На днях была на Ленина 48.В Банке 24.ру

иная

т.е. (как выразился Cyberrvlad, "про саму форму"):
- НЕ НЕДО иметь с собой "нечто"
- и НЕ НАДО периодически это "нечто" получать снова
? :-d

[Сообщение изменено пользователем 11.03.2005 16:19]

"Я Пастерника не читал, но осуждаю!"
Любая вешь, которой пользоваться умеешь, кажется в простой в использовании... :-)
Спор идёт о передовом сервисе, который и нужен-то далеко не всем и методах его реализации. Претезии, типа Фи-и, бумажки - это ИМХО, хотелки отдельных продвинутых людей, сродни например, "купил Форда, а у него, блин, панель не такая, как у моего Ауди, вот ацтой"...
Реализовать одни и те же функции можно по-разному, в любом подходе есть свот плюсы и минусы -идеального решения просто не существует...

я с собой имею ноутбук и пароль в голове. я конечно понимаю, к чему вы клоните - к ноутбуку с интерпро, записанным на винт, но 99% пользователей не нуждаются в том, чтобы прямо с любого компа лазить в инетбанк, достаточно записать проги на нужные компы и все.
зы. в следующем ибанке ск (выйдет в апреле) смена сертификата будет производиться дистанционно, поэтому в банк ходить не надо.

В чём же она иная? Для нормальной безопасности надо иметь носитель, на котором ЭЦП и ключи должны быть защищены от копирования. А помимо этого, всё равно защищать ЭЦП от несанкционированного использования... Ситуации, когда похищается техника с установленным ПО нередки, и очень часто пароли к этому ПО находятся на том же компьютере и даже в открытом виде.

Это у вас клиент-банк получился, а не ибанк.


Ну и не вводите людей в заблуждение, сейчас ходить в банк надо. Будет новая версия, будет видно, а пока и демка старой не работает.

А про новые версии можно говорит сколько угодно, у нас тоже будет, в ней будет много вкусного и что? Мы же не хвалимся, тем что будет. Выпустим, будем хвалиться.

[Сообщение изменено пользователем 11.03.2005 16:26]

ни к я чему не клоню, просто, проведя параллели между двумя технологиями (ЭЦП и кодики), усомнился во фразе Cybervlad-а о последней:



Усомнился, т.к. на мой скромный взгляд, эта фраза, за исключением самого слова "кодики", адекватна и для ЭЦП. :-d
Посудите сами: разве в случае с ЭЦП Вам не надо:




? :-d

[Сообщение изменено пользователем 11.03.2005 16:44]

Получил Визу Електрон в Б24 - вполне доволен. И в банкомате проверил сразу - работает, и посидеть там есть где у банкомата. И опять сотрудник незлой попался. Очень удобно - рядом с остановкой офис и банкомат.

а что толку 2 банкомата на весь город (ну может) чуть-чуть побольше

ЭЦП украсть нельзя ;-) Хотите свою дам? :-)
Украсть можно только секретный ключ ЭЦП. Это просто терминологическое уточение.


На самом деле, не смертельно дорого - 20-40 баксов.
Там в другом проблема: токен умеет вычислять ЭЦП "на борту" только по алгоритму RSA, но не по отечественному ГОСТу, что создает много потенциальных проблем. А в плане использования токена как просто защищенного ПИН-кодом носителя для файла с ключом - не на много лучше дискеты, на которой файл с ключом записан в зашифрованном на пароле виде. Минус дискеты в том, что она из строя норовит выйти и медленная. Лично я свои ключики на флешке держу.
Аппаратная реализация российской ЭЦП есть только в виде "пилота" - суровые дядьки из компании Аладдин сделали прототип на японском чипе Athena. Но когда еще это пойдет в серию, когда сертификат получит...


Конечно иная. Сертификат открытого ключа ЭЦП действует год. Т.е. при работе не надо прикидывать, на сколько операций осталось у меня кодиков на карточке.
Сейчас для смены сертификата надо идти в банк. В Б24.ру - за новой карточкой. В новой версии смена сертификата будет дистанционной, а у Б24.ру коды будут на мобилку прилетать :-)


Простите, но информацию от копирования защитить невозможно. Если есть доступ на чтение, значит копирование возможно (хоть и нетривиально в общем случае).
Единственный способ не дать скопировать ключ - генерация ключа внутри устройства, реализующего функции ЭЦП аппаратно. Но таких пока нет.


Ну давайте спросим "average user", что ему удобнее:
- в начале сеанса ввел пароль для расшифрования ключа, в конце сеанса не забыл ключик выгрузить;
- инициировал сеанс, но для каждой значимой операции нужно вручную вводить одноразовый кодик, либо считывая его с бумажки, либо получая в виде СМС на мобилку.

Второй способ проще в реализации (для банка), позволяет ходить в интернетбанк с более широкого спектра устройств (для клиента). Но он менее удобен для клиента (вводить коды вручную) и менее безопасен для банка (в случае конфликта объективно доказать, что платеж инициировал клиент весьма непросто).
Последний тезис в случае физлиц, с их небольшими суммами платежей, может банком и не приниматься во внимание, т.е. банк сам прикидывает затраты и возможные потери.


Тут вообще-то сам подход (ЭЦП vs коды) обсуждают, а не реализацию в конкретном банке.




Получать в известное время, а не через N операций - почувствуйте разницу.
И, если уж уходить в сторону технологий, то есть решения, когда и иметь с собой ничего не надо. Кроме головы ;-) Посмотрите проект s-mail.com, например.

Сравните разницу с "бумажкой"... :-)

Разве нашими службами это ещё не принято?

Знакомые защитники уверяли меня, что содержимое токена не копируется... (хотя я и упирался...)


Вообще-то юзеру надо, чтобы оно всё само, и так, как ему хочется... :-)
Вручную всё равно приходится вводить цифры при платежах, даже по шаблону...
Но принципиально вариант с кодами, причём именно на физическом носителе несколько более безопасен: черви, вирусы потенциально способны утянуть с компьютера ВСЁ, что на нём есть и что в него суётся, но никак не смогут стащить бумажку со стола. :-)
Ведь:
Зато есть сканеры отпечатков, сетчатки глаза...


Во первых, тезис справедлив и для ЭЦП.
Но возможные конфликты можно урегулировать договором, а для клиента, с другой стороны теряется возможность наоборот докажать, что не он инициировал платёж. Если сертификат получен, и в этом человек расписался, то он виноват, а если карта с кодами получена, но не вскрыта, то клиент не совершал операций... При утрате карты её можно аннулировать, утечку ЭЦП заметить труднее.
Разница в качестве планирования, не больше. В банк всё равно приходится ходить ногами. И не так редко, как хотелось бы... На крайняк можно организовать доставку курьерами (как и выписок) но это банк пусть думает.

Любое решение имеет дырочки, которые, впрочем учитываются в категории рисков, но способние доставить мелких и не очень, неприятностей как одной, так и другой стороне. Поэтому я в большинстве случаев сторонник простых и дешёвых решений, ибо ситуаций, когда дорогое и нетривиальное решение действительно обоснуемо исчезающе мало.

не соглашусь - кодики это АСП и между АСП и ЭЦП юридически очень большая разница, так что с точки зрения банка однозначно использование ЭЦП более безопасно
а насчёт карты с кодами не надо теоретизировать - пусть банк потом пробует доказать, что ему эти коды не были известны и что это именно клиент а не сотрудник банка провёл операцию

Подключаюсь, когда наезжают на стратегию развития.

У банка 4 точки обслуживания: Ленина 56, Ленина 48, Малышева 84 - круглосуточные допы с кэшинами и центральный Куйбышева 12 тоже с банкоматом, но попроще. Достаточно для качественного обслуживания клиентов, без зарплатных проектов. А если клиенту понадобился кэш на Химмаше, в Барнауле или Париже - на то он и международ - банкоматы есть везде. А если есть планы на крупные зарплатные проекты, то, чтоб трудовой народ получал кэш без комиссии - надо сеть банкоматов разворачивать

при этом надо добавлять - "а любители халявы - это не наш сегмент клиентов" ;-) и тогда концепция будет более полной и в принципе имеющей право на существование

Это для любого банка и не только банка справедливо.
Что касается зарплатных проэктов, то вибирают способы их реализации работодатели тоже по разным критериям, вплоть до собственной личной выгоды. И интерес "трудового люда", как показал опыт коллектива, вынужденного самостоятельно выбирать ЗП заново, уже имея в этом 3-летний опыт, дело не только и не столько в количестве банкоматов...

Точно так же можно пойти в отказ и при ЭЦП: сотрудник банки имеет возможность совершить операцию от имени клиента, неважно, какие средства используются для авторизации. Главное - иметь к ним доступ... и попробуйте доказать, что это не так.

"Вы когда говорите, у меня такое ощущение, что бредите" (с)

Ребята, можно вопрос!?
Слышал про Documentum, внедренный в казне. Тама управление задачи работает? У меня такое чувство, что Documentum и его админы не хотят эффективность персонала казны повышать, а денюжки отрабатывать надо, бюджетирование не простит.

Ну если нет такой возможности в документуме, то понятно. Тогда ...

Странно пролучается, у вас троих час работы оч дорого казне обходится. Я бы вас на месте вашего ПП (http://www.kazna.ru/about/board/pravlen/) или куратора от администрации так загрузил работкой, чтоб на е1.ru даже и мысли не было лишний раз заглядывать. Дык нет, тусите регулярно.
Мне чисто с проффесиональной точки зрения интересно: толи отдел маркетинга казны провел исследования и вывел что форум (http://www.e1.ru/talk/forum/list.php?f=72) эффективнее будет чем в газетке разместиться (думаю дешевле будет чем вам З/П платить), толи ПП (классный у вас ПП, молодой: http://www.kazna.ru/about/board/pravlen/) не знает, как денюжки расходуются. Чую фигней страдаете. Чую ПП не знает.

Перед тем как наезжать, плиз, скажите как у вас с помощью всяких фишек трудовая дисципина поддерживается. Может отчеты рисуете о проделанной работе, может управление задачами работает, может розгами стягают. Может это все и слишком проамерикански, но если хорошо ответите кандидатскую на вашем примере защитю. Жду.

У меня дискета накрылась с ключом. Седня обнаружил. Хотел 100-к себе на карточку скинуть - и облом((( В этом плане у Б24 плюс получается. Удачно я туда успел 100-ку скинуть до того, как ключевая дискета накрылась. Как вот жить теперь - прям и не знаю(((
ЗЫ А если я теперь все эти интерпрошные дела на винт скину - будет все работать дома? А то у меня флоппик-то старенький уже :-/

[Сообщение изменено пользователем 12.03.2005 22:50]

Зачем сравнивать с бумажкой?
В СК клинетское ПО для ЭЦП (InterPRO) выдается бесплатно. В решениях с ЭЦП других банков очень часто используется КриптоПРО CSP, который стоит 40 баксов, хоть он и чисто софтовый.


Конечно нет. Ни одно государство в здравом уме не пустит чужие алгоритмы к себе при наличии своих. Если своих нет, тогда ладно.
Трудоемкость разработки криптоалгоритма (или анализа чужого) составляет 17 человеко-лет, причем не все операции можно распараллелить. Эти сотрудники ЛСЦ (тогда еще ФАПСИ) аргументировали, почему они не будут сертифицировать реализации чужих криптоалгоритмов.


Это правда лишь от части. В токене несколько зон. Из некоторых читать нельзя, из некоторых можно при предъявлении ПИНа, из некоторых - свободно.


У биометрии сейчас больше минусов, чем плюсов. Это очень большой процент False positives и False negatives, и возможность Replay цифрового образа и т.д.


Тезис про мизерность потенциальных потерь от физиков?
Так он не для ЭЦП/кодиков, а вообще ;-)


В договоре можно сколько угодно раз написать, что код под платежкой обозначает авторство клиента. В арбитраже опротестовывается "на раз" грамотным адвокатом. Другое дело, что клиент-физлицо все эти тонкости не знает, да и адвоката соответствующего найти не просто.


А если вскрыта? ;-) Как докажете, что именно этот код с карты Вы не использовали?
Точнее, в любом случае банк будет давать объяснения, на основании чего он провел списание со счета. В случае с ЭЦП авторство клиента под распоряжением (платежкой) можно доказать объективно. В случае с симметричными кодами доказать это третьей стороне объективно невозможно.


А я сторонник для каждой ситуации выбирать оптимальные решения ;-)
Кстати, а с чего это вдруг ЭЦП стала дорогим и нетривиальным решением? Вы в курсе, сколько раз софт проверяет ЭЦП при установлении соединения с банковским сервером в решении от Б24.ру? :-)


Ик!
Вы ничего не путаете? Не имеет сотрудник банка технической возможности сделать ЭЦП за клиента. Если, конечно, он сам не генерировал секретный ключ за клиента - есть в некоторых банках еще такая практика.
Если есть вопросы - технология ЭЦП описана здесь: http://cybervlad.net/ecp/

баян :bayan: - поиск рулит :-d
ну и в тему, как здесь уже писали:

причём здесь Documentum и бюджетирование?

[Сообщение изменено пользователем 13.03.2005 08:57]

огласите все критерии - очень интересно послушать мнение клиентов ....

Ну это если на время забыть, что подключение к ибанку в СК платное.

Влад, с чего ты взял, что кодики знают все? Максимум, что можно узнать при очень большом желании и очень больших возможностях это хэш кодика. Да и уже много раз говорили, о том что проблема отказа от платежа решается управлением рисками.

Вот и получается, что СК пытясь максимально защитить себя, забыла о клиенте. У нас же наоборот все направлено на удобство работы клиента с системой.

Эсли таке будети делат столька ашибак, то кондидатскую аднозначно не защищишь, патамушта те, кто знайут умные слава, но ниумеют ими пользовацца исчо никагда низащищалися :lol:
А вопрос собственно в чем?

Юрий, банки наши если выразиться мягко несколько разного уровня, когда у вас будет хотя бы 20% от нашего нынешнего числа интернет-клиентов, то жизнь повернется для вас новой гранью, даже не сомневайтесь. Пока что ваш интеретбанк - это камерное произведение :-)