за деньги на расч.счете банк ответственности не несет !!!
M
Muxeu
вы реально думаете, что она это все читает?
сказать и донести можно только до человека который хочет слышать и разбираться. Если не ей конкретно, то может другие поймут как это примерно работает и почему так.
B
=B1t=
есть соседняя тема, там про банковские договоры много сказано
мне не охота тут писать мемуары, один пример приведу п 3.1. пп 6 - организовывать плановую смену ключей ЭЦП - не было такого никогда, и т.д...,
мне не охота тут писать мемуары, один пример приведу п 3.1. пп 6 - организовывать плановую смену ключей ЭЦП - не было такого никогда, и т.д...,
так.... в качестве предположения, может быть ЭЦП нужно поменять самостоятельно. Ведь если вы свою "бумажную" подпись меняете, Вы же не обращаетесь для этого в банк? тут по логике должно быть так же. должна быть предусмотрена функция для клиента - сменить ЭЦП.
а в случае опротестования клиентом операции они должна создать экспертную комиссию, назначить состав комиссии, произвести проверку сертификатов и очень много еще чего. Пока полная тишина, ни чего этого нет, и я не поставлена в известность ведется
все это или нет, со мной вяло общается по электронке начальник безопасности и все.
вы написали в банк бумагу об опротестовании операции?
если нет, то какой реакции вы ждете от банка. им это не нужно.
А
когда я позвонила операционисту, когда нужно было срочно писать письмо об отзыве платежки (по договору) Она как вареная сказала: " У меняяя клиииеент сееечас, йааа не могу все бросиить и занимааться вамиииии.........." Это нормально?
это конечно хамство, за такое нужно гнать в шею. К сожалению, это общая проблема больших организаций.
C
Cybervlad
расскажите пожалуйста мне как скопировать ЭЦП с токена?
Легко!
ЭЦП он сам отдает при каждом подписании документа.
Но если Вы все-таки про секретный ключ ЭЦП, то никак. Потому что скопировать можно только то, что можно прочитать:
Если информация может быть прочитана, значит она может быть скопирована.
внутри токена рассчитывается ЭЦП и возвращается обратно. Скопировать ключ
невозможно в принципе - потому что его в принципе невозможно прочитать.
p.s. К вопросу о "защите информации". Определение:
ИНФОРМАЦИЯ – фундаментальный генерализационно-единый безначально-бесконечный законопроцесс
резонансно-сотового, частотно-квантового и волнового отношения, взаимодействия, взаимопревращения и взаимосохранения (в пространстве и времени) энергии, движения, массы и антимассы на основе материализации и дематериализации в микро- и макроструктурах Вселенной.
[Сообщение изменено пользователем 03.03.2011 22:54]
э
эскаэс
повезло короче убриру с клиентом..
где они токо их находят..
где они токо их находят..
э
эскаэс
тупо с трочите
рождение перла?
или это уже было на просторах торнета?
M
Muxeu
ЭЦП он сам отдает при каждом подписании документа.
Но если Вы все-таки про секретный ключ ЭЦП, то никак. Потому что скопировать можно только то, что можно прочитать:
Но если Вы все-таки про секретный ключ ЭЦП, то никак. Потому что скопировать можно только то, что можно прочитать:
ну он дает уже подписанный документ, для подписание другого документа то что он отдал бесполезно как я понимаю, так что только подсовывать свою платежку в токен, но дальше уже можно никуда эту подписанную платежку не копировать сама в банку уйдет и исполниться. Я про секретный ключ, ну значит дыры еще не нашли и хорошо.
Объяните как Воровство со счета может быть осуществлено без использования ЭЦП?
вы думаете ломануть можно только ПК клиента? Нет я не спорю что в подавляющем случае, может быть даже 99,9%, так и делаетя т.к. ПК клиента куда менее защищен чем сервер банка, но чисто теоритически ничего не мешает хакнуть банк и "убедить" СДО(сервер инетбанка) что нужно исполнить платежку с неверной эцп. Тогда при разборе полетов это выясниться и отвечать за исполнение платежки с неверной ЭЦП будет банк. В данный момент это скорее теория чем практика, но это потому что у клиента стырить проще чем у банка.
epv, писл про фродовые решения безопастности...
Если с карты уводят бабло, комплимитуруя пин, чип и тп.
ТО банки и МС и ВИЗА разбираются же как-то
Также и с ЭЦП...
Там же смотрится куда это все уводится, что за счета фирмы...
ТОлкьо почему - это до отправки не может просмотреться? Из-за нужды вовремя отправить платежку?
Если с карты уводят бабло, комплимитуруя пин, чип и тп.
ТО банки и МС и ВИЗА разбираются же как-то
Также и с ЭЦП...
Там же смотрится куда это все уводится, что за счета фирмы...
ТОлкьо почему - это до отправки не может просмотреться? Из-за нужды вовремя отправить платежку?
не ну попытки есть, но тут смотрите чем быстрее надо отправить платежку тем меньше время на проверку. в по карте у вас суммы холдируются вначале потом списываются. это все круто но задерживает расчет. тут или проверка или скорость.
А так действительно фигова...
ЭЦП+кодики (на сотовом) - 100% гарантию не дают же((
А как эе в этом случае новые технологии?)
ЭЦП+кодики (на сотовом) - 100% гарантию не дают же((
А как эе в этом случае новые технологии?)
100% гарантию вам даст только Бог. А это обычная гонка вооружений. Бумажные платежки тоже вас не защищают на 100% только там есть шанс доказать что подпись не ваша и отвечать будет банк.
ху из "секретный ключ"?
Че-то яндекс на запрос "секретный ключ ЭЦП" про просто ЭЦП рассказывает
Кто-то из банков его предлагает клиентам?
Кто-то из банков его предлагает клиентам?
все у кого эцп предлагают его клиентам
http://ru.wikipedia.org/wiki/%D0%AD%D0%A6%D0%9F
Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из
набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
Вы генерируете пару ключей ЭЦП, закрытый остается у вас, открытый вы несете в банк. Открытый ключ это тот набор непонятных цифр под которым вы подписываетесь в банке. На секретность открытого ключа пофиг совершенно, с помощью него можно только проверить вы ли подписали закрытым ключом или нет, ничего подписать открытым ключом нельзя (можно но это будет уже шифрование, а не эцп и это совсем другая песня). Ваша задача хранить в тайне закрытый ключ, токен вам в этом поможет, но не исключает его использование.
Cybervlad
Я правильно понимаю, что токены типа ru-token нифига не настоящие, так как позволяют пользователю и стирать и записывать ключ? Криптопровайдер КриптоПро.
n
negativshik
пп 6 - организовывать плановую смену ключей ЭЦП - не было такого никогда, и т.д.
вот только врать то не надо. Может вы обслуживаетесь не так давно- срок действия ключей ЭЦП от 1 до 2-х длет -после этого у ключей снимается право подписи платежных документов если вы их самостоятельно не смените...
M
Muxeu
Я правильно понимаю, что токены типа ru-token нифига не настоящие, так как позволяют пользователю и стирать и записывать ключ? Криптопровайдер КриптоПро.
стирать - не чтение, записывать - не чтение. Вот если с них читать позволяет то не защищают. Хотя тот что попадал мне в руки там нельзя записать с флешки на токен ключ там можно его сгенерировать самому.
[Сообщение изменено пользователем 04.03.2011 10:30]
C
Cybervlad
ху из "секретный ключ"?
Дабы не путаться в понятиях "ЭЦП", "секретный/закрытый ключ ЭЦП", "открытый/публичный ключ ЭЦП", "сертификат открытого ключа ЭЦП", "сертификат на средство ЭЦП",
"лицензия на деятельность в области защиты информации" и т.д. желающим разобраться лучше ознакомиться с федеральными законами "Об электронной цифровой подписи" и "О лицензировании отдельных видов деятельности".
Или в популярной форме:
http://cybervlad.net/crypto_pay/index.html
http://cybervlad.net/ecp/index.html
Я про секретный ключ,
Потому и уточняю, что Вы написали просто "ЭЦП" ;-)
ну значит дыры еще не нашли и хорошо.
Скажем осторожнее: в доступных мне источниках информации об этом нет :-)
Я правильно понимаю, что токены типа ru-token нифига не настоящие, так как позволяют пользователю и стирать и записывать ключ?
Есть разные модификации токенов.
Самая распространненная - это фактически "флешка с паролем". Т.е. чтобы прочитать содержимое, нужно ввести ПИН-код. 3 раза ввел неправильно - и привет, заблокировалось. Но это помогает лишь от случаев "украли токен из тумбочки", поскольку во время работы после ввода ПИН-кода секретный ключ считывается в память компьютера, и далее ситуация ничем не отличается отдискеты или простой флешки.
А есть токены с аппаратной реализацией процедур ЭЦП "на борту". Т.е. ключ генерируется внутри и никогда токен не покидает, все манипуляции с ним только внутри токена, на его собственном процессоре.
У компании "Актив" (которая ru-token делает) есть модификация с аппаратной криптографией. Какой вариант у Вас - я не знаю.
стирать - не чтение, записывать - не чтение.
Можно и считывать. Например делать копию на дискету или в реестр
Т.е. ключ генерируется внутри и никогда токен не
покидает, все манипуляции с ним только внутри токена, на его собственном процессоре.
У компании "Актив" (которая ru-token делает) есть модификация с аппаратной криптографией. Какой вариант у Вас - я не знаю.
У компании "Актив" (которая ru-token делает) есть модификация с аппаратной криптографией. Какой вариант у Вас - я не знаю.
Ну это я говорю на примере токенов СКБ-Контура и некоторых других организаций.
Говорю к тому, чтоб люди понимали, что не все токены являются токенами с нечитаемыми ключами. У трояна, теоретически, нет проблем увести ключ с такого токена.
C
Cybervlad
Говорю к тому, чтоб люди понимали, что не все токены являются токенами с нечитаемыми ключами.
И это правильно - не все токены одинаково полезны :-)
A
ARTistка
адекватные ответы пошли - радует, байду даже читать не стала - некогда.
надо новые ключи делать, а я блин, боюсь в банке теперь большую сумму держать...
а вот для тупых блондинов с трочил и куриц с яйцами, захавайте и брысь из темы:
Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссияс разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента - сам клиент, банк или разработчик системы ДБО.
Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привелинтересную статью из ГК, согласно которой исполнитель (в нашем случае - банк) услуги (в нашем случае - ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья - 1095 ГК РФ.
Вот теперь и думай - молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах...
осилили ?
для тех кто в танке:
http://www.securitylab.ru/blog/company/Business_wi...
надо новые ключи делать, а я блин, боюсь в банке теперь большую сумму держать...
а вот для тупых блондинов с трочил и куриц с яйцами, захавайте и брысь из темы:
Достаточно интересный поворот в развитии презентации по заблуждениям банковской безопасности. Сначала на банкир.ру была дискуссияс разработчиком одной системы АБС/ДБО о несанкционированном переводе средств и токенах с неизвлекаемыми ключами ЭЦП. Так и не пришли мы к взаимопонимаю о том, кто же виноват в том, что деньги сняли со счета клиента - сам клиент, банк или разработчик системы ДБО.
Но вот масла в огонь подлил Василий Окулесский, руководитель службы ИБ Банка Москвы, на конференции Visa и МНУЦИБ, где привелинтересную статью из ГК, согласно которой исполнитель (в нашем случае - банк) услуги (в нашем случае - ДБО) покрывает ущерб потребителю, если последний понес его вследствие недостоверной или недостаточной информации об услуге (в нашем случае из-за отсутствия информации о возможных случаях несанкционированного перевода средств из-за проблем с ИБ). Статья - 1095 ГК РФ.
Вот теперь и думай - молчать о проблемах ИБ или оповещать о них клиентов. Ведь последние становятся все подкованнее в юридических вопросах...
осилили ?
для тех кто в танке:
http://www.securitylab.ru/blog/company/Business_wi...
A
ARTistка
Пойду с нормальными людьми на нормальном ресурсе общаться.
--------------
ок, пока
[Сообщение изменено модератором 04.03.2011 12:55]
--------------
ок, пока
[Сообщение изменено модератором 04.03.2011 12:55]
U
123.
еще вам злобным троллям на добивку, засуньте свои визги о "полной непричастности и не ответственности банка перед клиентом" себе в то место, которым думаете. убогий народ, либо ни когда не державший в руках денег больше своей занюханной зп, либо
лохотерпилы, готовые все отдать банку, гос-ву, ментам, полицаям и т.д, и при этом не рыпаться, получать удовольствие и подлизывать. Вот потому и живем в дерме! Профильный форум . 95% сборище неучей, но вонююючих. Мне тут явно делать не чего! Заповедник палаты №6.
Пойду с нормальными людьми на нормальном ресурсе общаться. Нормальные люди, это которые могут постоять за себя в любой ситуации.
ув.модератор, тему можно закрыть, т.к оня явно на данном "профильном" форуме не в тему (извиняюсь за тавтологию)
Пойду с нормальными людьми на нормальном ресурсе общаться. Нормальные люди, это которые могут постоять за себя в любой ситуации.
ув.модератор, тему можно закрыть, т.к оня явно на данном "профильном" форуме не в тему (извиняюсь за тавтологию)
Попрошу поаккуратнее со своими выражениями. В этом форуме не только обычные потребители банковских услуг пишут, а еще и опытные банкиры, уважаемые не только в России.
Иди подучись лучше, если не внимаешь советам опытных в данной области. Благо что бесплатных семинаров сейчас полно
D
Deeemon
Мне тут явно делать не чего!
Полностью Вас поддерживаю! Вам действительно тут явно делать нечего! Счастья Вам личного и успехов в карьере! С наступающим Вас праздником!
n
negativshik
[Сообщение удалено пользователем 04.03.2011 13:01]
D
Deeemon
а вот для тупых блондинов с трочил и куриц с яйцами, захавайте и брысь из темы:
еще вам злобным троллям на добивку, засуньте свои визги о "полной непричастности и не ответственности банка перед клиентом" себе в то место, которым думаете. убогий народ, либо ни когда не державший в руках денег больше своей занюханной зп, либо лохотерпилы, готовые все отдать банку, гос-ву, ментам, полицаям и т.д, и при этом не рыпаться, получать удовольствие и подлизывать.
еще вам злобным троллям на добивку, засуньте свои визги о "полной непричастности и не ответственности банка перед клиентом" себе в то место, которым думаете. убогий народ, либо ни когда не державший в руках денег больше своей занюханной зп, либо лохотерпилы, готовые все отдать банку, гос-ву, ментам, полицаям и т.д, и при этом не рыпаться, получать удовольствие и подлизывать.
Как правило, на оскорбления переходят, когда по существу дела сказать нечего.
[Сообщение изменено пользователем 04.03.2011 13:06]
I
ISM
Да кули разговаривать-тупой блондинистый индивид- у которого вместо мозгов жо... Пусть идет в суд что то доказывает-выспаривает- вот там это чудило и умоется по полной
+1
Каждый раз когда дама входила в интернет банк она нажимала на кнопку "Я принимаю условия"
Фотография из Фотогалереи на E1.ru
э
эскаэс
взяла вот всех обругала и ушла..
не, не буду её поздравлять с празником..
не, не буду её поздравлять с празником..
C
Cybervlad
Как правило, на оскорбления переходят, когда по существу дела сказать нечего.
"Потребительский экстремизм" - это просто стиль жизни ;-)
http://www.e1.ru/talk/forum/read.php?f=104&t=90729...
она нажимала на
кнопку "Я принимаю условия"
... подписывая, таким образом, текст соглашения своим аналогом собственноручной подписи.
M
Muxeu
Самая распространненная - это фактически "флешка с паролем". Т.е. чтобы прочитать содержимое, нужно ввести ПИН-код. 3 раза ввел неправильно - и привет, заблокировалось. Но это помогает лишь от случаев "украли токен из тумбочки", поскольку во время
работы после ввода ПИН-кода секретный ключ считывается в память компьютера, и далее ситуация ничем не отличается отдискеты или простой флешки.
это какой то неправлиьный токен и он делает неправильный мед
А есть токены с аппаратной
реализацией процедур ЭЦП "на борту". Т.е. ключ генерируется внутри и никогда токен не покидает, все манипуляции с ним только внутри токена, на его собственном процессоре.
У компании "Актив" (которая ru-token делает) есть модификация с аппаратной криптографией. Какой вариант у Вас - я не знаю.
У компании "Актив" (которая ru-token делает) есть модификация с аппаратной криптографией. Какой вариант у Вас - я не знаю.
вот это правильный.
C
°C
Замечательно раскрыта женская логика в этой теме:
1. Жила-была и не знала про секс.
2. Зашла в аптеку за аспирином и случайно узнала, что секс есть и должен быть безопасным.
3. Теперь проклинает аптеку и настаивает на солидарной ответственности всех аптек за результаты секса.
1. Жила-была и не знала про секс.
2. Зашла в аптеку за аспирином и случайно узнала, что секс есть и должен быть безопасным.
3. Теперь проклинает аптеку и настаивает на солидарной ответственности всех аптек за результаты секса.
a
aaestriker
Мдяяя... повезло убриру с клиентом..
Если при совершении денежных (!!!!!) лпераций или там покупок или еще чего-то - предлагается прочитать соглашение, то его надо ЧИТАТЬ))) А эта блондинка поди не глядя поставила галочку под "я принимаю условия соглашения")))
Не))) По-любому блондинка)))
Что касается ее звонка специалисту банка, то тут тоже все просто: ей сказали что у операционистки клиент. А позвонить скажем в службу безопасности или вообще в другой отдел она не могла?))) Или она думала, что ее одну только будут слушать утешать и так далее?!)))
И вообще, в убрире не лохи работают)) сам там обслуживаюсь))) и при этом могу сказать что за свои деньги - я глотку перегрызу)))
Если при совершении денежных (!!!!!) лпераций или там покупок или еще чего-то - предлагается прочитать соглашение, то его надо ЧИТАТЬ))) А эта блондинка поди не глядя поставила галочку под "я принимаю условия соглашения")))
Не))) По-любому блондинка)))
Что касается ее звонка специалисту банка, то тут тоже все просто: ей сказали что у операционистки клиент. А позвонить скажем в службу безопасности или вообще в другой отдел она не могла?))) Или она думала, что ее одну только будут слушать утешать и так далее?!)))
И вообще, в убрире не лохи работают)) сам там обслуживаюсь))) и при этом могу сказать что за свои деньги - я глотку перегрызу)))
Авторизуйтесь, чтобы принять участие в дискуссии.