Dizzy Journal (Live)

...я совершенно не понимаю скайпо-телефонных откровений разного рода медийных персон с пранкерами.

Кому вообще в здравом уме в голову может прийти, что тебе позвонит запросто настоящий политик, телезвезда или другая известная личность, которая с тобой ранее никогда не контактировала?

Ладо ещё министры и президенты покупаются (тут прямой прокол служб безопасности), но писатели-актёры-режиссёры на что ведутся кроме раздутого ЧСВ?

Азы же информационной безопасности, даже не технические, а чисто социальные.

Некоторым кажется, что чем навороченнее система безопасности, тем она безопаснее. Характерный пример - любимый Райффайзенбанк и его мобильный и web-клиенты.

В мобильном клиенте приходит сообщение "пора сменить пароль". Пароль есть. Только в мобильном клиенте вводить его нельзя, патамушта "вам удобнее вводить 4-значный пинкод", без вариантов. Но поменять его нужно, хотя мы всячески не даём вам его вводить. Пароль можно ввести в web-клиенте. И логин тоже. Только этого недостаточно, извольте получить одноразовый пароль по SMS. Сменили пароль? Отлично, теперь введите его в мобильном клиенте и смените ещё и пин-код.

При этом то, что подсмотреть 4-значный пин-код на экране мобильника проще, чем 15-значный пароль, банк особенно не волнует.

Сегодня несколько часов лежал интернет-банкинг Райффайзена: и мобильное приложение, и web-клиент. Причём, судя по некоторой информации, не только в России. При этом оплата картами и операции в банкоматах проходили без проблем.

Причин банк не раскрывает, но, судя по всему, наблюдался отказ сервиса авторизации: именно на запрос с логином-паролем сервер вовзращал "502 bad gateway". После 17:00 через web-клиент стали пускать, но с сообщениями об ошибке в виджетах, а ещё где-то через час всё заработало штатно.

Попутно выяснил, что пароль в вебморде передаётся хоть и по HTTPS, но открытым текстом:



Честно говоря, ожидал чего-то вроде md5-хэша, но вот так у них секьюрненько. Man-in-the-middlе, конечно, не сработает, но если в отладчике браузера посмотреть историю запросов... :)

TIBCO BW - эпической силы система с эпическими же закидонами. Потратил полдня на то, чтобы заставить процесс читать данные по https. Оказалось, security provider болезененно относится к наличию посторонних файлов в директории с Trusted Certs. Но никому об этом не говорит :)

Сертификат с https://support.tibco.com за валидный признан тоже не был, что особенно забавно. А вот у гугловской мыльницы всё в порядке - на ней и тестировались. Предчувствую траблы с самоподписанными сертификатами...

Хороший домен для фишеров - wemboney.ru :)

Вчера посетил офис не-скажу-какой нефтегазовой компании. Секьюрити на входе, рамка, ручные металлоискатели, обязательная сдача мобильников в специальные сейфики, полная невозможность пронести ноут и прочие информационно-безопасностные понты.

Очень весело было вспоминать, как в 1998 году я выносил из тогдашнего офиса той же самой компании довольно таки немаленькую Cisco 4500 - просто в большой сумке, под мышкой, без всякого оформления ;)))