- PVSM.RU - https://www.pvsm.ru -
Увлекательный тред [1] в Facebook с участием сотрудников Тинкофф Банка, из которого можно сделать вывод, что выписки всех клиентов доступны на сайте банка без аутентификации — по «секретным» ссылкам.
Осталось подождать, пока кто-нибудь угадает паттерн или перебором составит список страниц с выписками, после чего выложит их на Хабр или скормит поисковикам. Время купить попкорн еще есть.
А пока можно почитать о том, как «Яндекс» индексировал [2] (+1 [3]) SMS пользователей сайта «Мегафона» и покупателей [4] секс-шопа.
* * *
(добавлено 25 августа в 12:50)
Тинькофф Банк заверил в безопасности ссылочной авторизации для выписок (болдом — вопросы Роем):
Почему выбрали такой метод доставки, а не размещение выписки в теле письма или в аттаче? (ведь, помимо прочего, размещение в письме гарантирует неизменность после доставки, а на сервере вы можете менять постфактум)
В последнее время участились случаи компрометации публичных почтовых сервисов. Если злоумышленник получает доступ к почте, то в случае пересылки файлов выписки вложением он получает доступ ко всей хранящейся в почтовом ящике финансовой и личной информации пользователя.
В данном случае процесс безопасней, а сам файл выписки сохраняется локально на устройство пользователя (ПК/мобильное устройство). Неизменность файла гарантируется в обоих случаях, нет смысла его менять, поскольку копия документа есть локально на устройстве пользователя.
При этом у нас настроены рейт-лимиты (время жизни ссылки по выписке, допустимое количество открытий с одного устройства или одного ip-адреса и т. д.), значение которых выбрано, исходя из удобства и обеспечения безопасности для конечного пользователя.
При соблюдении элементарных мер предосторожности (в частности, проверка личной почты только с персонального устройства без передачи его впоследствии третьим лицам) риски компрометации пользовательской информации при данном способе доставки выписки минимальны.
При этом любой клиент может отписаться от рассылки в письме и сформировать выписку за любой период самостоятельно в мобильном или интернет-банке. Более того, любой клиент может отказаться от отправки выписок на email, ограничившись лишь бумажными выписками по почте.
Почему уникальный id в URL документа не хуже пароля от почты (может быть с т.з. криптографии и вероятности подбора)?
Ссылка устойчива к взлому и перебору: она каждый раз уникальна в отличие от пользовательских паролей почты, которые зачастую не меняются в течение продолжительного периода времени. Данная ссылка не индексируется, поскольку на сайте банка, непосредственно откуда идет скачивание выписки, стоит запрет на индексацию в мета-тегах, а сама страница закрыта правилами robot.txt.
<!--
* * *
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/96738
Ссылки в тексте:
[1] тред: https://www.facebook.com/abogorodsky/posts/981923818496667?fref=nf
[2] индексировал: https://roem.ru/18-07-2011/120086/megafon-razreshil-yandeksu-indeksirovat-polzovatelskie-smski/
[3] +1: http://www.vedomosti.ru/technology/articles/2011/07/18/yandeks_proindeksiroval_sms_abonentov_megafona#/ixzz1SSVLxhr4
[4] покупателей: https://roem.ru/25-07-2011/120480/poiskoviki-spalili-pokupateley-seks-shopa/
[5] Image: https://roem.ru/wp-content/uploads/2015/08/screen.shot.2015.08.24.at.23.41.45.cr.png
[6] Источник: https://roem.ru/24-08-2015/204074/tcs-security-through-obscurity/
Нажмите здесь для печати.