60 ответов в данной теме

[Bagum (WMID 386988286405 )]

2WMID 234064988281: Еще раз перечитываем моё сообщение по поводу браузеров и зачем они нужны и про защиту браузеров против специализированных клиентов. Доля пользователей линукс по сравнению с виндузятниками в системе Webmoney пренебрежимо мала. Кроме этого ВСЕ обменники и диллеры веб-мани, где я был, сидят под виндой, в этом случае они все ламеры/"горе админы" и им все тоже грозит? Понимаете, скольлко народу после этой фразы "сруливать" будут отсюда?  У меня стоят Win XP SP3 и последние обновления. К сведению, я лично являюсь в том числе разработчиком под линукс, на киликсах до Suse 9.3 сидел, сейчас перелазию на Qt. Root права Вы точно так же выдаете другим приложениям как и под виндой, когда их устанавливаете, что это за приложения один автор знает, никто сорсы там не ковыряет, окромя "избранных". IMHO просто сейчас линукс не сильно распространен и ТОЛЬКО по этому пока его это не касается. Ваши холивары по поводу лучшей ОС на данном форуме неуместны. Прошу больше ветку не засирать лично Вашими субъективными восторгами линукса, в данной ветке форума об этом речи нет.

[Vortelio (WMID 219628445424 )]

...а для этого надо использовать ЗАЩИЩЕННЫЕ, а не дырявые ОС!
Правда, почему-то, под них классик писать не хотят!

Лишь бы что нибудь написать, да? Самый первый вирь был написан именно под никсы, ломается абсолютно все. Когда все переберутся на никсы, появятся под них трои. Тут обсуждают совсем не операционки. Я предложил кардинальный метод, чтобы зарубить проблему на корню, а не бегать с оси на ось. Защита должна быть в первую очередь в системе, а потом в головах юзеров. Нет еще того массового продвинутого поколения, которое нам обещал ПутМед.

[metallostroy.org (WMID 234064988281 )]

2WMID 234064988281: Еще раз перечитываем моё сообщение по поводу браузеров и зачем они нужны и про защиту браузеров против специализированных клиентов. Доля пользователей линукс по сравнению с виндузятниками в системе Webmoney пренебрежимо мала. Кроме этого ВСЕ обменники и диллеры веб-мани, где я был, сидят под виндой, в этом случае они все ламеры/"горе админы" и им все тоже грозит? Понимаете, скольлко народу после этой фразы "сруливать" будут отсюда?  У меня стоят Win XP SP3 и последние обновления. К сведению, я лично являюсь в том числе разработчиком под линукс, на киликсах до Suse 9.3 сидел, сейчас перелазию на Qt. Root права Вы точно так же выдаете другим приложениям как и под виндой, когда их устанавливаете, что это за приложения один автор знает, никто сорсы там не ковыряет, окромя "избранных". IMHO просто сейчас линукс не сильно распространен и ТОЛЬКО по этому пока его это не касается. Ваши холивары по поводу лучшей ОС на данном форуме неуместны. Прошу больше ветку не засирать лично Вашими субъективными восторгами линукса, в данной ветке форума об этом речи нет.

Удивительный пафос в сочетании с безграмотностью.
Но почему-то у меня деньги не воруют
Я уж не говорю о том, что число пользователей линукс растет с каждым годом.

[metallostroy.org (WMID 234064988281 )]

Лишь бы что нибудь написать, да? Самый первый вирь был написан именно под никсы,

1. С тех пор много воды утекло
2. Тот вирус был совершенно безобидный

ломается абсолютно все.

Но с переменным успехом.

Когда все переберутся на никсы, появятся под них трои.

Все трояны используют прокладку мужду клавиатурой и монитором.
Надо иметь хотя бы минимальную компютерную грамотность, а не быть тупым "мышедавом"

Тут обсуждают совсем не операционки. Я предложил кардинальный метод, чтобы зарубить проблему на корню, а не бегать с оси на ось.

А никуда бегать и не надо, достаточно использовать для финансовых операций не ту же ОС, что и для просмотра порнухи и прочих игрушек!

[Bagum (WMID 386988286405 )]

2WMID 234064988281: "Удивительный пафос в сочетании с безграмотностью." фраза человека, который убежден в своём превосходстве и которому просто нечего сказать по существу.
 Завтра же под линукс будет выпущено ПО, которое будет давать возможность управления голосом Вашим компом и миллиард других возможностей, с использованием нейросетей и кучей зависимостей и библиотек, которую Вы рано или поздно поставите, используя рутовые права, как и тысячи\сотнитысяч пользователей и оно в один прекрасный день просто снимет бабло со всех счетов, потому что просто физически невозможно было такое количество кода просмотреть на предмет зловредного кода. Перспектива не пугает? Или "под линукс тоже, когда-нибудь потом выпустят антивирусники!", ну так под винду выпустили - уже наслаждаемся...
Предлагаю Вам ответить на один вопрос(будем считать определяющим Вашу компетенцию в данном вопросе):
Вы(может быть не один) все программы которые устанавливаете под root в линукс
просматриваете на предмет закладок в исходном\бинарном(если качаете из репозитария) коде?  Если ответ
"нет" или его вариации про какие-то смешные подписи или md5/sha и т.п. каких-то людей, которых вы никогда не видели и не увидите, то не пишите больше в этой ветке. В таком случае автор(может даже мнимый) сможет заложить в этот софт всё что ему(им) надо. Итак уже много оффтопика читать приходится интересующимся. В таком
случае Вы защищены не более, чем пьянный человек, едущий в электричке,
с непробиваемым кожанным портмоне (с). Еще раз говорю, холивар по поводу ОС тут неуместен, речь идет о защите системы Webmoney и её продуктов(устойчивости к взлому, устойчивости к вирусам, в конце концов к устойчивости к противоправным действиям сотрудников компании).

[Howard (WMID 220903071648 )]

Еще раз говорю, холивар по поводу ОС тут неуместен, речь идет о защите системы Webmoney и её продуктов(устойчивости к взлому, устойчивости к вирусам, в конце концов к устойчивости к противоправным действиям сотрудников компании).

Система Webmoney защищена и дает максимум защиты своим пользователям. Только пользователи ее игнорируют...зачем напрягать свои мозги, правильно? Только потом рвут глотки на форумах.

Возьмем систему Visa. Защищена? Вы скажете конечно, идеальна и т.д.

А если на карточке Visa  написать пароль и положить ее на банкомат? Защищена? Visa должна заботится о том, чтобы Вы этого не делали? Или ее пользователь? 

Вот именно это Вы сделали со своей цифровой подписью... Сохранить Ваши деньги при таком Вашем подходе можно исключительно пристрелив Вас :mrgreen: или оградить вообще об общеня с деньгами

[Lord-Rain (WMID 394658960664 )]

Почитал ветку и чуть не усцалсо!
у меня на кошельке иногда бывают достаточно крупные суммы...
у меня принцип захода в кипер такой:
1) Запускаю кипер (Место хранения ключей E-num Storage)
2) Указываю свой e-mail (Способ авторизации: Вопрос-Ответ, используя SMS)
3) Жму "Далее"
4) На сотовый приходит Число-Ответ
5) Ввожу его в кипере и жму далее
6) Ввожу пароль от своего WMID
7) Я в кипере!
*****************************
Вопрос: Достаточно ли я защищен?

[BMG (WMID 315984540255 )]

7) Я в кипере!
*****************************
Вопрос: Достаточно ли я защищен?

 Вы один в кипере? Если учесть, что енум не защищает от табунов троянских коней, пасущихся на вашем компе, то - да, защищены.

[Bagum (WMID 386988286405 )]

2Howard:
На мой взгляд, обсуждение моих умственных способностей, равно как и умственных способностей других пользователей системы не тема этой ветки и, как я понимаю, это находится вне Вашей компетенции. Или Вы являетесь аттестованным специалистом в вопросе оценки интеллектуальных способностей? Может Вы _ХОТЯ_БЫ_ являетесь владельцем каких-либо сертификатов по информационной безопасности? Дайте ссылку (только не на то, что Вы директор, я уже повидал кучу безграмотных директоров не окончивших даже среднюю школу), почитаю чтоли кто снизашел со мной пообщаться, раз Вы так наседаете на мою умственную несостоятельность и на свое превосходство над пользователями системы webmoney.

"А если на карточке Visa  написать пароль и положить ее на банкомат? Защищена?"
Все хорошо, только тут сравнение неравноценное, установка на домашнем компьютере WM Classic можно сравнивать ТОЛЬКО с установкой дома банкомата Visa. Банкоматы стоят на улице почти везде и КТО УГОДНО имеет к ним доступ. И Вы НЕ ЗАДУМЫВАЕТЕСЬ, когда подходите к банкомату, что Ваш номер счета и PIN/CVV2 код может быть передан куда-то для перевода со счета денег злоумышленниками. При этом никто из Visa не плачется, что у нас жестокий мир и банкоматы на улице это очень опасно и "криворукие" пользователи могут вставить карту в банкомат, который взломан. Раз банкомат стоит в общедоступном месте, значит приняты такие меры защиты компанией, чтобы краж злоумышленниками со счетов не происходило, когда Вы временно приходите вставляете карту и вводите пин. Аналог для вебмани:
Раз webmoney клиент стоит на компьютере, который может быть общедоступным (для других пользователей\вирусов), значит должны быть КОМПАНИЕЙ-разработчиком\владельцем системы предприняты меры для защиты счета от злоумышленников, чтобы когда Вы вводите ID\пароль и подключаете носитель с файлом-ключа для временного пребывания в системе, была гарантия того, что потом кто-то не снимет деньги с Вашего счета.
    По-моему все очень логично и обосновано. К сожалению с Вашей стороны я не вижу полноценного понимания, в чем заключается проблема. Наоборот, вижу слепую веру и защиту с пеной у рта дырявой системы электронных платежей.
    К тому же в данной системе все сделано "шоколадно" для воровства. Особенно мне "понравилось" восстановление доступа к WMID 10-20 дней, то есть что бы злоумышленники ГАРАНТИРОВАНО успели вывести деньги из системы. Офис, где процедуру можно ускорить, работает ТОЛЬКО в Москве(сразу отсекли немосквичей). Офис работает только в будни и нет круглосуточной поддержки по данным вопросам - ломанули перед праздниками и в пролете на все праздники. И НЕТ ИНФОРМАЦИИ О СОВЕРШЕННЫХ ПЛАТЕЖАХ НА мобильник\e-mail, чтобы человек ГАРАНТИРОВАННО не узнал, что его обокрали. Даже в ненавистном Вам пэйпал такая приятная мелочь есть, что говорит об абсолютной незрелости и не продуманности системы. Ну или наоборот продуманности о том, как выводить деньги из системы обвиняя при этом пользователей. Может Вы тоже к этому причастны, раз такая чудовищная лояльность к webmoney?
    К Вашему сведению, данную тему прочитало достаточно много людей и смею Вас заверить, что пока обоснованность моих сообщений их убеждает больше.
    А Вы, чем заниматься сравнением длины своих первичных половых признаков с окружающими, лучше бы по делу что-нибудь сказали. Например, я предлагаю заняться, в том числе и Вам, анализом возможных (точнее НЕОБХОДИМЫХ) улучшений системы для повышения уровня безопасности системы Webmoney в целом, и последующим проталкиванием данных нововведений в систему. Думаю, даже лучше для этого завести отдельную тему на форуме. Мои исходные предложения привожу ниже.

Я вижу следующие рекомендации, которые я бы реализовал для повышения безопасности платежей, если бы был заинтересован в сохранности своих средств (к сожалению разработчики системы должны для этого реализовать это в клиентах и в своей системе):
1. Повышаем защиту от запуска на другом компе. _Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И". То есть пользователь может поставить активацию в случае смены оборудования по e-mail И по телефону И eToken И enum. (необходимо как можно больше задействовать средств по возможности не связанных с ПК потенциальной жертвы). Чтобы оставить юзерам выбор максимальная безопасность или простота платежей, можно сделать это настраиваемым, какие из способов активаций включать.
По-моему всем уже давно очевидно, что злоумышленники научились ПОЛНОСТЬЮ имитировать окружение для WM Classic, поэтому им даже не надо выполнять активацию по телефону\мылу и тп, они просто делают перевод. Поэтому далее все улучшения будут касаться защиты самого перевода.
2. Возможность установки активации при смене IP-адреса. Даже если получилось симмитировать окружение, то обычно IP симмитировать невозможно, должна быть активация при смене IP. Сейчас же просто выдается информация "Последний IP адрес с которым Вы входили в систему ранее х.х.х.х и он отличается от Вашего текущего IP адреса х.х.х.х". В 90% случаев просмотренных мною краж компы юзеров были выключены или они не сидели в клиенте(значит крал не вирус на их компе, а зломуышленник используюя заранее украденые данные). Соответственно однозначно была смена IP. Реализация этого пункта в первую очередь уже может помочь отсеять множество краж.
3. ОБЯЗАТЕЛЬНОЕ подтверждение проведения платежа не только запущенным клиентом и captcha, но и по принципу "И" клиент должен иметь возможность включить подтверждение платежа по e-mail, sms по телефону и enum.
4. ОБЯЗАТЕЛЬНО должна быть возможность получения уведомлений о совершенных платежах\изменении настроек. Должны быть возможности настройки опять по принципу "И" (если уведут мыло, или если я всегда в разъездах и редко смотрю мыло) через e-mail И/ИЛИ телефон. Реализация этого пункта уже сможет помочь своевременно обнаруживать кражу.
5. Предлагаю создать возможность контроля за лимитом операций на пользовательском уровне. Люди обычно кладут деньги на счет с запасом десятки тысяч рублей, но в сутки обычно тратят не более пары тысяч. Должна быть возможность задания юзером лимита на одну операцию, общий лимит на сутки, и ВРЕМЯ(ТАЙМАУТ) для смены этих параметров. То есть если будет 1000руб/2000руб/3часа это означает, что я могу делать перевод не более 1000 рублей за раз, и не более 2000рублей в сутки, если я пытаюсь изменить эти настройки, то изменения будут применены не ранее, чем через 3 часа.

В сочетании пункт 4 и пункт 5 практически означают либо полную защиту от вывода суммы более суточного лимита, так как при попытке смены лимитов юзеру придет уведомление на мыло\телефон и можно будет СРАЗУ заблокировать свой WMID во избежания дальнейших потерь.

6. Хотелось бы сильнее связать webmoney с реальным миром. Рабочее время офиса в будни с 10:00 до 18:00 это просто не серьезно для крупной системы платежей, вроде как международного уровня. Отделения даже какого-то сбербанка, который не заботится о своих клиентах, работают в субботу, а в будни закрываются не ранее 19:00, чтобы люди после работы могли заехать. Не говоря уже о банках международного класса типа Райффайзенбанка, которые раньше 20:00 в будни не закрываются, работают в субботу и имеют круглосуточную поддержку держателей карт по телефону.

Может откроем для обсуждения улучшений другую ветку? Все равно очевидно, что во всех предыдущих постах народ заходил заниматься флудом, а не предложить что-либо конструктивное, или попытаться разобраться.

[Howard (WMID 220903071648 )]

[QUOTE=386988286405]

На мой взгляд, обсуждение моих умственных способностей, равно как и умственных способностей других пользователей системы

[/quote]

я нигде не сказал о каких либо нарушениях умственных способностей. Я лишь упомянул об "стандартном" подходе.

[quote] 

"А если на карточке Visa  написать пароль и положить ее на банкомат? Защищена?"
Все хорошо, только тут сравнение неравноценное, установка на домашнем компьютере WM Classic можно сравнивать ТОЛЬКО с установкой дома банкомата Visa. Банкоматы стоят на улице почти везде и КТО УГОДНО имеет к ним доступ. И Вы НЕ ЗАДУМЫВАЕТЕСЬ, когда подходите к банкомату, что Ваш номер счета и PIN/CVV2 код может быть передан куда-то для перевода со счета денег злоумышленниками. При этом никто из Visa не плачется, что у нас жестокий мир и банкоматы на улице это очень опасно и "криворукие" пользователи могут вставить карту в банкомат, который взломан. Раз банкомат стоит в общедоступном месте, значит приняты такие меры защиты компанией, чтобы краж злоумышленниками со счетов не происходило, когда Вы временно приходите вставляете карту и вводите пин. Аналог для вебмани:
Раз webmoney клиент стоит на компьютере, который может быть общедоступным (для других пользователей\вирусов), значит должны быть КОМПАНИЕЙ-разработчиком\владельцем системы предприняты меры для защиты счета от злоумышленников, чтобы когда Вы вводите ID\пароль и подключаете носитель с файлом-ключа для временного пребывания в системе, была гарантия того, что потом кто-то не снимет деньги с Вашего счета.

[/quote]

так у системы есть ВСЕ сервисы возможные, защищающие Ваши деньги. Только Вы их ИГНОРИРУЕТЕ

[quote]

    По-моему все очень логично и обосновано. К сожалению с Вашей стороны я не вижу полноценного понимания, в чем заключается проблема.

[/quote]

отчетливо понимаю. Только часть пользователей хочет, чтобы за них пришел дяденька и все настроил так, как нужно пользователю. Этого НЕ БУДЕТ.

[quote]

Наоборот, вижу слепую веру и защиту с пеной у рта дырявой системы электронных платежей.
    К тому же в данной системе все сделано "шоколадно" для воровства. Особенно мне "понравилось" восстановление доступа к WMID 10-20 дней, то есть что бы злоумышленники ГАРАНТИРОВАНО успели вывести деньги из системы.

[/quote]

а сделать так, чтобы не надо было ничего восстанавливать? А? Опять дяденька не пришел и не установил Вам енум?

Меня к Вашему свдению как только не пытались сломать за 3 года. На себе перенес все виды взломов, троянов и т.д. и НИ РАЗУ я не восстанавливал контроль? Правильно, мне чужой дяденька нафиг не нужен. Я САМ все сделал и прочитал. К сожалению понятие "сам" не относится ко многим и они начинают писать "_Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И"."

[quote]

 Офис, где процедуру можно ускорить, работает ТОЛЬКО в Москве(сразу отсекли немосквичей). Офис работает только в будни и нет круглосуточной поддержки по данным вопросам - ломанули перед праздниками и в пролете на все праздники. И НЕТ ИНФОРМАЦИИ О СОВЕРШЕННЫХ ПЛАТЕЖАХ НА мобильник\e-mail, чтобы человек ГАРАНТИРОВАННО не узнал, что его обокрали.

[/quote]

Как нет? есть :mrgreen:.... Только Вы НИЧЕГО НЕ настроили. Чувствуете разницу?

[quote]

1. Повышаем защиту от запуска на другом компе. _Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И". То есть пользователь может поставить активацию в случае смены оборудования по e-mail И по телефону И eToken И enum. (необходимо как можно больше задействовать средств по возможности не связанных с ПК потенциальной жертвы). Чтобы оставить юзерам выбор максимальная безопасность или простота платежей, можно сделать это настраиваемым, какие из способов активаций включать.
По-моему всем уже давно очевидно, что злоумышленники научились ПОЛНОСТЬЮ имитировать окружение для WM Classic, поэтому им даже не надо выполнять активацию по телефону\мылу и тп, они просто делают перевод. Поэтому далее все улучшения будут касаться защиты самого перевода.

[/quote]

Может и домой придти проверить? ХОТЯ бы енум установите... Остальное Вам вообще не понадобиться.

[quote]

2. Возможность установки активации при смене IP-адреса. Даже если получилось симмитировать окружение, то обычно IP симмитировать невозможно, должна быть активация при смене IP. Сейчас же просто выдается информация "Последний IP адрес с которым Вы входили в систему ранее х.х.х.х и он отличается от Вашего текущего IP адреса х.х.х.х". В 90% случаев просмотренных мною краж компы юзеров были выключены или они не сидели в клиенте(значит крал не вирус на их компе, а зломуышленник используюя заранее украденые данные). Соответственно однозначно была смена IP. Реализация этого пункта в первую очередь уже может помочь отсеять множество краж.

[/quote]

бред какой-то. А что по Вашему такое блокировка по IP? Или опять надо что-то делать самому? А система должна определить Ваш IP, маску, подсеть. А Вы как будете сидеть и НИЧЕГО не делать :mrgreen:

[quote]

3. ОБЯЗАТЕЛЬНОЕ подтверждение проведения платежа не только запущенным клиентом и captcha, но и по принципу "И" клиент должен иметь возможность включить подтверждение платежа по e-mail, sms по телефону и enum.

[/quote]

Да, стандартный подход, простите, лузера. Из рубрики я тут 100 рублей в день отправляю, значит так все делают. А что по Вашему делать с теми, кто проводит тысячу операций в час, а не 1 в месяц? Или таких выгнать из системы, потому что кто-то не в состоянии настроить свой комп САМ?

[quote]

4. ОБЯЗАТЕЛЬНО должна быть возможность получения уведомлений о совершенных платежах\изменении настроек. Должны быть возможности настройки опять по принципу "И" (если уведут мыло, или если я всегда в разъездах и редко смотрю мыло) через e-mail И/ИЛИ телефон. Реализация этого пункта уже сможет помочь своевременно обнаруживать кражу.

[/quote]

Да ради бога, прямо сейчас идете в notify.webmoney.ru и настраиваете уведомление в кипер, Аську, смс, или во все 3 места, чтобы уж точно. Проблема? Понимаю, надо куда то пойти, что-то делать, а Вам хочется вот так вот хоп...и все само сделалось. Вот только не учитвываете что мне это не надо (уведомления). Или принуждать меня к этомуи делать все по умолчанию?

Да нет уж, лучше Вы сходите и настроете... 

[quote]

5. Предлагаю создать возможность контроля за лимитом операций на пользовательском уровне. Люди обычно кладут деньги на счет с запасом десятки тысяч рублей, но в сутки обычно тратят не более пары тысяч. Должна быть возможность задания юзером лимита на одну операцию, общий лимит на сутки, и ВРЕМЯ(ТАЙМАУТ) для смены этих параметров. То есть если будет 1000руб/2000руб/3часа это означает, что я могу делать перевод не более 1000 рублей за раз, и не более 2000рублей в сутки, если я пытаюсь изменить эти настройки, то изменения будут применены не ранее, чем через 3 часа.

[/quote]

Не спорю, можно - это хороший пункт, когда проигнорировали все остальные. Да и толку 1000, 2000. Вон пару дней назад плакался пользователь что 500 рублей украли, и судом стращял систему :mrgreen:

Да...и еще... в системе есть кипер МИНИ....там лимиты стоят... При регистрации Вы наверное выбирали кипер и почему то МИНИ проигнорировали.

[quote]

В сочетании пункт 4 и пункт 5 практически означают либо полную защиту от вывода суммы более суточного лимита, так как при попытке смены лимитов юзеру придет уведомление на мыло\телефон и можно будет СРАЗУ заблокировать свой WMID во избежания дальнейших потерь.

[/quote]

Как Вы заблокируете его? Как докажете удаленно, что Вы и есть владелец... Ну? Как?

[quote]

6. Хотелось бы сильнее связать webmoney с реальным миром. Рабочее время офиса в будни с 10:00 до 18:00 это просто не серьезно для крупной системы платежей, вроде как международного уровня. Отделения даже какого-то сбербанка, который не заботится о своих клиентах, работают в субботу, а в будни закрываются не ранее 19:00, чтобы люди после работы могли заехать. Не говоря уже о банках международного класса типа Райффайзенбанка, которые раньше 20:00 в будни не закрываются, работают в субботу и имеют круглосуточную поддержку держателей карт по телефону.

[/quote]

единственный пункт, в котором я с Вами согласен

[quote] 

Может откроем для обсуждения улучшений другую ветку? Все равно очевидно, что во всех предыдущих постах народ заходил заниматься флудом, а не предложить что-либо конструктивное, или попытаться разобраться.

[/QUOTE]

:mrgreen::mrgreen::mrgreen::mrgreen:

На форуме есть целый раздел...:mrgreen::mrgreen: Только опять из рубрики, надо пойти и найти самому :mrgreen:

[ghibon (WMID 253273890611 )]

А если на карточке Visa  написать пароль и положить ее на банкомат? Защищена? Visa должна заботится о том, чтобы Вы этого не делали? Или ее пользователь? 

Вот именно это Вы сделали со своей цифровой подписью... Сохранить Ваши деньги при таком Вашем подходе можно исключительно пристрелив Вас или оградить вообще об общеня с деньгами

Howard, эту Вашу фразу я уже видел в нескольких ветках про взлом. Вынужден спустить вас на землю:
1. Сравнивать с Visa нечего. Где Visa, а где Webmoney)))) Разница очевидна?
Если Вы уж сравнили, давайте разберем.
2. Если я оставлю свою карту с пином на банкомате и ей воспользуется злоумышленник, то:
- мне поступит смс что на под моим именем вошли в систему с предложением позвонить по телефону чтобы заблокировать счет
- первое что скажут мне по этому номеру - это хотите ли вы заблокировать счет? За пять секунд (!) с момента звонка я уже вводом пина это сделаю
- этот взонок я смогу сделать КРУГЛОСУТОЧНО и не ждать 15 минут "ваш звонок очень важен для нас, подождите пока наш сотрудник выпьет чай, придет на работу и т.д. или ему просто надоест трень звонка и он снимет трубку". А потом еще меня отфутболят к арбитражу, ответ которого я буду ждать вечность.
- я согу отследить опреацию тут же. а не ждать доступа к своему wmid 3 суток после личного приезда в офис(а по регламенту так вообще 20!)
- система сделает все усилия по розыску злоумышленника
3. Банк сам назначит расследование и покажет Вам рано или поздно видео с банкомата где был съем. Уверяю Вас, это так.
4. Нечего бравировать своими 6,5 млрд оборота. Посчитайте сколько было взлома за один день допустим 27 февраля или 2-го марта. Возмите свои 6.5 млрд разделите на 365 и возьмите процент сколько вынесли. Прилично?

[Howard (WMID 220903071648 )]

Howard, эту Вашу фразу я уже видел в нескольких ветках про взлом. Вынужден спустить вас на землю:
1. Сравнивать с Visa нечего. Где Visa, а где Webmoney)))) Разница очевидна?

разницы нет никакой. Если Вы видите разницу между одно платежной системой и еще одной платежной системой....Ваша беда в этом

Если Вы уж сравнили, давайте разберем.
2. Если я оставлю свою карту с пином на банкомате и ей воспользуется злоумышленник, то:
- мне поступит смс что на под моим именем вошли в систему с предложением позвонить по телефону чтобы заблокировать счет

Бред. Как Виза определит, что с Вашей картой и Вашим паролем вошел злоумышленник, а не Вы? Или Вы утверждаете, что банкомат по видео определяет хозяин или нет.. ну ну  

- первое что скажут мне по этому номеру - это хотите ли вы заблокировать счет? За пять секунд (!) с момента звонка я уже вводом пина это сделаю

Пока Вам придет СМС я буду уже в троллейбусе ехать с Вашими деньгами. И хоть заблокируйтесь, карта будет уже в урне валяться рядом с банкоматом.

- этот взонок я смогу сделать КРУГЛОСУТОЧНО и не ждать 15 минут "ваш звонок очень важен для нас, подождите пока наш сотрудник выпьет чай, придет на работу и т.д. или ему просто надоест трень звонка и он снимет трубку". А потом еще меня отфутболят к арбитражу, ответ которого я буду ждать вечность.

и? деньги будут у меня. Дальше то что? Дозвонились Вы, узнали что деньги сняты в банкомате. Дальше что?

- я согу отследить опреацию тут же. а не ждать доступа к своему wmid 3 суток после личного приезда в офис(а по регламенту так вообще 20!)
- система сделает все усилия по розыску злоумышленника

Сама по себе будет делать? ну ну. По факту заявления в милицию - да, а сама по себе она НИЧЕГО делать не будет. Вас даже до видеокамеры банкомата не допустят

3. Банк сам назначит расследование и покажет Вам рано или поздно видео с банкомата где был съем. Уверяю Вас, это так.

не рассказывайте сказки. Заявление о краже должен писать ПОТЕРПЕВШИЙ, а никак не постороннее лицо

4. Нечего бравировать своими 6,5 млрд оборота. Посчитайте сколько было взлома за один день допустим 27 февраля или 2-го марта. Возмите свои 6.5 млрд разделите на 365 и возьмите процент сколько вынесли. Прилично?

Посчитаем сколько кардеры сняли с Визы денег? Уверены, что готовы услышать эту цифру? Она на пару нулей больше, чем из вебмани уперли денег за всю ее историю.

Учите мат.часть, прежде чем спорить.

[Sub Zero (WMID 703704269665 )]

2Howard:
Я вижу следующие рекомендации, которые я бы реализовал для повышения безопасности платежей, если бы был заинтересован в сохранности своих средств (к сожалению разработчики системы должны для этого реализовать это в клиентах и в своей системе):
1. Повышаем защиту от запуска на другом компе. _Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И". То есть пользователь может поставить активацию в случае смены оборудования по e-mail И по телефону И eToken И enum. (необходимо как можно больше задействовать средств по возможности не связанных с ПК потенциальной жертвы). Чтобы оставить юзерам выбор максимальная безопасность или простота платежей, можно сделать это настраиваемым, какие из способов активаций включать.
По-моему всем уже давно очевидно, что злоумышленники научились ПОЛНОСТЬЮ имитировать окружение для WM Classic, поэтому им даже не надо выполнять активацию по телефону\мылу и тп, они просто делают перевод. Поэтому далее все улучшения будут касаться защиты самого перевода.
2. Возможность установки активации при смене IP-адреса. Даже если получилось симмитировать окружение, то обычно IP симмитировать невозможно, должна быть активация при смене IP. Сейчас же просто выдается информация "Последний IP адрес с которым Вы входили в систему ранее х.х.х.х и он отличается от Вашего текущего IP адреса х.х.х.х". В 90% случаев просмотренных мною краж компы юзеров были выключены или они не сидели в клиенте(значит крал не вирус на их компе, а зломуышленник используюя заранее украденые данные). Соответственно однозначно была смена IP. Реализация этого пункта в первую очередь уже может помочь отсеять множество краж.
3. ОБЯЗАТЕЛЬНОЕ подтверждение проведения платежа не только запущенным клиентом и captcha, но и по принципу "И" клиент должен иметь возможность включить подтверждение платежа по e-mail, sms по телефону и enum.
4. ОБЯЗАТЕЛЬНО должна быть возможность получения уведомлений о совершенных платежах\изменении настроек. Должны быть возможности настройки опять по принципу "И" (если уведут мыло, или если я всегда в разъездах и редко смотрю мыло) через e-mail И/ИЛИ телефон. Реализация этого пункта уже сможет помочь своевременно обнаруживать кражу.
5. Предлагаю создать возможность контроля за лимитом операций на пользовательском уровне. Люди обычно кладут деньги на счет с запасом десятки тысяч рублей, но в сутки обычно тратят не более пары тысяч. Должна быть возможность задания юзером лимита на одну операцию, общий лимит на сутки, и ВРЕМЯ(ТАЙМАУТ) для смены этих параметров. То есть если будет 1000руб/2000руб/3часа это означает, что я могу делать перевод не более 1000 рублей за раз, и не более 2000рублей в сутки, если я пытаюсь изменить эти настройки, то изменения будут применены не ранее, чем через 3 часа.

В сочетании пункт 4 и пункт 5 практически означают либо полную защиту от вывода суммы более суточного лимита, так как при попытке смены лимитов юзеру придет уведомление на мыло\телефон и можно будет СРАЗУ заблокировать свой WMID во избежания дальнейших потерь.

6. Хотелось бы сильнее связать webmoney с реальным миром. Рабочее время офиса в будни с 10:00 до 18:00 это просто не серьезно для крупной системы платежей, вроде как международного уровня. Отделения даже какого-то сбербанка, который не заботится о своих клиентах, работают в субботу, а в будни закрываются не ранее 19:00, чтобы люди после работы могли заехать. Не говоря уже о банках международного класса типа Райффайзенбанка, которые раньше 20:00 в будни не закрываются, работают в субботу и имеют круглосуточную поддержку держателей карт по телефону.

Может откроем для обсуждения улучшений другую ветку? Все равно очевидно, что во всех предыдущих постах народ заходил заниматься флудом, а не предложить что-либо конструктивное, или попытаться разобраться.

Я с Вами в корне не согласен.
Считаю подход политики webmoney правильным. Что я имею ввиду:
Пользователь изначально ставит клиент без принудительной активации на мобильный, енум-клиента, блокировки по айпи, активации на телефон, отправки уведомлений о транзакции и т. п.
Почему?
Есть разные классы пользователей.
Те кто работают в системе раз в месяц (а то и реже) с мелкими переводами- они и не захотели б с етим заморачиватся, если им и настроили автоматом. Если бы всё это изначально стояло стояло- пошли в иную систему- где попроще.

НО, при каждом входе кипера горит красный значёк о безопасности, где можно посмотреть что и как настроить ( я в своё время, практически всё настроил, только чтоб не раздражал красный цвет :mrgreen: )

Если же Вы работаете с суммами ощутимыми для Вас, то информация лежит сверху.
Пережил пару попыток взлома, восстанавливал кипер и на компьютере с десятком вирусяк (по глупости). И только потому что пользуюсь всеми рекомендациями, еще ничего не спёрли.
З.Ы, пункты 2,3,4,5 в системе реализованы.
А насчёт оперативности сапорта и т. п. Предпочитаю работать так, чтоб с ними и не пришлось знакомится :cheesy:

[ghibon (WMID 253273890611 )]

Howard, единственное что я могу Вам сказать (и я уверен еще несколько десятков людей кому Вы реально НЕ ПОМОГЛИ) - что Вы пустослов. Это не оскорбление. а просто констатация факта. Чуть что - идите учить матчасть и все такое. А может быть, Вы все же квалифицированный сотрудник Вебмани, но просто прикидываетесь шлангом для народа и кидаете здесь отписки, мол все виноваты.
Так вот, виноваты в первую очередь сотрудники Webmoney. раз по умолчанию настройки такие что без проблем можно похитить средства - виновата система.
Видимо, Вы ни разу не пользовались системой Visa. а если и пользовались то банка а-ля МММ и иже с ними.
Так вот. Смс приходит сразу как хоть кто-либо авторизовался в любом терминале. Т.е., если я стою со своей картой у банкомата и хочу снять деньги - мне приходит смс что обнаружен доступ. и там уже мои действия - хочу я позвонить - заблокируют мой счет и т.д.
Насчет суппорта вы кстати так и не ответили, лихо забив полэкрана мусором.
PS. Да, у меня тоже сняли деньги. Доберусь я, всю милицию на ноги поставлю и хоть кого-то но засажу. Бомжа на кого был оформлен паспорт или Вас (боже упаси если к этому причастны сотрудники Webmoney), или сотрудников Альфабанка, которые оформляют счета на бомжей.
Я не буду спорить и вдаваться в полемику по поводу матчастей и т.д. Внутренние органы не разбираются ведь насчет матчастей, когда им все на блюдечке принесли. А именно это я и сделал, предоставив все IP провайдера в момент взлома и до него, номера счетов вывода денег и т.д.

[Howard (WMID 220903071648 )]

Howard, единственное что я могу Вам сказать (и я уверен еще несколько десятков людей кому Вы реально НЕ ПОМОГЛИ) - что Вы пустослов. Это не оскорбление. а просто констатация факта. Чуть что - идите учить матчасть и все такое. А может быть, Вы все же квалифицированный сотрудник Вебмани, но просто прикидываетесь шлангом для народа и кидаете здесь отписки, мол все виноваты.
Так вот, виноваты в первую очередь сотрудники Webmoney. раз по умолчанию настройки такие что без проблем можно похитить средства - виновата система.
Видимо, Вы ни разу не пользовались системой Visa. а если и пользовались то банка а-ля МММ и иже с ними.
Так вот. Смс приходит сразу как хоть кто-либо авторизовался в любом терминале. Т.е., если я стою со своей картой у банкомата и хочу снять деньги - мне приходит смс что обнаружен доступ. и там уже мои действия - хочу я позвонить - заблокируют мой счет и т.д.

Только Вы подходите к банкомату и Вам приходит СМСка? Наверное Вы еще даже карту не вставили , а банкомат знает, что это именно Вы и что надо Вам прислать смску

Как, уже вставили карту в банкомат?? Так для снятия денег нужно 7-15 секунд. Вы даже мобилу не успеете вытащить из кармана

Пустослов Вы, а не я. Подойдите к терминалу, и снимите деньги, поэксперементируйте, за время снятия денег успеете ли Вы увидеть СМС, позвонить, объяснить оператору кто Вы, назвать все кодовые слова, ФИО и другие проверочные идентификационные параметры. Если Вы сможете позвонить пояснить и заблокировать за...7-10 секунд, то я соглашусь с Вами, что я пустослов.:mrgreen:. А больше 7-10 секунд для снятия денег не требуется.

Много говорите, только все не по делу.

Насчет суппорта вы кстати так и не ответили, лихо забив полэкрана мусором.

что именно я Вам не ответил?

PS. Да, у меня тоже сняли деньги. Доберусь я, всю милицию на ноги поставлю и хоть кого-то но засажу. Бомжа на кого был оформлен паспорт или Вас (боже упаси если к этому причастны сотрудники Webmoney), или сотрудников Альфабанка, которые оформляют счета на бомжей.
Я не буду спорить и вдаваться в полемику по поводу матчастей и т.д. Внутренние органы не разбираются ведь насчет матчастей, когда им все на блюдечке принесли. А именно это я и сделал, предоставив все IP провайдера в момент взлома и до него, номера счетов вывода денег и т.д.

замечательно. Результат можете тут сообщить. Как привлекете кого-нибудь к ответственности - лично Вам поапплодирую.

[Bagum (WMID 386988286405 )]

2Howard: Как же с Вами тяжело, ей Богу, не понимаю подобную фанатичность к каким-либо вещам (будь то ОС, антивирус и любые другие вещи). Честно говоря, ожидал более глубокого понимания проблемы. Раз у Вас нет склонности к анализу проблемы в целом, а сплошные цепляния за частности, чтобы отписаться по каждому из пунктов и остатся белым и пушистым, придется изменить стиль ведения беседы. Заранее прошу прощения, но придеться прибегнуть к майевтике. Философские подходы вечны

[QUOTE=Howard]
[QUOTE=386988286405]На мой взгляд, обсуждение моих умственных способностей, равно как и умственных способностей других пользователей системы[/quote]
я нигде не сказал о каких либо нарушениях умственных способностей. Я лишь упомянул об "стандартном" подходе.
[/quote]
В том-то все и дело, что "стандартным" называть можно только подход, которым пользуется подавляющее большинство. Раз Вы называете это стандартным мышлением, то получается, что безопасность в webmoney для избранных?
Какого черта каждый знает, что нельзя раздвать PIN-код, CVV2 код, номер банковской карты, но при этом "стандартная" информированность пользователей системы вебмани о способах сохранения безопасности своих средств предполагает развитие воровства и мошенничества? Вам хотябы интуитивно при анализе Ваших же слов не кажется, что где-то в идеологии и организации что-то упущено? Если Вы просто сделаете поиск в Интернете, то поймете, что ВСЕГДА находится троян, который на определенный момент не засекается антивирями, который крадет все что надо и делается все что надо. Фактически, получается, что взлом ЛЮБОГО кошелька WM это просто дело времени. А у кого его еще не взломали, это не заслуга хозяина, а просто недоработка хакеров. Причем с ВАШИХ слов, Webmoney НЕ ОБЯЗАНА заниматься криптостойкостью и стойкостью клиентов к троянским программам. По-моему более, чем не разумно (я у себя тоже ВЧЕРА 11-03-2010 нашел трояна, спустя неделю после кражи 05-03-2010 он появился только в базах антивирусника AVPTool, NOD32 и DrWeb CureIt ничего не видели). Если количество постов в инете с кражами Webmoney в предыдущие года исчислялись десятками, то за 2010 год это УЖЕ сотни(если не тысячи, только арбитраж знает, жаль статистики официальной нигде нет), причем суммы просто чудовищны, а еще всего-лишь март, а обычно физические и социальные процессы имеют тенденцию развиваться по экспоненте. При таких темпах ДЕЙСТВИТЕЛЬНО НАДО что-то менять, а Ваши отписки тут только усугубляют ситуацию, так как показывают истинное отношение людей наиболее приближенных к системе к кражам.


[QUOTE=Howard]так у системы есть ВСЕ сервисы возможные, защищающие Ваши деньги. Только Вы их ИГНОРИРУЕТЕ[/quote]
Ваша же фраза "Есть все сервисы" конечно же не означает защиту, она означает "у нас есть все способы отписаться, что это Ваша вина". А Вот у систем типа "Visa" действительно есть Все сервисы, это классический подход "всё что не разрешено = все запрещено". Хотите возможность электронных платежей? Приносите паспорт, пишите заявление на это. Хотите расчетов через личный кабинет банка эмитента? Приносите паспорт, пишите заявление на это. То есть ИЗНАЧАЛЬНО ОБЕСПЕЧЕНА МАКСИМАЛЬНАЯ защита, пользователь САМ понижает степень защиты. В webmoney все наоборот... При том, что я являлся пользователем системы с марта 2007 года я только после кражи узнал о том, что появились новые функции. А некоторые критичные к безопасности функции надо, включать почесав мизинцем левой ноги за ухом, но об этом ниже.

[QUOTE=Howard][quote]...К тому же в данной системе все сделано "шоколадно" для воровства. Особенно мне "понравилось" восстановление доступа к WMID 10-20 дней, то есть что бы злоумышленники ГАРАНТИРОВАНО успели вывести деньги из системы.[/quote]
а сделать так, чтобы не надо было ничего восстанавливать? А? Опять дяденька не пришел и не установил Вам енум?[/quote]
[/quote]
Я не говорю, что то что не должно быть механизма восстановления. И enum не является панацей, это лишь вопрос времени.

[QUOTE=Howard]Меня к Вашему свдению как только не пытались сломать за 3 года...Правильно, мне чужой дяденька нафиг не нужен...
К сожалению понятие "сам" не относится ко многим и они начинают писать "_Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И"."[/quote]
В очередной раз порадовало Ваше возвышение себя над окружающими и выпичивание насколько Webmoney изначально открыта для воровства Объясняю по простому, "для суровых Челябинцев" Я ишачу на трех работах, в том числе в сранном НИИ на обороноспособность нашей бескрайней за копейки + подработки, чтобы не сдохнуть от голода и пишу диссертацию для самореализации. Как Вы думаете сколько у меня свободного времени, для того чтобы посвещать его постоянному поиску багов в системе вебмани и способам защиты от них? Мне легче просто не пользоваться этой "дырявой" к троянцам и по умолчанию открытой для воровства системой. Как и большинству остальных пользователей. Например, ВЫ мне рассказали о том, что существует оповещение о платежах на мыло, я за три года о такой функции вебмани нигде даже случайно не видел Ну допустим, вдруг, это была только моя заслуга, как и большинства пользователей вебмани. Теперь юзер начинает искать как включить заветную услышанную функцию:
1. Зашел в клиент, перерыл параметры(Общие,дополнительно,Безопасность,ограничения), нету
2. Захожу на сайт webmoney.ru перекапываю ВСЕ разделы сайта и ничего не нахожу
3. Надо каким-то образом зайти в астрал и узнать о существовании notify.webmoney.ru Либо найти, выражаясь Вашими словами, "дяденьку"/гугл, который об этом подскажет.
самому не смешно? И это про функцию, которая ДОЛЖНА стоять по дефолту и для которой должна быть возможность отключения, если Вы проводите 1000 платежей в сутки. Принцип все что не разрешено = запрещено и ВЫ САМИ понижаете безопасность платежей.

[QUOTE=Howard][quote]1. Повышаем защиту от запуска на другом компе. _Активация_ оборудования должна быть не по принципу "ИЛИ" (или почта или enum или ...), а по принципу "И"...[/quote]
Может и домой придти проверить? ХОТЯ бы енум установите... Остальное Вам вообще не понадобиться.[/quote]
Это не ответ на вопрос, это опять же сведение многоступенчатой защиты с использованием различных технологий к одной. С априорным уменьшением степени защиты.

[QUOTE=Howard][quote]2. Возможность установки активации при смене IP-адреса...[/quote]
бред какой-то. А что по Вашему такое блокировка по IP? Или опять надо что-то делать самому? А система должна определить Ваш IP, маску, подсеть. А Вы как будете сидеть и НИЧЕГО не делать :mrgreen:
[/quote]
бред какой-то © Учитесь ВНИМАТЕЛЬНО читать то, что написано. Напоминаю, что в моем случае IP-адрес тоже был моего же провайдера, обычная блокировка по IP с маской в таком случае НЕ ПОМОГАЕТ, сколько раз можно это говорить(по моеу уже более 3 раз в этой вертке), прочитаейте как это работает.
Необходимо сделать возможность активации ПРИ КАЖДОЙ смене адреса. Для людей с динамическим IP с 1000 платежей в день это ничего не изменит, утром, например, зашли, активировались и целый день гоняйте платежи не отключаясь от инета, адрес меняться не будет. А вот при взломе юзером из той же сети ему ПРИЙДЕТСЯ пройти активацию, так как у него будет ГАРАНТИРОВАНО другой IP адрес. По-моему теперь даже "суровым модераторам из Челябинска" должно быть понятно Или смысл до сих пор не очевиден?

[QUOTE=Howard][quote]3. ОБЯЗАТЕЛЬНОЕ подтверждение проведения платежа не только запущенным клиентом и captcha, но и по принципу "И" клиент должен иметь возможность включить подтверждение платежа по e-mail, sms по телефону и enum.
[/quote]
Да, стандартный подход, простите, лузера. Из рубрики я тут 100 рублей в день отправляю, значит так все делают. А что по Вашему делать с теми, кто проводит тысячу операций в час, а не 1 в месяц? Или таких выгнать из системы, потому что кто-то не в состоянии настроить свой комп САМ?[/quote]
По-моему Вы совсем не читаете или не хотите читать написанное, другими людьми, только то, что написано на сайте Webmoney Вы не заметили "принципу "И" клиент должен иметь возможность", любую фразу я обдумываю с разных аспектов в данном случае идет акцент на безопасность с возможностью отключения лишей нагрузки с целью повышения удоства использования и в жертву понижения безопасности.

[QUOTE=Howard][quote]4. ОБЯЗАТЕЛЬНО должна быть возможность получения уведомлений...[/quote] Да ради бога, прямо сейчас идете в notify.webmoney.ru и настраиваете уведомление ...[/quote]
О, БОЛЬШУЩЕЕ СПАСИБО, не надо будет выходить в Астрал для того чтобы узнать, что этот сервис существует и находиться по адресу notify.webmoney.ru . На сайте webmoney.ru об этом сервисе ни слова не сказано. Кстати не вижу в этом сервисе, где будет приходить информация о смене настроек (смена пароля, смена способа авторизации и тп), вижу только  (поступления,списания,счета,сообщения,запуски), хотя и на этом спасибо.

[QUOTE=Howard][quote]5. Предлагаю создать возможность контроля за лимитом операций на пользовательском уровне. Люди обычно кладут деньги на счет с запасом десятки тысяч рублей, но в сутки обычно тратят не более пары тысяч. Должна быть возможность задания юзером лимита на одну операцию, общий лимит на сутки, и ВРЕМЯ(ТАЙМАУТ) для смены этих параметров. То есть если будет 1000руб/2000руб/3часа это означает, что я могу делать перевод не более 1000 рублей за раз, и не более 2000рублей в сутки, если я пытаюсь изменить эти настройки, то изменения будут применены не ранее, чем через 3 часа.[/quote]
Не спорю, можно - это хороший пункт, когда проигнорировали все остальные. Да и толку 1000, 2000. Вон пару дней назад плакался пользователь что 500 рублей украли, и судом стращял систему :mrgreen:
...Да...и еще... в системе есть кипер МИНИ....
[/quote]
Толк есть, если это грамотно использовать, я показал как, не скрою на личном примере. Ибо именно такие настройки поставил я, потерял бы сумму хотя бы в 8 раз меньшую, по-моему 100% против 12,5% потерь достаточный аргумент для того, чтобы это реализовать.
Кипер МИНИ не интересует, потенциальные возможности не те, да и не собираюсь иметь мобильный банкомат, религия не позволяет.

[QUOTE=Howard][quote]В сочетании пункт 4 и пункт 5 практически означают ...[/quote]
Как Вы заблокируете его? Как докажете удаленно, что Вы и есть владелец... Ну? Как?[/quote]
Так же как и всегда, заведу, где бы не находился пустой WMID и подам заявку на восстановление прошлого WMID, разве при этом операции на восстанавливаемом WMID не блокируются?

[QUOTE=Howard][quote]6. Хотелось бы сильнее связать webmoney с реальным миром...[/quote]
единственный пункт, в котором я с Вами согласен [/quote]
Единственный пункт, где Вы принимаете сторону среднестатистического пользователя, с одной стороны жаль, а с другой стороны это не может не радовать.

[QUOTE=Howard][quote]Может откроем для обсуждения улучшений другую ветку? Все равно очевидно, что во всех предыдущих постах народ заходил заниматься флудом, а не предложить что-либо конструктивное, или попытаться разобраться.[/quote]
На форуме есть целый раздел...:mrgreen::mrgreen: Только опять из рубрики, надо пойти и найти самому :mrgreen:[/quote]
Странно видеть подобную реакцию МОДЕРАТОРА ФОРУМА. Я к моему несчастью обладаю аналитическим складом ума и склонен к систематизации, предложение направлено на обсуждение разумности отделение предыдущего множественного флуда от предлагаемых конструктивных нововведений, которые смогут снизить риск потери денег в Webmoney. Чтобы другим участникам форума было легче найти эту ветку и учавствовать в обсуждении.

2ghibon: Молодец, по поводу органов внутренних дел. Я отже выяснил, что они в этом ничего не разбираются, тоже вытащил все что смог сам по номерам WMID на которые шли переводы, детализацию по операциям, по IP адресам, какому прову принадлежат,как позвонить в техподдержку и сколько по времени они хранят инфу по тому какие юзеры под какими IP выходили. Теперь разбираются.

К сожалению, такими темпами все предложения скорее всего погибнут в пучине не желания повышения качества работы сервиса и повышения безопасности. У меня вообщем-то последний выходной сегодня. Надеюсь появится еще кто-нибудь заинтересованный и доведет разумные замечания до реализации в ПО, ну или предложит конструктивную критику.
Пока я трогать свой акк не буду, и просто перестану пользоваться сервисом. А может еще отпишусь

P.S. прошу прощения за возможные ошибки в последнем сообщении - тороплюсь, нет времени проверить

[Howard (WMID 220903071648 )]

Причем с ВАШИХ слов, Webmoney НЕ ОБЯЗАНА заниматься криптостойкостью и стойкостью клиентов к троянским программам.

Ломают не Вебмани. Ломают Ваш комп.

Вебмани криптостойкий, а Вот Ваш комп - НЕТ. Вы предлагаете Вебмани запретить все процессы на Вашем компе, кроме кипера? Вебмани это может, но захотите ли Вы этого.

А все остальное - эмоции.

"всё что не разрешено = все запрещено". Хотите возможность электронных платежей? Приносите паспорт, пишите заявление на это. Хотите расчетов через личный кабинет банка эмитента? Приносите паспорт, пишите заявление на это. То есть ИЗНАЧАЛЬНО ОБЕСПЕЧЕНА МАКСИМАЛЬНАЯ защита, пользователь САМ понижает степень защиты. В webmoney все наоборот... При том, что я являлся пользователем системы с марта 2007 года я только после кражи узнал о том, что появились новые функции. А некоторые критичные к безопасности функции надо, включать почесав мизинцем левой ноги за ухом, но об этом ниже.

Верно. Потому что большая часть пользователей системы занимается сборами бонусов и получением 100-200 рублей за рекламу. Система дает эту возможность. И если внедрить тотальную проверку всего и вся, система потеряет большую часть пользователей. Что выбрать? Обезопасить занятых пользователей и заставить их обезопасить себя, или дать в руки конструктор, из которого можно обеспечить себе максимальную защиту. Понятно, что часть пользователей не хотят себя обезопасить, лень. Это их проблема. Те, кто хотят обезопасить себя, работают хорошо, имеют все удобства, доверяют системе сотни тысяч долларов и не трясутся, потому, что заботятся САМИ и не ждут дядей. 

выпичивание насколько Webmoney изначально открыта для воровства

:mrgreen: если Вам на рубашку пришили карман, то он изначально открыт для воровства. Как быстро оттуда украдут зависит не от портного, который сшил Вам рубашку, а от Вас.

 Объясняю по простому, "для суровых Челябинцев" Я ишачу на трех работах, в том числе в сранном НИИ на обороноспособность нашей бескрайней за копейки + подработки, чтобы не сдохнуть от голода и пишу диссертацию для самореализации. Как Вы думаете сколько у меня свободного времени, для того чтобы посвещать его постоянному поиску багов в системе вебмани и способам защиты от них? Мне легче просто не пользоваться этой "дырявой" к троянцам и по умолчанию открытой для воровства системой.

Лучше не пользуйтесь никакими системами, т.к. с Вашим подходом у Вас можно украсть деньги отовсюду, даже из дома. Кстати, надеюсь дома хоть было время поставить железную дверь? А то ведь тоже никто Вас не принуждает и сам по себе не устанавливает...

[Kold (WMID 634199954015 )]

При этом никто из Visa не плачется, что у нас жестокий мир и банкоматы на улице это очень опасно и "криворукие" пользователи могут вставить карту в банкомат, который взломан. Раз банкомат стоит в общедоступном месте, значит приняты такие меры защиты компанией, чтобы краж злоумышленниками со счетов не происходило, когда Вы временно приходите вставляете карту и вводите пин.

Вы слышали о таком термине как "скиминг"? Постоянно банкоматы банков подвергаются различным модификациям, что приводит к компрометации множества пластиковых карт пользователей платежных систем. Об этой опасности предупреждают всех клиентов и сами банки, и МПС.

3. Банк сам назначит расследование и покажет Вам рано или поздно видео с банкомата где был съем. Уверяю Вас, это так.

А я вам не верю. Ознакомьтесь например с темой "Райффайзенбанк: массовые невозвраты похищенных средств" на сайте портала Banki.ru.

Видимо, Вы ни разу не пользовались системой Visa. а если и пользовались то банка а-ля МММ и иже с ними.
Так вот. Смс приходит сразу как хоть кто-либо авторизовался в любом терминале. Т.е., если я стою со своей картой у банкомата и хочу снять деньги - мне приходит смс что обнаружен доступ. и там уже мои действия - хочу я позвонить - заблокируют мой счет и т.д.

Уважаемый, а зачем вы вообще пользуетесь WebMoney? Ваш выбор - Visa, это же очевидно. Не тратье свое и чужое время, доказывая это кому-то на форуме.

Причем с ВАШИХ слов, Webmoney НЕ ОБЯЗАНА заниматься криптостойкостью и стойкостью клиентов к троянским программам. По-моему более, чем не разумно (я у себя тоже ВЧЕРА 11-03-2010 нашел трояна, спустя неделю после кражи 05-03-2010 он появился только в базах антивирусника AVPTool, NOD32 и DrWeb CureIt ничего не видели). Если количество постов в инете с кражами Webmoney в предыдущие года исчислялись десятками, то за 2010 год это УЖЕ сотни(если не тысячи, только арбитраж знает, жаль статистики официальной нигде нет), причем суммы просто чудовищны, а еще всего-лишь март, а обычно физические и социальные процессы имеют тенденцию развиваться по экспоненте. При таких темпах ДЕЙСТВИТЕЛЬНО НАДО что-то менять,

А почему эта проблема только сейчас вас так взволновала? Потому что сейчас именно у вас увели деньги. Где же вы были, когда такие случаи происходили с другими пользователями? Если вы встаете на баррикады и начинаете махать флагом, делайте это не только из своих корыстных целей. Предложите свои профессиональные услуги компании WM Transfer. А помимо этого еще и антивирусным компаниям, отчасти в сложившейся ситуации есть и их вина. Вы же пользуетесь лицензионным антивирусом, а они новые трояны тоже не торопятся исследовать и добавлять в свои базы. Вы рассуждаете здраво, мыслите в правильном направлении, но выглядит это немного лицемерно. Ведь высказываться вы начали, когда петух клюнул именно вас.

[Bagum (WMID 386988286405 )]

Причем с ВАШИХ слов, Webmoney НЕ ОБЯЗАНА заниматься криптостойкостью и стойкостью клиентов к троянским программам... При таких темпах ДЕЙСТВИТЕЛЬНО НАДО что-то менять

А почему эта проблема только сейчас вас так взволновала? Потому что сейчас именно у вас увели деньги. Где же вы были, когда такие случаи происходили с другими пользователями? ... Ведь высказываться вы начали, когда петух клюнул именно вас.

Ну естественно, я так же, как и другие пользователи webmoney БЫЛ уверен в безопасности системы, да и не моё собачье дело заниматься информационной безопасностью вебмани, так как для этого в компании работают соответствующие люди, получают за это какие-то деньги, постоянно в этом "варятся", наверное им должно быть виднее. Я видел до этого пару сообщений о кражах, но так же как и товарищ Howard, считал, что у людей видимо как-то не так настроена система, есть срытые админские шары типа диска C$, не стоят последние обновления ОС, нет роутера, голая винда,  и еще тысяча причин, почему их было бы просто взломать. Но когда я увидел, что деньги ушли с моего счета, а я знаю, что по сравнению с другими пользователями я намного более аккуратен (меняю пассы, длинные пароли, антивирь, файервол, еще роутер с правилами, храню на сменно носителе файл ключа, длинный пароль на файле ключа, подозрительные письма даже не открываю - удаляю сразу и т.п.). Если даже в моем случае я был "открыт" для злоумышленников, то что уж говорить об обычных юзерах без опыта системного администрирования за плечами? Оценив чудовищные масштабы угрозы я решил на форуме обсудить потенциальные возможности как такое может быть, а в последствии предложить какие-либо способы улучшить ситуацию. Вот собственно и все.
 Далее, для того, чтобы предлагать какие-либо решения, я обычно пытаюсь пройти апробацию Это стандартная практика для каких-либо новых идей, чтобы проверить их недостатки и преимущества на взгляд сторонних пользователей. К тому же, как выяснилось, у webmoney часть сервисов касающихся безопасности вынесены на какой-то сайт notify.webmoney.ru, на которой на официальном сайте на данный момент ни одной ссылки не ведет, я даже описания не нашел, что есть такая возможность... Вообщем полезно пообсуждать.

2Howard: Вы в очередной раз (возможно умышленно) путаете стойкость системы к внешним воздействиям и умышленные действия пользователей.
Простой вопрос для "одноклеточного", расскажите как это может быть:
 Если у меня был файл ключа, он защищен паролем, буквенноциферная последовательность 10 знаков (мой прошлый пасс) и хранится на сменно носителе. ДОПУСТИМ файл спер троян. он попадает к злоумышленнику. Проведем расчет времени взлома исходя из следующих данных:
Длина пароля = 10 символов;
Каждый знак является элементом множества символов = [a-zA-Z0-9] и еще совокупность пусть 15 символов типа !@#$%^&*()`-_=+
Время "пробы" подходит ли пароль будем считать равным времени вычисления САМОГО ЛАМЕРСКОГО MD5 на Core2 Q6600 на чистых Сях, двухканальная память, самый быстрый результат сейчас замерил = 70 миллионов паролей в секунду.
Решение
Общее количество символов = 26+26+10+15 = 77
Таким образом, количество вариантов паролей для 10 позиций получается = 77^10
Время подбора: 77^10/(70*10^6)=104 666 863 894 сек = 3 319 лет КРУГЛОСУТОЧНОЙ РАБОТЫ.
Кхе-кхе, Вам не кажется это какой-то нереальной цифрой для подбора ГАВЁННОГО md5, чтобы заработать 16 тыс. рублей? Даже если для меня выделяли гигантский датацентр из 8-процессорных машин (делим на 8 ), надо чтобы таких было 138 штук, чтобы взломать меня за 3 года пользования системой., но если алгоритм проверки занимает больше, чем расчет md5, и если межмашинный обмен медленнее, чем шина процессор-память, то это цифра становиться слишком большой, чтобы это было реально сделать.
И это только, чтоб подобрать лично мой пароль к моему файлу ключа, если его украсть. А крадут, судя по обнаружимости троянцев антивирусниками, файлы гигантскими пачками.

Вкупе с тем, что ломают людей у которых стоит АКТИВАЦИЯ ЧЕРЕЗ ТЕЛЕФОН, результат грустный, значит есть способ запустить клиент на другой машине так, чтобы не пришла активация.

Все это означает, что либо к этому причасный сотрудники компании, либо существует хакнутый клиент не сообщающий о смене оборудования и НЕ требующий для запуск файла ключа/подтверждения eToken/enum и любого другого способа защиты, что ТАК же не исключает версии о причастности сотрудников компании к утечке, но другое дело, что хакеры уже не имеют особо отношения к Webmoney.

Соответственно вывод, НАДО МАКСИМАЛЬНО ЗАЩИТИТЬ ТРАНЗАКЦИЮ, и попытаться сделать возможность многоступенчатую защиту клиента, чтобы хоть как-то улучшить криптостойкость и вирусостойкость программы. ВОЗМОЖНО это улучшит ситуацию.

А пока, Howard, как Вы верно заметили, я действительно не вижу особого смысла пользоваться системой Webmoney и мне, и основной части пользователей. Что я собственно и рекомендую всем делать.

[Kold (WMID 634199954015 )]

К тому же, как выяснилось, у webmoney часть сервисов касающихся безопасности вынесены на какой-то сайт notify.webmoney.ru, на которой на официальном сайте на данный момент ни одной ссылки не ведет, я даже описания не нашел, что есть такая возможность...

Практически на всех страницах сайта WM внизу есть ссылка "Все сервисы и проекты WebMoney". Также информация о сервисе notify.webmoney.ru есть на вкладке "Мои WebMoney" в кипере ("Оповещатель обо всем, что происходит с кошельком").

Вкупе с тем, что ломают людей у которых стоит АКТИВАЦИЯ ЧЕРЕЗ ТЕЛЕФОН, результат грустный, значит есть способ запустить клиент на другой машине так, чтобы не пришла активация.

Тут конечно интересно порассуждать. Я не вникал в особенности защиты WM Keeper, поэтому мои рассуждения могут быть в корне неверными. Судя по тому, что взломанным пользователям не приходили сообщения об активации оборудования на email или мобильный телефон, значит злоумышленники действительно могут запускать кипер обходя или обманывая систему активации. Можно предположить, что у пострадавших также был взломан email, с которого после активации письмо просто удалялось. Но о взломах ящиков никто не упоминал. Путем SMS сообщения тоже не приходили.
Теперь вспомним как работает WM Keeper: он требует файлы ключей (*.kwm) только при первой установке на чистую систему. После активации оборудования ключи больше не требуются. Значит кипер сохраняет какую-то информацию об этом на компьютере пользователя. Скорее всего в файле <wmid>.init в каталоге данных программы. Наверняка, это какой-то зашифрованный хэш конфигурации оборудования в совокупности с ключами данного WMID. В случае последующего изменения конфигурации компьютера ключи не требуются, требуется лишь повторная активация оборудования.
Мое предположение, как может действовать зловредная схема: вирус/троян заражает систему пользователя, уставливает KeyLogger и в момент очередного входа получает пароль доступа к WMID. После этого полученный пароль и данные активированного оборудования (по моей версии файл <wmid>.init) передаются злоумышленнику. Остается главный вопрос: как, имея эти данные, злоумышленник на новой системе обманет систему активации? Видимо, кто-то нашел ответ на этот вопрос. В таком случае, кипер запускается на "компьютере-клоне", и с имеющимся паролем и без необходимости активировать оборудование злоумышленник переводит ваши средства куда угодно.
Но это всего лишь мои теоретические измышления. Может быть все совсем не так, но в такой схеме узким местом безопасности кажется именно система активации оборудования. Если я прав, то избежать подобного поможет авторизация через Enum и только через Enum. При авторизации через Enum Keeper, насколько мне известно, не сохраняет <wmid>.init файл на вашем компьютере, но активацию оборудования все равно требует. Возможно, информация об активированном оборудовании сохраняется на сервере Enum. К ней злоумышленник естественно не может получить доступ.