Иван пишет: Ведь оплачивая какую-нибудь квитанцию, наверное сто раз проверяете реквизиты. Почему бы и здесь при оплате не проверить ещё раз.
Не согласен. Я сверил реквизиты, вписал их в интернет-банк, еще раз сверил. Потом оказалось. что я все правильно перевел. но реквизиты были мошенника!
Я сейчас, спрашиваю данные об контрагенте у других. Задаю кое-каки вопросы самому контрагенту. Оба человека с настороженностью смотретя на меня, возможно занося в "черные списки по сделкам" (тк задаю много вопросов). Хотя деньги получали и общение после, вроде было позитивным. Но в начале чувствуется, натсороженность и небольшие нотки недоверия уже в мой адрес. Бояться дать информациб об контрагенте и тп и тд.
Вообще, во всех сервисах, где люди получают какие-то услуги, сервис отвечает за безопастность. И если кого-то взломали он всегда (после тчательного подтверждения корректных данны), восстанавливает тебе доступ и что у тебя было на этом доступе. У нас получается, Администрация не причем? Но через данный форум-то сделки проходят. А не у меня на почтовом ящике!
Предлагаю, взять "апающего" торговца еще раз и на этот раз попросить денег на настройку движка и программистам за нашу безопастность.
Во многих начинающих проектах свзяанных с web-интерфейсом, сейчас в тренде двух-факторная аутенфикация - это не просто привязка своего телефона, но и ВВОД кодика при результативном действе: переводах. В нашем случае, при открытии и закрытии торговых тем: чтобы открыть тему, тебе необходимо указать код, который приходит на твой телефон. Если код - не верно ввел, еще раз пытаешься открыть тему.
Понимаю позицию Администрации: доступ к форуму и его функциям без ограничения для всех пользователей и разделяю её! Но пора двигаться в ногу со временем!
Что я предлагаю:
I. Создать возможность двухфакторной аутентификации по QR-кодам 1) - запросить программистов об возможности привязать кодики к открытию торвговой темы, - выставлению МПЦ, - и объявлению старта торгам. 2) - если это реализуемо и относительно не дорого, реализовать на практике. 3) - всех у кого есть подобные девайсы, и которые могут считывать QR-коды, для получения кодиков, принудить в добровольной форме перейти на такую двухфакторная аутентификацию при создании и ведении торговой темы в Форуме.
II. Выдать пользователям, которые привязали свой телефон к двухфакторной аутентификации по QR-кодам, специальный значек - покупатель может быть уверен, что это реальный пользователь Форума "Старая монета".
III. Для всех остальных у кого нету подобных телефонв и девайсов. Создать раздел\тему, где вносятся все данные продавцов, необходимые для сделки ( но тут налоговая может взволноваться, если БИК, р\с, к\с и пр вносить?) Следовательно у таких пользвателей офрума не будет особого значка и все контрагенты ведя торги на Форуме, после окончания оных, задают кучу "второстепенных" вопросов контрагенту и его прежним участникам сделки.
Думаю более 50% активных продавцов способны привязать аккаунт и получать коды. Остальные будут только на карту переводить (если остальные данные нельзя в открытом доступе указывать). Следовательно проблемы у нас сокраятся в разы и мы собъём наплыв мошенничества, хотябы до следующего витка.
Главное узнать и понять на сколько финансово-технически, реализуем 2FA Code (Only if you enabled 2FA).
При таком раскладе, непоколебимость принципов Администрации сохраниться и пользователи будут более защищены. В любом случае, необходимо защиту начинать от Форума, а уже потом перекладывать на его участников.
У многих есть родные, знакомые, дети, которые могут дать свой телефон раз в неделю чтобы их родной дедуля, папуля, братик, а возможно и мамуля создали торговую ветку указав 2FA Code. Остальные же темы, в самом начале будут открываться с ссылкою на тему, где указаны все ники с реквизитами.
Я думаю, это лучше, чем абсолютно ничего. Если есть другие варианты, предлагайте, а главное РЕАЛИЗОВЫВАЙТЕ, ведь сколько лет мы толкуем, а воз и ныне там? Форум абслютно не безопастный, но деньги на программы для отлова не корректных сделок покупались - пора покупать программы для безопастности.
Golan963 пишет: на счёт двухфакторной авторизации? Есть разные технические решения...
Пока не готовы люди к этой революции. У нас на движке есть двухфакторная авторизация, через эпп для мобильного, но для неподготовленного юзера (а таких у нас 95%) это станет непреодолимой преградой. Плюс технология сыровата, как я вижу.
Цитата
R10 пишет: попросить денег на настройку движка и программистам
Если этот вопрос касается вашей картинки, то поясню. Концептуально https защищает от перехвата информации между страницей на вашем экране и сервером. Если ваш комп инфицирован вирусом, то https не спасет. Ну а в остальных случаях... Вы же не хиллари клинтон, на вас хакеры не охотятся, и никому ваши пакеты не нужны. Эта современная мода на https при ускользающей от человечества прайвеси лишь для продажи цифровых сертификатов.
А как насчёт того, что между наши (пользователями сайта) и сервером сайта есть немало промежуточных пунктов, и не только провайдеры. И если, злоумышленник окажется в любой из них и выдаст себя за сервер? И да, я не Хиллари, но что-то от неё есть. Просто масштабы мелкие) Понятное дело, если надо насобирать какие-то мои данные - это не трудно сделать. В некоторых случаях я вряд ли заподозрю мировой заговор)) В любом случае немного напрягает. У всех есть. А у вас нет. Особенно после того, как увидел чужой ник в окне логин. Есть предположение, как это могло случится? Все данные, что ввожу в формы "логин, "имя" и тп - я разрешаю браузерам запоминать. Но такие "ники", которые автоматом уже стояли в окне логина - я никогда и нигде не вводил.
GreenRoom пишет: Есть предположение, как это могло случится?
Есть полная уверенность, почему такое происходит. Никакого отношения к вопросам безопасности это не имеет, в поле логина подставлятеся произвольный ник. Хорошо, что напомнили, попробуем еще раз подергать разработчиков.
Всякая информация, доступ к которой осуществляется через некие защитные механизмы, будь то логин/пароль или электронная подпись, является информацией ограниченного доступа, конфиденциальной. В любом аккаунте могут содержаться персональные данные, которые также могут являться такой информацией, личная и (или) деловая переписка. Также несанкционированный, неправомерный доступ к аккаунту может позволить злоумышленнику производить несанкционированные действия от имени владельца аккаунта, которые в свою очередь могут принести материальный ущерб как владельцу аккаунта, так и третьим лицам. Взлом аккаунта или почтового ящика подпадает под действие статьи 272 УК РФ "Неправомерный доступ к компьютерной информации". Даже если неправомерный доступ к защищаемой информации был произведен ради любопытства и не повлек никаких последствий, то в любом случае, если он был зафиксирован, является уголовно наказуемым деянием, ведь даже если и субъективная сторона этого преступления не была реализована (не было произведено нарушение, блокирование, изменение, копирование защищаемой информации), то объективная сторона преступления налицо, т.к. объектом такого деяния является общественная информационная безопасность. Если же со взломом аккаунта злоумышленник ставил целью не только и не столько доступ к защищаемой информации, но совершение мошеннических действий от имени владельца аккаунта, то к статье 272 добавляется статья 159 УК РФ "Мошенничество", ч.6. Поэтому всю ответственность за любые материальные, моральные, имиджевые и т.д. потери несет злоумышленник. Как обезопасить себя от подобных неправомерных действий и их последствий. 1. Со стороны владельца аккаунта. Во-первых, необходимо использовать сильные пароли (длиной не менее 8 символов). Любой пароль длиной менее 8 символов, даже если он содержит не только буквы и цифры, но и всякие другие знаки типа №, #, [, }, ~ и т.д. может быть подобран путем перебора за вполне разумное время, т.к. мощности компьютерной техники в настоящее время просто колоссальные. Если у человека нет опыта в придумывании сильных паролей или не хватает изобретательности, можно использовать генераторы паролей, например, VipNet Password generator. Необходимо менять пароли регулярно, не реже раза в три месяца. Во-вторых, если есть возможность использовать одноразовые пароли и (или) двухступенчатую систему (как, например, доступ в аккаунт Гугл или "Сбербанк-Онлайн") идентификации пользователя, то лучше всего пользоваться такой системой. В-третьих, не хранить пароли в доступных местах и не сообщать их третьим лицам. Многие браузеры имеют опции сохранения паролей, в таком случае, например, в Файрфоксе, желательно использовать мастер-пароль для доступа к парольной информации. 2. Со стороны ресурса, на котором создается или используется аккаунт. Во-первых, необходимо использование защищенных протоколов, во-вторых, иметь систему хранения паролей в надежно зашифрованном виде, в-третьих, использовать расширенную систему безопасности, например, двухступенчатый доступ через выдачу одноразового кода по СМС. Что касается пользователя, пренебрегающего безопасностью своих аккаунтов, то если это его личные аккаунты, он ответственности не несет. Его ответственность может возникнуть только в том случае, если в условиях соглашения между пользователем и ресурсом было явно оговорено, какие меры безопасности обязан предпринять пользователь, а он осознанно ими пренебрег.
Hachiman пишет: одобран путем перебора за вполне разумное время
На сервере дается 3 попытки для перебора, после 3-й выкидывает на капчу или блокирует вообще, в зависимости от того как сервер воспринял эти попытки.
Цитата
Hachiman пишет: Во-первых, необходимо использование защищенных протоколов
Про это я уже написал выше, повторяться не буду: никакой практической защиты для форумчанина СМ https не даст.
Цитата
Hachiman пишет: иметь систему хранения паролей в надежно зашифрованном виде
По умолчанию 1С хранит хеш-функции. Насколко сильны алгоритмы, я судить не возьмусь. Хотя 1С двигает свою коммерческую CRM, где наш движок является одной из составных частей; соответственно принципы шифрования идентичные.
Цитата
Hachiman пишет: использовать расширенную систему безопасности, например, двухступенчатый доступ
Сейчас прорабатываем варианты включения, но это будет строго добровольно, для тех "кто понимает." 100% охвата в ближайшее время не будет. Ожидаю, что и % пользователей будет не выше тех, кто привязал аккаунт к мобильному.
Для забавы опробовал дневник бесплалевного кейлоггера - пунто свичера) ладно, хоть по умолчанию он отключен. хотя запоминает от 2 слов, поэтому многие логины и пароли не сохраняет
Hachiman пишет: В-третьих, не хранить пароли в доступных местах
Хранить в принципе можно, просто в зашифрованном виде. к примеру, у меня есть бумажка с паролями. плюс я ее фоткал, и даже сам себе на почту кидал, вдруг по дороге куда-то забуду и некуда будет подглядеть) В ней никто ничего не поймёт. К примеру, какая то важная дата (6 или 8цифр) обозначена двумя символами или кракозяброй. И так далее. Советую
minibox44 пишет: Если же вход в аккаунт произошёл без пароля (т.е. по причине уязвимости сайта СМ), то виноват СМ.
Прям поражает, как же настойчиво (уже третий раз в одной ветке) Minibox44 пытается перевести стрелки на СМ! "СМ несет ответственность!", "СМ будет виновата!". Что же это за тяга переложить ответственность на кого угодно, лишь бы не на себя?! И понятно, что в случае ЧП злоумышленников будет не найти. Смысл "делать их виноватыми"? А вот СМ рядом, никуда не денется. Давайте с них пощиплем ответственности!? Так думает minibox44? Это все напоминает людей, которые, сидя на кухне и насмотревшись Первого канала, клянут во всех своих бедах Америку, Трампа, Меркель, депутатов.... А сами бычок выкинут с балкона на газон, мусор не донесут до помойки, а выкинут в кусты, сморкаться будут на пол в лифте, в котором они же, будучи подростками, исцарапали все стены матными словами. И все их жизненные интересы ограничены телеком, пивком вечером и торговым центром по выходным. Но виноваты в их херовой жизни Путин, Трамп и все прочие, но ни разу не они сами.
С сегодняшнего дня включена привязка к номеру карты и городу с защитой от несанкционированного редактирования. Сейчас готовится официальное объявление. Тем временем пытливые умы уже могут заняться самостоятельным рукосуйством в своих профилях.
Здравствуйте! Нет ли возможности сделать так, что бы можно было вводить и первые 4 цифры карты и регулировать длину закрытых цифр "*"?
Карта СБ 2202...8500 Все продажи, только на стене, если Вам сделали предложение в личке или через почтовый ящик, от моего имени, то это мошенники. С Уважением, Александр.
Карта СБ 2202...8500 Все продажи, только на стене, если Вам сделали предложение в личке или через почтовый ящик, от моего имени, то это мошенники. С Уважением, Александр.
можно ли обновить мой номер в профиле и потом подтвердить? и как это сделать? сейчас это поле неизменяемое. а то я отключил свой городской и пользуюсь только мобильным теперь.
Тимофей пишет: С сегодняшнего дня включена привязка к номеру карты и городу с защитой от несанкционированного редактирования. Сейчас готовится официальное объявление. Тем временем пытливые умы уже могут заняться самостоятельным рукосуйством в своих профилях.
Я, конечно "привязался", но встал вопрос, т.е. будь у меня еще ник, я его смогу "привязать уже не по номеру тлф, а по адресу или по другому, т.е импровизация приветствуется?
Подскажите, пожалуйста, если мне не приходит смс на номер, который сохранился в профиле(видимо, оператор не поддерживается), как мне теперь ввести другой номер?
Пытаюсь подтвердить номер телефона и ни как , смс с кодом не доходит .Мне кажется я номер телефона не правильно написал , а изменить его не могу , система не дает . Помогите если возможно .
Не существенное замечание, но всё-таки. При наведении на мой значок щита вижу надпись "Подтвержденный аккаунт - более 1 года". Но я зарегистрировался только 10 месяцев назад, а подтверждение сделал еще позже - года никак нет. Проблем не приносит, но вычисляется явно неправильно.
Все правильно вычисляется. Так и было задумано при внедрении. Это небольшое упрощение, которое будет незаметным уже через 2 месяца. Вместо "давно" сразу написали "больше года".