что уже недоверенная среда. Это прекрасно обсуждалось на форуме.

ЭЦП, как в Казне, защищало банк от наездов, в плане отрекаемости. Но никак не защищало клиента. Закон на стороне банка, а не на стороне прохлопавшей защиту.

Пользоваться ЭЦП в Казне мне как клиенту было опасно - я не всегда мог обеспечить защищенную среду. Но возможности отвертется у меня никогда бы не было.

Подальше положишь - поближе возьмешь. Диверсификация - вот сила!

Жесть. Мне жаль нарушать столь высокоинтеллектуальную беседу хакеров-параноиков экспертов в области защиты информации, но банальный паяльнег в жопу терморектальный криптоанализ сводит на нет все наисовременнейшие разработки в данном направлении. Обеспечить приемлемый уровень риска при работе с интернет-банком можно более простыми и понятными способами. :ultra:

+1 Фточку! :lol:

REspect!
Спокойно, грамотно,
без этих Лозунгов! Учитесь "Генерал" ! :_)

Тема "ЭЦП vs кодики" - тоже мной любима, но посмотрим, о чём был вопрос в первом сообщении.

Я хочу узнать - "новый, ЭЦПовый" интернет-банк б24 - это проосто другой вход в то же ДБО, что и сейчас, или вместе с новым входом будет обеспечена вся остальная, отсутствующая у б24, функциональность ДБО?

По поводу диверсификации:
- платёжные карты в одном банке
- средства в другом банке

Чтобы никакие ляпсусы с картами не могли привести к потерям или головной боли по поводу денежных средств.
(Была история, когда из-за ошибки эквайера (замена валюты при расчётах, резервировались N рублей, а к списанию предъявились N евро) альфа посписывала деньги со всех счетов и вкладов Клиентов)

Но и при этом - должен быть способ управлять авуарами дистанционно и безопасно.

Итого: вопрос Лапшину - что, кроме собственно ЭЦП, будет в "новом" ДБО?