В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.
Баннерорезка блокирует часть зловредов.
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Я даже не обиделся, просто записал видео.
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.
Началось все с моего форума, но, к сожалению, никакого результата это не дало.
Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).
Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.
Баннерорезка блокирует часть зловредов.
Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.
Я даже не обиделся, просто записал видео.
Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.
Суть происходящего в следующем:
1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.
На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.
Началось все с моего форума, но, к сожалению, никакого результата это не дало.
Поделиться с друзьями
Radjah
> поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков
Выставлять голые ягодицы в интернет и жаловаться, что ими кто-то пользуется.
kostus1974
да вы что! у меня другая аналогия: сбер потихонечку, незаметно для вас снимает с вас штанишки и предлагает наклониться к окошечку… «не волнуйтесь,
ягодданные используются только для анализа»Radjah
Пользуйся приложением или ходи ногами до отделения/банкомата.
Markscheider
А посещать отделение и проводить операцию через специалиста — это адъ и израиль. В принципе, терминалы/банкоматы до известной степени решают, да.
Radjah
Ну тогда ногами до отделения. Удобство=1/Безопасность
Markscheider
Вот это бы меня окончательно примирило с действительностью. Потому что бОльшая проблема — завести бабло, а не снять его…
Radjah
По пути от работы до дома два больших отделения Сбера. По 3 аппарата в зоне 24. Минимум один работает на приём налички.
//эк я кого-то задел. Аж не поленился в профиль нагадить.
Markscheider
1) чаще бывает на профилактике, чем работает
2) когда работает — часто бывает без денег, т.к. к нему «не зарастает народная тропа»
3) не имеет функции cash in.
А ведь это спальное внутримкадье. Прям переживаю за жителей Новой Москвы, у них, видимо, ситуация похуже будет…
plm
У нас стоит при входе в бизнес-центр. Деньги принимает. Я, конечно, не записывал, но мне кажется что в этом году он работает не чаще одного дня в неделю, а так посмотришь — восклицательный треугольник во весь экран. Очень часто видел чешущего репу ремонтника рядом.
Ryle
У меня от сберовских кеш-инов глаз дергается. В отделении пыталась внести деньги, банкомат их съел, и… все. Сотрудники подошли, лениво потыкали в кнопки: «аааа… он опяааать… дааа… сегодня вы уже трееетья… пишите заявлееение… нееет, написать объявление, что не принимает деньги, нельзяяяяя...»
Деньги возвращали месяц, и потом в ответ на жалобу пришла отписка в стиле «банкомат — сложный прибор, и он иногда ломается. Жри, что дают».
daggert
Зря вы в отделение обращались. Надо сразу на горячую линию звонить, в отделениях не особо обремененные разумом люди работают.
Markscheider
Ryle
В отделении я написала жалобу в жалобную книгу, и плюс кляузу через мыло. На мыло меня и послали в «горячей линии».
Mogwaika
Ещё на банки.ру результативно получается писать.
dewil
не очень.
я жаловался на ВТБ24, что они в тарифах пишут одно, а по факту снимают комиссии по другой формуле.
просто отмазками отмазались, воз и ныне там.
нет времени жалобу в ЦБ на это отправить
zkolja
ЦБ переадресует это всё в банк, на который жалуешься и… и всё.
Жаловался на грефа, что в Крым деньги не переводит (брат попросил помочь), а комиссию исправно дерёт.
Mogwaika
ЦБ с физлицами не работает, мне прислали отмазку, что они только делами Банк-государство (если по простому) занимаются и проблемы отношений физиков с банком должен решать кто-то другой.
ISVLabs
ВТБ24 — это вообще отродье дьявола и отголосок совка…
пользуюсь этим банком почти 10 лет и, к моему сожалению, не могу отказаться и вынужден терпеть :(
dewil
список выбора большой.
на верхушке Тиньков и Рокетбанк.
daggert
Не возитесь никогда с отделениями. Есть телефон горячей линии, звоните туда. Письма и кляузы это все не пустота, звонок для них пока важней.
token
Так же могу сказать, не возитесь никогда с горячей линией, потому что там сидит человек — автоответчик, у нее есть бумажка она с нее читает и все.
daggert
Ну по моему опыту (заглотил деньги — написал ошибку || проглотил карту — перезагрузился || выдал деньги — не выдал карту || не выдал деньги — списал с карты) — горячая линия, спросив номер АТМа, почти сразу возвращает деньги на счет, либо перенаправляют проблему в отделение, где ее реально решают. А напрямую в отделение идти… ну черт знает. Те кто стоят в залах — они как правило бабушкам помогают реквизиты набить. Кассиры тоже не айс. Манагеры как правило не лучше зальных обитателей, советуют звонить в СП.
mayorovp
Это работает только для своих клиентов. Для клиентов других банков ответ горячей линии — "мы не оказываем услуги возврата карт, обращайтесь в ваш банк".
daggert
Об этом не подумал (:
parapetof
Тоже столкнулся с проблемой пополнения — ближайшее замкадье, вчера пробежал два отделения: в одном два банкомата, один на приём (не работает). Во втором 8 банкоматов, из них 2 на приём (1 не работает, ко второму очередь порядка 10 человек.)
Ezhyg
Не ищите «банкоматы», ищите «терминалы» (раньше это называлось «электронная касса») — все они принимают деньги (но не выдают) и способны перевести ваши деньги куда угодно (почти).
vlivyur
Серая зарплата? Просто иначе очень сложно понять зачем это часто нужно. Ну, я ещё так делаю ускоренные межбанковские переводы: с карты одного банка снял, на сбер внёс.
zkolja
для примера: карта сбера у меня основная (так исторически сложилось), з\п дают на карту другого банка (эту карту нигде не свечу). За перевод надо платить %.
nikolayv81
Оплата ипотеки сбера :)
snegg
во всех отделениях сбера, и в отдельных павильонах на остановках по 2-3 банкомата, из которых 1-2 принимают наличку и по 1-2 терминалу которые тоже принимают наличку, но не выдают. г. Чебоксары
Praksitel
Работал в офисе в Москве, ещё этой зимой. Расположенные в радиусе километра от офиса 2 отделения сбера были закрыты, теперь ближайшее в 2 км. Ул. Смирновская, если что.
vlivyur
Ну это ещё и от города зависит и от района этого города. Вполне допускаю что может не быть отделения с банкоматом вообще и на приём в частности (терминалы наверно во всех есть). Это может быть вызвано площадью этого отделения (иногда его можно найти в обыкновенной двушке) и тем более может не быть зоны 24. А отдельные павильоны вообще только в Норильске видел.
Fenyx_dml
Прямо вести из параллельной вселенной. А вы зарплату в конвертах получаете? Или в кассе налом? Тогда над вами можно только поржать в голос! При безналичном получении денег что перевести их на счет (карту) сбера, что сразу их там «находить» — абсолютно безнапряжная процедура. Хоть обпереводись. Кстати, а автор написал о сбербанк онлайн! Алё, вы в монитор деньги сувать собрались или флоповод еще остался?
Al-Vas
21 век так-то, пора уже отходить от этой порочной практики)) а таким крупным компания быть более, как бы это сказать, клиентоориентированными, причем не в рекламе
am_devcorp
У меня есть идея получше, зацените:
— сбер убирает стороннюю аналитику со своих страниц и пишет свою
dewil
я заценил.
даже не так.
и просит Почта-Банк, написать им свою аналитику
ploop
В онлайне это делается банальным шаблоном.
Markscheider
Но я написал «решают в известной степени». Неудобства есть, вне всякого сомнения.
ploop
Да хоть один 20-значный, набирать это вручную в толкучке очереди не очень приятно. Могли бы хоть интерфейс поудобней сделать, в идеале — забить эти данные в такие же шаблоны (таких организаций в городе не так уж и много, масса платежей стандартна, школы, детсады, ГИБДД, и т.д.)
Так что тут адъ не меньший. А операционисты вообще у нас перестали принимать платежи, шлют в терминал. Не знаю, имеют право или нет, но бабульки послушно идут.
Insane11
Ага, у нас рядом с офисом платное МРЭО, так там держат специального соотрудника, который за клиентов их данные в сберовский терминал вбивает. = )
ploop
У нас тоже стояли, сейчас не знаю, в банке редко появляюсь, только для замены карт. Там, где 24часа не стоят.
Oberon812
А у вас банкомат со сканером? Можно посмотреть, что именно и в каком порядке забивается в QR-код на квитанции и сделать визитку-шаблончик с нужным счётом и суммой, останется только проверить и внести наличные. Решение из области программы «Очумелые ручки», конечно, но если других вариантов нет — может и сработать.
ploop
Вариант, кстати. Что внутри QR знаю, делал его по работе. Но сам полностью всё оплачиваю через онлайн, так что лично меня всё устраивает, поворчать за компанию зашел :)
KorDen32
А эти сканеры у терминалов сейчас работают?
Этак в 2009 в Сбере мне показали на тот момент офигенную фичу — можно было платить налоги в терминале без очередей и комиссий кассы, еще и без ввода цифр — можно было, выбрав налоговую, сканировать штрих-код!
Пару лет так платили налоги всех родственников. А потом сканеры сломались (программно видимо), потом новые терминалы вообще без сканеров были…
Сейчас сканеры есть, но я так и не пойму, какие коды они вообще умеют считывать — ничего из того что подсовывал, не читалось.
Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.
Markscheider
Fagot63
Считывали штрих коды коммунальных платежей. Но как сейчас, не знаю. Уже давно все через сбер онлайн оплачиваю.
andyshark1974
Работаю в сфере ЖКХ по приему платежей. Вставлю свои 5 копеек. Тут есть одна засада в плане шаблона и почему я своим не рекомендую делать такие вещи как шаблоны на платежи — изменение реквизитов получателя. Такое случается вполне часто. И если вы попытаетесь платить по шаблону. а не по тем реквизитам что стоят в платежном документе — деньги уйдут не туда и Вы об этом не узнаете вовремя. А это может быть проблема. Именно по этой причине делать шаблоны в массовом применении я бы не рекомендовал.
Для себя — делайте сколько угодно (что в Сбере собственно и сделано в кабинете). Но делать по другому — будет плохо.
ploop
Шаблоны вы имеете ввиду в онлайн-банке? Допустим в сбере, при оплате через шаблон, проходит несколько страниц (с кнопкой «далее») с забитыми реквизитами. То есть сверить БИК/счет можно банально по трём последним цифрам, а не по всем 20ти. В случае изменения это бросится в глаза.
Ну, если не глядя прощелкать — сам себе буратино.
andyshark1974
В онлайне это еще ладно. Ты все-таки чаще всего сидишь дома и дома же платишь. У тебя над душой нет толпы народа (даже чисто морально), может только кошка которая требует на колени и дети которые скачут вокруг. И то отвлекает и можно ошибиться. А шаблон в терминале когда ты летишь куда-то и решил по пути заплатить — потенциальный источник ошибок. Я своим на работе потому и не рекомендую шаблоны делать под такие операции — кассир торопится работать (з/п зависит от наработки), такие вещи легко пропускают.
Тут на буратину не свалишь, на усталость и фон посторонний легко.
freeExec
Есть возможность на карте иметь готовые шаблоны. Но забивают их в отделении. А дальше в банкомате выбираешь, вводишь дату, сумму и все.
Cast_iron
Однажды оплачивал учебу через банкомат. Как положено ввел реквизиты счета университета, НО т.к. ВУЗ имеет филиалы, то и в его реквизитах был субсчет, а ПО терминала такого функционала не имеет.
После такой оплаты пришлось несколько дней утрясать с бухгалтерией ВУЗа и СБ отмену платежа, т.к. деньги ушли в один из филиалов, а не в центр. бухгалтерию.
Darkvetalx
а сейчас нет шаблонов в терминалах? пару-тройку лет назад заводил шаблоны на квартплату и т.д., пока онлайн не стал пользоваться…
ploop
Ну вот как раз пару-тройку лет назад не было. Сейчас не знаю, тоже онлайном пользуюсь. Но очень сомневаюсь, что сделали как надо.
Тут на банкоматах пару месяцев назад софт поменяли — интерфейс тормозной до ужаса. Тыкаешь на экран — ноль эмоций, тыкаешь ещё раз — он как раз переварил первый клик, обновил окно и взял второй клик из очереди — т.е. попал на тот контрол, что «нарисовался» на этом месте на новом окне.
Например: «выдать наличные» — тишина, «выдать наличные» — (меняется окно на выбор суммы, на месте «выдать наличные» появляется кнопка «500 рублей», отрабатывает второе нажатие, банкомат выдаёт 500 и возвращает карту) — всё что в скобках пользователь не видит. Мужик так передо мной, матерясь, по 500 таскал с карты минут пять, пока я не понял, в чём дело и не подсказал.
vlivyur
О, новый интерфейс ужасен и неинформативен. К примеру, поле ввода пин-кода — маленькие кружочки, нажимаешь цифру внутри маленького кружочка появляется ещё меньше кружочек цвета фона. Индикация какие купюры есть в наличие — маленькие (сантиметра полтора в ширину) иконки денег, против прежних цифр номиналов, где каждая была эти сантиметра полтора в высоту.
ploop
Кстати, интересно, а если пин-код не 4 символа а больше? Не все же стандартным пользуются, а установить можно и подлиннее.
bopoh13
Мне сказали — длиннее нельзя. Но официальный ответ из них выбить сложно, — просят молодую девочку по телефону надиктовать что-то.
vlivyur
У сбера вроде нет такого, но в других банках есть. Так что возможно что для своих он 4 показывает, а с остальных ждёт больше.
ploop
В смысле нельзя? Установить пин в ихнем же банкомате можно было до 12 символов. Но это со старой «прошивкой», как в новой хз
bopoh13
Так и сказали: «Установить Пин-код свыше 4 цифр — нельзя».
В другой раз сказали, что функцию бесконтактной оплаты на кредитке нельзя ни отключить, ни настроить. И теперь она будет на всех картах. Ответ по телефону (хотя в заявлении просил дать официальный ответ).
nafikovr
зато болтает так что уши закладывает
vlivyur
Я вчера делал мгновенный межбанк с помощью терминала = 40 листов * «Операция выполняется. Подождите». Всё отделение наверняка меня полюбило.
MrAloof
Точно! Новый интерфейс — мрак! Моло того что блекло-невнятный дизайн, дык еще и тормоза.
andyshark1974
У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане. Но по поводу кликов — это да — адъ полнейший. А уж про то как звучит фраза «Операция обрабатывается» — пипец просто. Особенно когда вносишь большую пачку денег. Плюс в том что после 10-й купюры банкомат перестает говорить фразу, но пока внесешь 10 купюр — закипать начинаешь уже.
Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.
ploop
Тормоза скорее всего этим и обусловлены.
alexhott
не факт что на банкомате нет яндекс метрики
IvUyr
Не забываем, что на банкомат можно наклеить скиммер…
sumanai
И сливай данные телефона:
История использования устройства и приложений
Получение данных о запущенных приложениях
Просмотр закладок и истории поиска
Настройки мобильных данных
Изменение/перехват сетевых настроек и трафика
Идентификационные данные
Поиск аккаунтов на устройстве
Контакты
Поиск аккаунтов на устройстве
Просмотр контактов
Изменение контактов
Местоположение
Примерное местоположение (на основе сети)
Точное местоположение (на основе сети и сигналов GPS)
Доступ к дополнительным командам управления источниками геоданных
SMS
Просмотр SMS и MMS
Прием SMS
Изменение SMS и MMS
Телефон
Осуществление телефонных вызовов
Просмотр журнала вызовов
Получение данных о статусе телефона
Изменение журнала вызовов
Фото/мультимедиа/файлы
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Память
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Камера
Фото- и видеосъемка
Данные о Wi-Fi-подключении
Просмотр подключений Wi-Fi
Идентификатор устройства и данные о вызовах
Получение данных о статусе телефона
Другое
Получение данных из Интернета
Просмотр сетевых подключений
Установление связи с устройствами Bluetooth
Изменение сетевых настроек
Подключение/отключение сети Wi-Fi
Неограниченный доступ к Интернету
Закрытие других приложений
Управление NFC-модулем
Запуск при включении устройства
Показ элементов интерфейса поверх других окон
Управление функцией вибросигнала
Предотвращение переключения устройства в спящий режим
Изменение настроек системы
Изменение закладок и истории поиска
Radjah
За 6-ю версию не скажу, но в 7-й версии Android есть настройка разрешений.
dimm_ddr
И нет никакой гарантии что из-за не выданного разрешения это приложение не свалится на середине транзакции и не пустит вас по квесту "Убедить сбербанк что вы не отдавали им все свои деньги просто так". Если вообще запустится.
Mikhail_dev
Что значит нет никакой гарантии? Вам вообще кто-нибудь эту гарантию даёт? Это стандартный механизм в андроиде 6 и выше, и нечего говорить мол он там что-то ломает. Если что-то пошло не так, то отправьте багрепорт.
dimm_ddr
Никто не дает, все верно. Именно поэтому пользоваться данным механизмом в важном приложении крайне сомнительная затея. А зная поддержку Сбербанка я могу предсказать что при проблемах в приложении виноват окажусь именно я.
Mikhail_dev
Вы пишете что что-то сломается в транзакции, в андроие 6. Я вам пишу что причем тут это вообще в данной теме? Вы понимаете разницу между «сливают информацию» и «багом»? Или вы хотите сказать что транзакция сломается, но деньги спишутся? Такое уже бывает обычно только в сказках, ибо мобильное приложение не участвует при совершении транзакции, оно лишь получает информацию, успешно или нет. Поэтому я не вижу ничего как вы пишете крайне сомнительного в этом деле. От слова вообще.
Господа минусяторы, вы в своём репертуаре. Минусуете, карму сливаете, но при этом не пишете причины. Сверху человек написал что в 6 и 7 андроиде есть управление разрешениями. Как вообще можно было этот комментарий сливать?! Я хренею с неадекватности таковых людей, молчаливых минусяторов.
dimm_ddr
Банальный кейс: я прошу сделать какой-либо перевод денег, приложение зачем-то лезет куда не надо и куда я разрешения не давал. Система приложению туда залезть не дает, приложение это некорректно обрабатывает и отправляет на сервер некорректные данные. Сервер получает от приложения какие-то данные и что-то делает. В результате мои деньги уйдут не туда, не в том количестве или, в худшем случае мои данные уже на сервере из-за чрезмерного доверия к данным приложения будут испорчены. Нереальная ситуация? Маловероятная, может быть. Но вполне реальная.
В нормальной компании в таком случае передо мной извинятся и откатят некорректную транзакцию назад. Это само по себе может быть печально, например в случае если я пытался заплатить по кредиту, а из-за ошибки срок платежа прошел и мне начислили штраф, но это еще как-то. Внимание, вопрос: а что в такой ситуации сделает сбербанк?
Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными? Мне казалось цепочка очевидна, но все же: приложение запрашивает тонну разрешений, значит оно зачем-то хочет все эти данные. Это может быть ошибкой программистов, а может быть желанием получить как можно больше данных. При этом корректная работа приложения без этих разрешений не гарантируется. Собственно я вам на последний пункт в этой цепочке и указал.
Mikhail_dev
>Нереальная ситуация?
если исходить из того что нереального как бы не бывает, ибо человеку свойственно ошибаться, то да, реальная. А если исходить из того, что все данные должны обрабатываться и проверяться исключительно на сервере (что они и делают), то ситуация чуть более, чем нереальная. Нет такого, что вы что-то некорректно отправили, и деньги ушли не туда. Фигня это всё. Такого нет лет… дцать. Посмотрите доклад на Mobius за 2015 год, там как раз люди с касперского выступали, говоря про сбербанк и небезопасную среду. Там речь о том, что сервер в принципе никогда не должен доверять тому, что отправляет клиент. Вот вообще никогда, потому что приложение можно легко декомпилировать и немного доработать для отправки некорректных данных. И если бы сервер полагался закрывая глаза на то что отправляет клиент… Да зная масштабы сбера, уже давно бы любой желающий бабло себе накручивал.
>Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными?
Я просто хочу сказать что на андроиде 6 и выше есть механизм ограничения этих данных, и он замечательно работает, только и всего. Я просто хотел указать что нету связи между «андроидом 6 и выше» и «приложение некорректно что-то обработает и деньги уйдут не туда».
Справедливости ради сделаю оговорку: такая связь есть для приложений, у которых в андроиде стоит API ниже 23. Тоесть приложение как бы говорит, мол плевали мы на ваши разрешения, мы их не поддерживаем. В таком случае приложение сразу запросит все разрешения у пользователя. Пользователь может их дать, а может потом их и убрать в системе. Но корректная работа не гарантируется. Но опять же, это не случай сбербанка, потому что а) они их поддерживают, и б) всё проверяется в обязательном порядке на сервере.
Squoworode
Пробовал установить в прошлом месяце. Не дал доступ к списку контактов — проверка зависла.
JC_IIB
На iOS-версии проблема отсутствует, приложение спокойно живет без контактов.
wholeman
И в шестой есть, но многие приложения просто закрываются, если им чего-нибудь не дать. Даже, если они данное разрешение не используют.
NoRegrets
Я не стану пользоваться таким приложением, даже если его аппетиты можно будет ограничить. Это вопрос отношения к клиенту.
Radjah
У Сбера есть обратная связь. Мне жаловаться не надо, я к их их внутренней кухне отношений не имею.
NoRegrets
И в мыслях жаловаться не было. Это публичный ресурс и мною был озвучен прозрачный намек сберу и совет другим пользователям поступать также. И плевать, прочитает его кто-то или нет.
Valle
Есть настройка только «опасных» разрешений, а неопасные типа доступ к интернету, получение данных из других приложений (оверлей) или контроль телефоном через accessibility отозвать нельзя. Кроме того, если приложение требует столько очевидно ненужных для обычной работы разрешений это означает что никто не заморачивался на нормальную работу приложения когда разрешение не выдано.
Radjah
Для перекрытия доступа в интернет есть мобильный диспетчер (ASUS, Lenovo), но я сомневаюсь, что программа начнёт работать через астрал.
> столько очевидно ненужных для обычной работы разрешений
Вы таки видели код приложения, или выводы на основе «жизненного опыта»?
Valle
На основе жизненного опыта. Могу и в код глянуть если нелегкая заставит им пользоваться.
wOvAN
Слышал, что Сбер через приложение, сливает телефонную книгу заемщика коллекторам.
ksil
Агенство ОБС?
wOvAN
Ну типа того, многие должники обращали внимание, что обзвон коллекторами родственников и знакомых начинается только если человек установил сбербанк онлайн.
Markscheider
vlivyur
Про коллекторов ничего не скажу. У приложения есть фишка: показывать в списке контактов у кого есть сберовская карта. По-умолчанию в настройках сбола это включено.
ZetaTetra
Это не только в сбере, Тинькофф тоже показывает.
vikarti
у Тинькова есть опция в приложении НЕ делать этого.
MaxF
Есть еще перевод денег на карту по номеру мобильного, который выбирается из записной книжки
Akon32
Можно использовать отдельную учётную запись в Андроиде (начиная с 6, кажется), правда, все sms всё равно потенциально сливаются и несколько неудобно переключаться.
Заполнять телефонную книгу на этой учётке, естественно, не обязательно.
ZetaTetra
В сберовском приложении больше напрягает встроенный антивирус, чем куча разрешений.
ZetaTetra
Ну, с архитектурной стороны — подход грамотный. Иначе приложение станет копией сайта.
А вот реализация со встроенным антивирусом — подкачала…
dartraiden
Это которое постоянно сканирует телефон встроенным антивирусом Касперского, и выжирает батарею?
У них ужасное приложение, серьёзно.
dron41k
На ios никаких проблем, работает быстро и хорошо.
zerocooolx
Кхм. Антивирус можно отключить. На GraceUX точно.
nidalee
На android (любом) нельзя — только сломать патчами от умельцев.
mehos
Оно еще отказывается работать на рутованных девайсах)
Mikhail_dev
Это сейчас обыденная практика. Android Pay вообще отказывается работать, если: рут, либо разблокирован бутлодер, либо RAM кастомная. У меня по причине разблокированного бутлодера он не хочет работать.
DistortNeo
А у меня все три пункта вместе: и CyanogenMod, и переразметка внутренней памяти, и рут как само собой разумеющееся (нужен хотя бы для смены региона WiFi).
ArtRoman
Nexus 5X. Официальная прошивка, но разблокирован загрузчик, снято шифрование, установлено кастомное ядро (без рута). Android Pay работает.
Mikhail_dev
Хм. Интересно. А я вот никак не могу понять как мне это побороть.
Может у вас сама прошивка отдаёт информацию мол у меня всё закрыто?
ArtRoman
Самой прошивке пофиг, она может ничего и не знать. Через системные проперти можно узнать версию системы, номер сборки, название ядра и некоторые другие параметры типа статуса сертификации устройства (это сейчас выводится в приложении Play Маркет – Настройки, там в конце списка). Состояние загрузчика из самой системы вроде как и не узнать. Рут легко проверить по наличию файла 'su' или какими-то другими способами. Как понимаю, для банковских приложений, в т.ч. Google Pay (или, например, для аренды видео в Play Видео) главное – чтобы была оригинальная сборка системы и отсутствие рута. Хотя при разблокированном загрузчике никто не мешает читать и заменять пользовательские и системные файлы через кастомное рекавери.
Mikhail_dev
А что такое оригинальная сборка системы? И как приложение узнаёт о её оригинальности?
На данный момент у меня сборка аля «user-debug». На релизной сборке всё работает, но мне нужная дебажная сборка системы, поэтому хочется починить на дебажной.
a1ien_n3t
Очень легко это все проверяется там используется обычный Verified Boot. В двух словах(и очень грубо пропуская тонкости) есть ключь в первичном не модифицируемом загрузчик им он проверяет вторичный загрузчик, дальше проверяется что не модефицированн он и что загрузчик заблокирован. проверяется подпись ядра. Дальше ядро проверяет хеши файловой системы на которой лежит образ.
Вобще там довольно много проверок, которые впринципе можно обойти. Например тотже Xposed или Magisk
Mikhail_dev
Благодарю. Буду пробовать.
skandifox
Да, я изрядно лоллировал, когда на моей xperia z3(прямо в отделении) приложуха не встала, ибо «богомерзкий рут».
Сони мне разрешает рутить аппрат, а СберБАНГ — нет. Весело.
ArtRoman
Изначально на OnePlus, где штатно шёл Cyanogen (лицензированный, с заблокированным загрузчиком и без рута) многие приложения ругались на «небезопасную» прошивку – Сбер, Тинькоф, ещё кто-то. Всем писал жалобы, позже все исправились. Так что если теперь жалуется на рут, то хотя бы реально определяет, а не просто по наличию ключевых слов в версии системы.
Mikhail_dev
Ужасное это у альфа банка. Хоть я сбербанк люто ненавижу, и пользуюсь Тинькофф банком и альфа банком (зп карта), но могу сказать что у сбера приложение очень хорошее, и что с ним сравнится только Тинькофф. Лучше этих двух банков на андроиде нет на данный момент.
tandzan
Имхо, отечественные разработчики приложений со своей телеметрией вообще берегов не видят. Установленные Сбер онлайн и 2ГИС после подключения к WiFi на 2 минуты превращают мое устройство в картошку. Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)
Mangol31
А что за смартфон у вас, если не секрет? Пользуюсь описанным вами софтом на древнем Samsung Galaxy Note 3. Никаких превращений "в картошку", все летает.
tandzan
Вот тут описание
Mangol31
Ммм… ИМХО, но в данном случае вопрос скорее к аппарату, а не к ПО
Ezhyg
Нет уж! Вопросы (а лучше сразу выговоры с занесением в грудную клетку) только и исключительно к быдлокодерам. Процессор нормальный? Нормальный! Памяти достаточно? Да! Андроид? Андроид! Всё, какие ещё могут быть вопросы?
Вы посмотрите на этих программёров (и это ещё не вспоминая про остальные прослойки, про тестировщиков вообще забудем), сидят за каким-нибудь… макбуком, видя всё над чем «работают» только в эмуляторе… Всё что можно ожидать — получают сполна очень многие пользователи, не купившие себе топовый СамсуньгЪ Асемьног.
Ну ладно, расскажите, какие у вас (или вообще) вопросы или претензии к этому аппарату?
Valle
У древних аппаратов без поддержки ART были принципиальные проблемы с перевариванием multi dex приложений. Вообще жаловаться что на мобильной операционной системе выпущенной ПЯТЬ лет назад на современные приложения тормозят… ну это я не знаю из какой серии.
Ezhyg
А где же хвалёное «автоопределение» и прочие фантастические возможности «экосистемы»? В какой момент наступает эта древность? Год назад не тормозило, два года назад не тормозило…
Какие вычисления производит, аж целый квадратный сантиметр (ну два-три) показывающий погоду, что он вообще смеет тормозить? Он на время делает телефон сервером погоды, вычисляя её в реальном времени?
Valle
Конвертирует байткод. У андроида 4.2 с этим определенные проблемы. Программы стали больше нынче.
Ezhyg
Ну так пусть программа перед обновлением скажет — «Извините, уважаемый пользователь, случилась неприятность, мы больше не можем поддерживать эту ОСь или это железо...».
Aingis
А-то я думал 15-секундный запуск на iOS это много (те же симптомы: не реагирует на нажатия, хотя есть анимация облачков на карте). Баннера, правда, не видел.
daggert
Приложение а) запросило прав кучу б) устанавливаться захотело только на внутреннюю память в) тащило с собой антивирус. Спасибо, не надо.
olegon-ru
А зачем тогда вообще прогресс? Полагаю, что если что-то делаешь, то это надо делать хорошо.
Никому же не понравится, например, автомобиль с отлетающими колесами. Никто же не предложит ходить пешком. А случаев, когда он необходим, достаточно много.
Fagot63
Проблема в том что сберу вообщем то плевать на людей, как бы его(банк) не обсирали, он не утонет(как известная субстанция). Потому новшества в сбер приходят спустя 5-7 лет да и те не блещут качеством.
P.S. Есть еще дыра в мобильном прилощении. Вводите любой номер телефона в переводе с карты на карту по номеру телефона и если номер подключен к сбербанку, видно ФИО абонента, номер карты(не весь), раньше еще сканировал контакты и показывал значек подключен номер к сбербанку или нет
ksil
В настройках можно включить режим инкогнито (по умолчанию отключен), чтобы вы не отображались значком по номеру телефона у других людей.
vlivyur
ФИО не видно, только Имя Отчество Ф. Это не только у них такое.
ZetaTetra
Я когда сбером пользовался, то очень радовала функция автоплатежа (с разными настройками), которой сейчас очень не хватает в другом банке:
1) Приходит счёт на оплату
2) Я получаю СМС вида: «Вам пришёл счёт на сумму {NNN}руб., отправьте {KKK} на номер 900 для отмены автоплатежа.»
3) Если не отменил, то на следующий день счёт будет оплачен автоматом.
sumanai
Мне тоже нравится функция автооплаты, а вот СМС нет. Пришлось в антиспам фразу из этой СМС забить, чтобы не надоедали.
ZetaTetra
Там бывали сообщения о блокировки автоплатежа.
К примеру, если приходит дюжина счетов на оплату вместо одного.
Помнится, жена телефон поменяла, а лишний блоатварь который шёл в нагрузку к андройду — не выпилила.
Так там пошёл достаточно бодрый траффик, вкупе с бодрыми сообщениями о нехватке средств на счету. Благо сбер на втором счёте в день автоплатёж автоматом затормозил.
Ну и коммуналка может не пройти, если цены поднимутся.
sumanai
Если платёж не пройдёт, то сообщение изменится и проскочит антиспам-фильт, так что всё в порядке, спасибо за предупреждение.
Occama
Это не баг, а фича =) На самом деле, сколько сберовскими сервисами пользуюсь, раз 40 уже переводил деньги на карты разным людям, и моему внутреннему невротику всегда было приятно убедиться, что перевожу, куда надо. К тому же, фамилия не светится, только инициал, так что всё не так страшно. А бороться с потенциальным фродом надо уметь в любом случае самому пользователю. Не по ИО, так по чему-нибудь ещё развести попытаются, какая-нибудь условная баба Клава и так отправит «СПАСИТЕКОТИКОВ» на короткий номер, чтобы спасти несуществующих котиков от чего-то там. Между удобством и отсутствием фродной соц.инженерии я практически всегда выберу первое.
McDermott
Это, во-первых, не только в мобильном приложении, а в Сбербанк.Онлайн тоже, а во-вторых, ФИО показывается для проверки — тому ли человеку вы собираетесь пять тысяч перевести. ИМХО, это удобно.
Pakos
А ещё лучше кодом 900, чтобы вирусам удобнее было. Я сделал проще — не использую сбер, но есть те, кому приходится. Удобство и безопасность — это как раз сайт онлайн-банк на другом устройстве, чем привязанный телефон и без левых скриптов.
sHaggY_caT
Сознательно не пользуюсь Сбербанком из-за множества проблем.
Зачем он? У того же Ситибанка и Райфа, и, по рассказам знакомых, Альфабанка, сервис гораздо лучше.
Да и рейтинг у них неплохой.
olegon-ru
Я бы тоже не пользовался, но, к сожалению, есть принудиловка, например, на работе. Дают карту для зарплаты и будешь пользоваться. Бороться с этой системой очень трудно.
hardegor
Мне тоже на работе выдали. Но у меня уже была другого банка, я написал заявление в бухгалтерию и мне зарплату скидывают на неё. Теоретически они обязаны выдавать или наличкой или на указанный мной банковский счет безналом.
saipr
Все это так
rustavelli
Во-первых, всегда можно написать заявление на счет в другом банке.
Во-вторых, можно сразу по приходу, сливать деньги в тинькофф. У нас почти все так делают.
Ziptar
А наличку где снимают? Я давно уже подумываю отказаться от сбера, но останавливает практически полное отсутствие банкоматов других банков. По крайней меря я их вижу крайне редко.
rustavelli
В _любом_ банкомате россии без комиссии, если снимать от 3000р. Видите издалека будку, похожую на банкомат — значит там можно снять деньги с карты тинькова. Т.е. больше не нужно искать банкомат именно сбера, подойдет от агропромхрензачембанка.
Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100. надо уточнять. Спросите в чате прям на сайте — у них шикарная поддержка.
Все вышесказанное, разумеется, про дебетовую карту. Кредитки, как и везде, с подвохом.
DistortNeo
> Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100
Пробовал в этом году — комиссии не было.
ploop
Уже неудобно. Часто требуются меньшие суммы, дв и ситуации бывают разные, я однажды 100 рублей снимал (банально лень было бежать до дома за наличкой, а на карте почти пусто).
rustavelli
Для меня норм… Мне комфортно носить с собой столько налички, сколько не сильно жалко потерять… это как раз около 3 тыщ )
— до такого, слава космосу, давно уже не довожу. Все деньги на карте, счета открывать смысла нет — там те же 7% дают.ploop
С таскаю с собой карту для онлайн/оффлайн покупок, большие суммы на ней не задерживаются.
ZetaTetra
Главное в сбере не снимать, иначе ограничение в 7500 на транзакцию дюже неудобно :)
fuser
А вы не думали, что каждый отдельный банк сотрудников для бухгалтерии — это отдельная ведомость на зарплату + отдельная платежка + отдельная выписка о списании д/с со счета?
rustavelli
Мне рассказали, что для бухов это гемор, поэтому я сам руками со сбера каждый раз перевожу.
alcr
А вот нефиг со сбером связываться, работали бы через нормальный банк — никто бы не возмущался.
Velibekov
Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.
И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.
При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
Больше ни у одного банка нет таких условий, как у Сбера!
Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ?20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ?6 тыс/год)
DistortNeo
> Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.
И давно вам такие суммы наличных денег были нужны? Автомобили, квартиры покупаются за безнал, если что.
Ну а наличие комиссии, если наличные таки понадобились, вполне себе компенсируется капающими процентами на остаток накопительного счёта.
> И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.
Снимайте в Альфе — там нет лимитов.
> При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
И, собственно, что? Если не понадобилось за год столько денег снимать, все равно придётся заплатить 3к, в случае Т-банка же будет минимум +3% на остаток.
> Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ?20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ?6 тыс/год)
Я думаю, людям, у которых есть необходимость ежемесячно переводить подобные суммы, нет необходимости рассказывать про преимущества или недостатки того или иного продукта.
rustavelli
Снимать столько налички — это очень редкий случай. Можно и до нормального банкомата дойти. Или бесплатно кинуть межбанком на тот же сбер и снять.
Не знаю никаких комиссий и ограничений на межбанк у тинькова. Причем слать можно на любой банк, в отличии от.
Сбер дерет комиссии за каждый чих.
Только что кинул 10к с тинькова на авангард card2card без комиссиий. Вы можете представить, что сбер даст такое сделать даже супер-платиновым клиентам?
vlivyur
BabyKiller
У Сбера есть ограничение на снятие в стуки, в районе 50 000 рублей.
Так же никто не мешает с Тинкоффа переводить бесплатно деньги по межбанку на другой банк.
Опять же большинство людей миллионами не оперирует, так что тинькофф для большинства вполне себе выгодный вариант.
vlivyur
150 нынче у них. Подняли обратно с 50. Только по старым картам не подняли.
Velibekov
Прежде чем писать такое, хотя бы поверхностно изучили бы стандарты.
У всех банков есть карты разного типа: базовая, золотая, платиновая и т.д.
У Сбера, по социалками и другим стремным недокартам, которые нигде больше в мире не принимаются — 50/500 (сутки/месяц)
Стандартные — 150/1500.
Золотые — 300/3000
Платина — 500/5000
И ваш Тиньков, по сравнению с лимитами Сбера — лишь жалкое подобие банка. Попробуйте снять за месяц хотя бы 1 млн.
eisaev
Я, даже покупая квартиру, не снимал наличку для этого, а перевёл с Тинькова по межбанку на нужный счёт в том же Сбербанке, открытый на моё имя для сделки. Без комиссий. Расскройте пожалуйста секрет зачем в современных реалиях снимать миллионы наличкой физ. лицу (кроме мутных схем конечно).
Velibekov
Ты находишься в городе Х.
У тебя розничный магазин на вмененке.
Поставщик твой в другом городе и заявляет, что если будешь покупать в наличку, то даст доп скидку в 5%.
Оформляешь на себя 2 золотые карты Сбера. Одну в своём городе, а вторую в городе поставщика.
В городе, где поставщик, находишь доверенное лицо, отдаёшь ему вторую карту он снимает в день по 300 тыс и как наберется 1,5 млн, несёт их поставщику. Месячный оборот получается 3 млн.
Человеку платишь за 10 снятий и 2 прогулки — 30 тыс.
Но при этом, сам выигрываешь: 3000х0,05=150-30=120 тыс/мес.
Вот конкретный пример, когда физлицо (ИП), являющееся честным налогоплательщиком, нуждается в снятиях/зачислениях по 3 млн/мес.
У Тинькова можно снимать только до 150 тыс/мес без комиссии.
Далее — 2%.
Следовательно, 3.000-150=2.850*0.02=57 тыс комиссии за снятия. (и 400 операций снятия денег, против 20 у Сбера).
eisaev
Данный кейс имеет право на жизнь, просто он не про меня. Спасибо за конкретный пример.
timelle
В 2014 году приняли закон, который обязывает слать деньги туда, куда вы пожелаете. По заявлению в бухгалтерию. Без исключений.
Большинство не пробует даже, только ноют о принудиловке.
Fagot63
Скорее не знает, вместе с бухгалтерией.
Insane11
Торговые организации, за зарплатный проект, могут получать скидку на эквайринг. Так что им проще найти более сговорчивого сотрудника, чем терять профит.
ploop
1-2 сотрудника погоды не сделают, остальным, как правило, пофиг: смска, банкомат,
пивнушка…a1ien_n3t
Всегда интересовал вопрос, а процент за перевод в межбанке не будет сниматся? Тоесть если пишешь заявление, то тебе обязанны всю сумму перечислить(работадатель из чих средст оплачивает комиссию за перевод)?
ploop
Снимается, и за счёт работника. Но у многих компаний есть счета в разных банках региона, это удобно для работы с ЮЛ и вообще по безналу, так что могут пойти навстречу, хотя маловероятно.
sumanai
А в 2017 приняли закон, что бюджетники должны получать только на карты МИР. Так что уже не куда пожелаешь.
DistortNeo
> А в 2017 приняли закон, что бюджетники должны получать только на карты МИР
Да, закон начинает действовать с 1 июля 2018 г.
> Так что уже не куда пожелаешь.
Ну так одно другому не противоречит. Что мешает в том же Тинькове завести карту МИР и попросить переводить деньги на неё?
sumanai
Нежелание пополнять статистику выданных карт Мир?
zikasak
ну переводите не на карту, а на обычный счет. Это оставили доступным.
sumanai
Знаю, так и собираюсь. Но лишний геморрой на пустом месте напрягает.
Meklon
Сегодня отнес заявление. Лицо скривили, но приняли
m1ld
МИР — это платежная система. А карты могут выпускаться любым банком, который пожелает этот МИР.
sumanai
Я знаю. Но мне нужна Visa, чтобы без проблем платить за покупки по всему миру, а не МИР, который суть есть выкидыш российского маразма и следствие дерьмовой внешней политики.
DistortNeo
Во-первых, это выгодно банкам. Стоимость операций для эквайеров почти на порядок ниже, чем у международных платёжных систем. Во-вторых, это выгодно торговым точкам — комиссии за эквайринг будут ниже.
И да, съездите в Португалию или Германию. Не уверен, что в мелких торговых точках вы сможете расплатиться Визой, потому что их владельцы принимают только местные карты из экономических соображений.
m1ld
К сожалению вы имеете мало представления о том, что такое платежные системы, кому они принадлежат и как финансируются.
По всему миру – попробуйте с визой, мастер, дайнерс, американ купить билет на поезд в Голландии. Вы будете сильно удивлены когда вас пошлют. Попробуйте купить сигареты в автомате в Германии с вашей визой.
sumanai
Имелось в виду в интернете, а не физически. Делал покупки в США, Японии- нет проблем.
zikasak
для этого МИР готовится выпускать кобейджинговые карты. Там где есть МИР, работают как МИР, а там, где нет — как карта другой платежной системы
sumanai
И нафига козе баян? Вот есть хотя бы одна реальная причина обычному человеку менять его Visa на МИР?
edtech
Этот закон практически не работает, т.к. работодатель в этом случае имеет право отказаться выплачивать з/п банковским переводом и начать платить наличными через кассу
907
Это теоретически… Моя бывшая фирма (две недели назад ушел на пенсию оттуда, чему несказанно рад !) была куплена частной корпорацией… Сразу же объявили что все идем в ихний банк, все пишут заявы в ихний пенсионный фонд, ну и в заключение: все вступают в профсоюз… Кто пытался что-то супротив сказать, сразу же лишили премии… Вот такая демократия…
ploop
Ну, по закону не могут. Просто заявление со всеми реквизитами в бухгалтерию и всё. Единственное — обслуживание карты (если платное) будет на вас, а не на организации, как в случае с зарплатным проектом.
Хуже, когда выбора нет, и единственный вменяемый банк в регионе — это сбер.
Eldhenn
По закону не могут. А по факту бухгалтерия в госорганизациях вроде школ и детсадов интересно относится к законам.
dmitry_dvm
Они просто работать не хотят.
ploop
Не всегда. Чаще сами работники, поворчав «на лавочке» как всё плохо, даже не пытаются написать заявление. Ну а основная масса банально не знает.
Есть тяжелые случаи (независимо, бюджетники или нет), когда руководство неофициально объявляет, что работаем только с этим банком, со всякими умниками с заявлениями будет отдельный разговор — тогда да, всё сложно.
Animegravitation
Дак Альфабанк самый дорогой банк из названых, а Сити и Райф есть далеко не в каждом городе, а Сбер есть практически везде.
Поэтому его и используют все, потому что всегда можно найти банкомат или отделение.
NINeOneone
1) Иногда стоит рассмотреть идею пожертвовать удобством, ради благой цели. В данном случае — снизить монополию сбера. Стараюсь принципиально не использовать сбер, если есть возможность. И вообще государственные предприятия.
2) Тинькофф позволяет пользоваться любым банкоматом. Не призываю пользоваться Тинькофф, призываю шире рассматривать варианты.
mayorovp
В теории — да. А на практике, "любой банкомат" может вашу карточку съесть.
ArtRoman
Точно так же и «не любой банкомат» может съесть карточку с тем же успехом. Тот же сбер, наверное, лидер в списке по количеству неисправных банкоматов, и с известным отношением к клиентам, так что пользоваться их банкоматами стоит осторожнее.
HappYCooL
Точно так же и банкомат Сбера может со своей сберовской картой поступить.
dimm_ddr
И если карточка была выдана в другом городе, то сбер радостно ее туда отправит. Когда я с таким сталкивался разговор был то ли о неделе, то ли о двух.
raid
Простите, просто очень неохота в один прекрасный момент разбираться с тонкостями системы страхования вкладов. Это самое важное. А так ещё у Сбербанка отделения и банкоматы на каждом углу натыканы, чего не скажешь про другие банки.
sHaggY_caT
Те банки, что я перечислила, они с около максимальными рейтингами. Если с ними что-то случится, то, скорее всего, АИЖК ничего не сможет сделать, т.к. это произойдёт где-то в ситуации банкроства всего государства, когда и у сбербанка будут проблемы.
KorDen32
Если в в дефолтсити или еще где в милионнике — сбербанком может и можно пренебречь.
А во многих городах кроме сбера, нормальное количество банкоматов-терминалов по городу только у газпрома/втб/уралсиба. А помня их ИБ (не знаю, может сейчас чего улучшилось, но как-то хороших отзывов не встречал) уж лучше пользоваться сбером.
Vilgelm
Тинькофф работает всюду, банкомат подходит вообще любой, в том числе и сберовский.
KorDen32
И прямо таки вообще без комиссий и внесение и снятие для дебетовой карты? Не верится как-то, что владельцы банкоматов, да тот же сбер, не имеют комиссий для чужих карт.
DistortNeo
Да, снятие наличных в любом банкомате прям таки вообще без комиссий, если операции в пределах месячного лимита в 150к. Есть только нюанс, что некоторые банкоматы выдают только по 10-15к за раз. Хотя та же Альфа выдаст за раз сколько сможет.
А вот пополнения через любые банкоматы нет. Можно пополнять через МКБ, можно через card2card, месячный лимит на пополнение 300к. При превышении лимитов берётся комиссия.
Кстати, комиссий нет совсем при безналичных переводах.
avlag
Речь человек вел про ДЕБЕТОВЫЕ карты. Я тоже однажды клюнул на тинькова. Только выяснилось что бесплатное пополнение работает исключительно для кредитки. И никто нигде это не пишет.
С тех пор мне периодически звонят их манагеры, но никто еще не сумел ответить на вопрос о разнице в пополнении кредитной и дебетовой карт.
rombell
вчера бесплатно пополнил дебетовую Тинькова переводом с почты.
Перед этим несколько раз пополнял бесплатно засасыванием денег с других карточек. Пока что сервис устраивает вполне
avlag
Как только я получил карточку Тинькофф'а, я тут же пошел ее пополнить. Однако платежный терминал МКБ послал меня. И девочка, которая стояла в офисе банка ничем не смогла помочь. Т.е. пополнить дебетовую карточку через терминал я не смог вообще.
Последовала попытка перевода с МКБ на эту карточку. Оказалось за процентик.
В устном разговоре господа из Т-банка сказали, что тарифы по бесплатному пополнению работают исключительно для кредитных карточек.
dmitry_dvm
Хрень какую-то вам сказали, судя по всему. Постоянно пополняю через Связной и всё хорошо, дебетовая, комиссии нет.
avlag
Меня очень радует такая категоричность. Вы считаете, что я все это придумал и обливаю грязью достойный банк?
dmitry_dvm
Я считаю, что либо вам сказали недостоверную информацию, либо через МКБ (что это?) действительно есть комиссия, в отличие от множества других точек приема. Из какого моего высказывания следует, что я вас обвиняю во лжи?
avlag
Давайте завяжем с этой темой.
МКБ — это московский кредитный банк. Через терминалы которого у Т-банка (в то время) было отдельно заявлено бесплатное пополнение.
Я, к сожалению, не могу поднять историю платежей. Карточка уже закрыта, с которой делались переводы в Т-банк и за которые я платил комиссию. Хотя, опять же, отдельно было заявлено, что из этого банка перевод д.б. без комиссии.
arandomic
Видимо Вас ввело в заблуждение что-то из формулировок других комментаторов.
У Т. бесплатно пополнить можно дебетовую карту только несколькими основными способами:
т.н. высасыванием — на сайте Т, вы вводите данные карты (любого банка), с которой хотите вывести деньги, и Т делает c2c запрос. Для вас это будет выглядеть как платеж с карты другого банка.
пополнение через различные сети типа связного/евросети — в их терминалах и через кассу. (Не путать со связной-банк.)
В некоторых банках — бесплатный межбанковский перевод по номеру счета. (зависит от банка, возможно)
Через банкоматы и терминалы других банков бесплатного пополнения никогда не было и вроде не предвидится, тут Вы правы.
edtech
Через платежные терминалы МКБ пополнение наличными кредитных и дебетовых карт Тинькова всегда было и остаётся бесплатным. Судя по всему, avlag пытался делать пополнение с какой-то другой карты, за что с него взяли комиссию.
rustavelli
Карточка уже закрыта, с которой
Вот тут и ошибка… Тиньков же не может навязать свои прекрасные тарифы другим отсталым банкам. Поэтому данные карты МКБ надо вводить на сайте тинькова, а не наоборот.
Mogwaika
Дебетовую пополнить бесплатно до 200к в месяц через связной и других партнёров, 20к пересасыванием с других карт кажется…
avlag
Не буду спорить, возможно Т-банк изменил условия.
Mogwaika
Видимо давно, я уже года 4 так пополняю.
NoEndOutcry
Бред какой-то, пользуюсь именно дебетовой тинькова без всяких овердрафтов, пополняется без комиссии в любом связном, евросети, мтсах, мегафонах и еще в 100500 местах, что-то вас разводят.
jetexe
не смогли потому что её нет. Пополняю через терминалы, переводом с других карт (через интерфейс Тинькова), пару раз ка кассе в Евросети. Ни копейки комиссии
Nicks_TechSupport
Не несите чушь. У ТКС банка пополнение дебетовки бесплатное без всяких комиссий. А через их ИБ можно методом card2card сливать деньги с других банков также без %.
Разумеется, за лимиты выходить не следует.
И да, снятие в ЛЮБОМ банкомате страны от 3 т.р. также без %.
Mogwaika
Сбер — 7500.
vlivyur
Такой ещё поискать нужно. Обычно 5.
Mogwaika
Попробуйте ввести сумму самостоятельно.
vlivyur
Я про это и говорю. Когда нажимаешь «Другая сумма» тебе словами пишут максимум. Обычно там 5000, на некоторых банкоматах 7500, но их не так много.
Ziptar
Всегда снимаю по 4 в несколько приёмов. Пятитысячные купюры — всегда головная боль.
Vilgelm
Снятие без комиссии, от 3к до 150к в мес. И еще бесплатный межбанк через ИБ. Пополнение бесплатное через их c2c сервис (есть момент, что банк с чьей карты будет производиться списание может брать комиссию, но так мало кто делает для дебетовых карт, на ум только Промсвязь приходит), так можно вытягивать некоторые кредитки в грейс (с Бинбанком работает, например).
Сама карта условно-бесплатная (если лежит 30к и больше, то за обслуживание не берут, если ей не пользоваться (0 операций в месяц), то тоже не берут), есть небольшой кэшбэк и какой-то процент на остаток. Да, еще курс валюты околорыночный (лучше только у БКС).
Это не самая лучшая карта в мире, но если сравнивать со Сбером, то всё таки она выигрывает.
Да, на карте еще есть PayPass (отличная штука, у Сбера я карт с ним не видел, хотя может быть что-то изменилось).
KorDen32
Околорыночный курс валюты? Может у дебетовых по-другому, но для кредитных у ТКС издавна был достаточно высокий курс (банковская карта Я.Д. с момента их появления, а они до лета 2016 были ТКС).
PayPass у сбера ЕМНИП в начале 2016 появился для премиальных карт, постепенно дошел до золотых и классических. С мая 2017 уже все Visa/MC идут с NFC. У ТКС он был издавна, да. (если не ошибаюсь, с 2013 уже карта Я.Д была с paypass)/
Vilgelm
У дебетовых конечно же, кредитки у них не выгодные вообще.
Meklon
У меня с 2016 PayPass. И не премиум, а обычный MasterCard classic. Одна беда, видимо конкретная карта с дефектом антенны. Иногда работает отлично, иногда неделями не читает бесконтактно. Странная девушка в отделении предложила избегать ношения телефона в одном кармане с картой. А концепция бесплатной замены сломанного устройства ей разрушило мозг, кажется. Карту она как устройство не воспринимала. Получить тоже было сложно. Персонал не понимал, что от них хотят.
ploop
Ну, если забить на принципы, карту можно просто «потерять» и перевыпустиь. Правда заплатить придётся.
lexxair
сберовский PayPass у меня не сработал ни разу.
HapH
Была проблема с payWave на первой карте Тинькофф, не всегда и не везде читало, а потом и совсем перестало читать. Заменили без вопросов и бесплатно.
TRIMER
Он хорош пока вам не потребуется сделать то, что онлайн сделать нельзя. Ну, например, закрыть карту :) (личного опыта не имел, со слов друга)
betrachtung
Как пользователь Сбербанка, Райффайзена, Тинькофф-банка и, в некоторой степени, банка Билайна, я считаю Райффайзен худшим из перечисленных. Сбербанк средненький — что уже является огромным прогрессом по сравнению с тем, что он из себя когда-то представлял.
sHaggY_caT
По моему личному опыту, лучший ситибанк среди райфа, авангарда, сбербанка, втб24. Райф второй.
Рейтинг составляла не по наличию проблем, а по реакции системы не проблему(так как проблемы неизбежны, если чем-то пользуешься часто). Ситибанк перезвонил сам, когда я спешила на сапсан, когда банкомат съел 5 тысяч рублей.
Все претензии, что я им выкатывала(это было трижды) они признавали проблемой со своей стороны, и извинялись, или платили какие-то компенсации морального ущерба.
Райфаззен показался довольно гибким и юзерофильным банком, но я перестала пользоваться их услугами, после того, как они без предупреждения убрали международную туристическую страховку из пакета услуг, который я у них покупала. Но в целом, на голову выше остальных банков, кроме ситибанка. Разве что они, по-моему, слишком следуют регламенту во всех случаях.
Сбербанк и втб24 ужас-ужас! В сбербанке я один раз чуть не упала в обморок от духоты(к счастью, помогли выйти на свежий воздух, когда я села на пол), когда у них в очередной раз сломалась электронная очередь, и в маленьком помещении банка набились старушки и все остальные, и опять воцарился хаос, как у них бывает регулярно.
vlivyur
Сити — ужасный банк, ужасный интернет-банк, да и его распространнённость (позакрывал все банкоматы не в отделениях и половину отделений) не оставляет ему шансов. Если ты не зарплатный клиент, то плюшек совсем не будет — деньги будут браться за всё.
sHaggY_caT
почему?
vlivyur
Года три назад у меня был длинный список, сейчас буду пробовать восстановить:
Нет бесплатного телефона 8800 — есть у вас 812, туда и звоните. Минут 10 ожидания.
Самостоятельно подписали на смс уведомления, при этом смс об их оплате не приходят совсем (целый ряд списаний оказывается никак не отражается в смсках). Косяк признавать отказались.
Эти уведомления (раньше ещё были на e-mail) приходили как попало: то и туда и сюда, то только в одно место, то вообще никуда.
Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.
ИБ на скриптах и с плохим интернетом даже баланс не посмотреть.
13 числа в пятницу (конечно не только 13го, но дважды совпадало) уже в 14:00 нельзя переводить деньги в другой банк в тот же день, только на следующий рабочий день. При этом легко может оказаться что это будет вторник, а не понедельник. При этом окошко в ИБ будет тебе говорить что перевод в тот же день возможен только в рабочие дни и в рабочее время.
Навязчивые телефонисты — раз в месяц стабильно звонили.
Кредит не взять если нет загранпаспорта (это со слов товарища, сам не проверял).
Льготные кредиты (зарплатный проект) дороже, чем в Сбере для простых смертных. То же и в кредитках.
Анкета на получение карточки на 4 листах со странными вопросами.
Есть скидки в магазинах при оплате их картой. Но чем дольше пользовался, тем меньше моих магазинов оставалось.
Есть странный кэшбэк, но работает только с кредиткой.
Ну и сворачивание деятельности: оставили несколько компаний у себя и свернули половину офисов, убрали все банкоматы, что не в офисах были установлены (раньше ещё хотя бы в крупных ТЦ были).
Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия), но два бесплатных снятия в месяц в чужом банкомате.
Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.
dewil
Тоже выкинул карту Сити
sHaggY_caT
?? У меня с мужем всегда доходят мгновенно. Очень часто друг другу отправляем
Никогда не звонили не по делу
Я у них селектами пользуюсь.
На селекты купили: смартфон маме в Мвидео, два монитора, навороченную мышку мужу, и один авиабилет
Это как??
У Вас какой-то другой сити :(
shurricken
все-таки надежность Сбера, увы, много выше других… из-за этого вобщем-то и все проблемы… нет конкуренции.
Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть, АСВ может прогореть и введут какие- то меомрандумы, лимиты, временные моратории и списания… а сбер… закроют последним… увы…
907
>>>Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть
Вы всерьез думаете что банки закрываются только в результате кризиса?
У нас каждую неделю закрываются по несколько банков, и кризис тут ни при чем…
Просто поступила команда — уменьшить количество банков, вот эта команда и выполняется…
А вот сколько в итоге банков останется, знает только человек, отдавший команду на их сокращение…
А ваша мысль насчет держания денег в сбере очень даже разумна, он не закроется НИКОГДА…
vlivyur
Ну ВТБ ещё скорее всего тоже дотянет до конца. И распространённость немного меньше, чем у Сбера.
shurricken
ну да ВТБ, тоже… но вот, к примеру Банк Москвы, как я понял все-таки были мысли прикрыть, так и ВТБ прикроют предпоследним… в случае северного зверька, притом что Сбер могут все-таки оставить в этом случае.
zikasak
Юр. лицо Банк Москвы (оно теперь именуется БМ-Банк) теперь лишь держит плохие активы. Для обычных пользователей его давно не существует. Все переведены в ВТБ (хоть и в бренде и оставили упоминание Банка Москвы).
PS. А в январе 2018 не станет и ВТБ24
river-fall
Надежность сбербанка отлично подчеркивает 1991 год, когда обесценились вклады населения всего государства
shurricken
причем тут 91-й?? это был другой мир, другая страна… других банков не было кстати… да и обесценились, но не изымались опять же…
ploop
Когда наличка под матрасом тоже обесценилась, банк виноват?
vlivyur
Так он вроде всё сохранил до копеечки.
nafikovr
ну, во-первых, баннерорезки таки не средство безопасности и в статье указано что режут они только часть запросов.
во-вторых, я тоже пользуюсь баннерорезками только там, где баннеров полный перебор. так как считаю удаление баннеров неуважением к ресурсу, который за счет них живет.
Radjah
> они только часть запросов
Добавить в фильтры то, что не отрубилось.
> который за счет них живет
Для этого обычно есть донат.
burzooom
тем самым запутывая рекламодателя — просмотры есть, а клиентов нет.
Если не отключаете баннеры только из-за желания поддержать автора… лучше так не делать.
nafikovr
То естья по вашему должен по каждому баннеру кликать? Это еще больше запутает рекламодателя.
Да и вообще. Почему сразу клиентов нет? Реклама контекстная, так что временами даже интересная.
burzooom
нет. если вы не пользуетесь контекстной рекламой, то отключите ее и не испытывайте угрызений совести.
это ровно то же самое, что ходить на концерты местного хора единственным зрителем из жалости к ним. То есть, вроде как слушаете, но если они вдруг в шутку скажут «а мы больше не будем выступать», то с радостным криком «наконец-то», побежите из зала.
nafikovr
что значит не пользоваться рекламой? если среди 1000 показов я увижу интересную для меня вещь и из 1000 таких интересных вещей я одну-две куплю — это я пользуюсь или из жалости смотрю? покупатель рекламы сам решает кому и что показывать. если попадание в цель 0.001% и но не окупается то это уже его проблема.
burzooom
обычно нужные вещи начинают мелькать вы рекламе после первого же оценочного запроса в поисковик.
nafikovr
ну как бы на то она и контекстная
Frankenstine
А на нужный товар реклама начинает сыпаться после его покупки :)
Radjah
Судя по реакции на этот мой коммент, местное население предпочитает охать и истерить вместо любых попыток обезопасить себя своими же руками.
rednikze
«Охать и истерить» — это неотъемлемая часть построения правильного гражданского общества. Нельзя проблемы касающиеся интересов общества скрывать, замалчивать и обходить стороной. Да, можно и нужно заботиться о личной безопасности и цифровой гигиене, но точно так же нужно не оставлять такие случаи без внимания, иначе все может так и остаться.
Radjah
И поэтому надо писать
в спортлотона ГТ, а не в саппорт Сбера. Так победим!olegon-ru
Вы не очень внимательно читали. Я до того, как написал сюда, пытался найти этот самый саппорт Сбера.
На почту не ответили, в FB сначала отписку бросили, на видео не ответили.
В розовых единорогов я перестал верить раньше…
nikolayv81
Наверное вы меня неправильно поняли, либо я недостаточно ясно выразился, я как раз хотел написать, что в поддержку сбера писали много раз и много людей по данному поводу.
danyaShep
Если банк-посмешище, пусть эта информация будет публичной. Их саппорт самый некомпетентный из всех, что я пробовал (тинькофф, точка, открытие, связной)
Aleksi
Сейчас обнаружил Google Analytics в Точке :(
Aleksi
https://comment.userecho.com/topics/562-vneshnie-skriptyi-google-analytics-i-drugie-na-stranitse-banka/
Frankenstine
А у кого его нет? :)
Aleksi
В Альфа Клике, например, ничего внешнего нет, всё с его серверов грузится.
dimm_ddr
В банке Санкт-Петербург в личном кабинете я вчера не нашел тоже. На главной странице есть, в личном кабинете — нет.
dom1n1k
До Деда Мороза достучаться вероятнее.
Прямо так и вижу эту картину: «У вас в личном кабинете куча опасных скриптов» — «Ай-ай, какое безобразие, уже убираем! Спасибо вам за сигнал!»
kostus1974
на практике можно говорить, что не существует никакого саппорта у сбера. саппорт у них занят только поддержкой работающего открытого функционала (клиент не знает, куда нажать и т.п.).
и с чего вы опять берёте, что что-то здесь происходит «вместо»? в жизни чаще происходит не «вместо», а «вместе». и автор заметки об этом прямо написал — он написал, что обращался в службу поддержки.
nikolayv81
Есть способы выйти на начальника смены в том же колл центре, на таком уровне вопросы решаются уже более качественным образом, по крайней мере сообщают что реально можно сделать а что вероятно так и останется нерешённым по заявке, ещё можно достучаться до руководителя отделения, там тоже люди с хорошим опытом и определёнными полномочиями, это из того с чем самому приходилось сталкиваться, но для этого для начала самому нужно оценить реальность решения своего вопроса в организации такого масштаба.
nikolayv81
Я думаю если бы Сбер не поленился и посчитал такие запросы, то их было бы сильно больше одного, причём они(вроде) убирали аналитику гугла, но потом она опять всплыла. Увы безопасники в крупных банках весьма выборочно подходят к популярной в нынешнее время теме конфиденциальности пользовательских данных.
Есть сервисы которые защищены по полной, а есть интернет банк и мобильное приложение(а в случае сбербанка ещё включённый по умолчанию мобильный банк на волшебном номере 900, через который трояны вполне могут тащить деньги)
Cast_iron
Можно поподробнее про кражи с «мобильного банка» Сбера? МБ пользуюсь, а приложение Сбера не ставлю из (своих параноидальных) соображений безопасности. Андроид.
Chamie
Но за достоверность истории не ручаюсь (а гуглить лень).
Velibekov
Украли мою мобилу. Сразу заблокировал симку, на следующий день восстановил номер.
И при попытке активировать приложение на новом телефоне, получил от Сбера СМС с просьбой верифицировать новую симку.
Позвонил в банк, ответил на кучу вопросов оператора, после чего они верифицировали мою новую симку.
После этого смог продолжить пользоваться Сбером.
То же было и с Ситибаном.
Ноябрь 2015 года.
zikasak
блокировка смс при смене сим работает не всегда.
у меня один раз заблокировало через несколько месяцев…
YMA
У меня ни разу не блокировало. Один раз после замены симки (микро на нано) пришло СМС — «мы заметили, что вы поменяли симку, позвоните в колл-центр, иначе мы всё вам отключим». Не позвонил — хотел проверить. Ничего не отключили.
kostus1974
из каких это постов вы поняли, что «истерят» именно «вместо»? я пользуюсь и сбером, и резалками. теперь буду ещё осторожнее. по возможности — через кассу с тётечкой.
просто заметка хороша и по изложению, и по детализации. вот и реакции достаточно бурные.
не волнуйтесь: все всё поняли правильно.
rustavelli
«через кассу с тётечкой.» это совковое убожество берет еще больше комиссий, чем обычно.
kostus1974
я про отделения сбербанка говорил. (разве там берут комиссию?)
rustavelli
в кассе сбера:
1,5% мин. 30 руб. макс. 1000 руб. перевод на дебетовую карту другого клиента сбера за пределами одного города (онлайн за ту же операцию дерут 1%)
4% за обналичку карты другого банка.
Velibekov
Если вам надо регулярно переводить в другой город — откройте ещё одну карту, в том городе.
Далее, через Сбербанк-онлайн, переводите со своей карты на свою другую (без комиссии) и со своей другой переводите нужному человеку (опять же, без комиссии).
dewil
я могу ошибаться, но без комиссии в другой город это будет только в пределах макро-региона.
Velibekov
Читайте внимательнее!
Если вы переводите деньги внутри своего аккаунта, с одной карты на другую, то нет никакой комиссии!
ploop
Да, такой хак вроде работает, но проблема одна: откройте ещё одну карту, в том городе. То есть хоть раз физически надо сгонять в другой регион (внутри одного смысла нет, и так без комиссий).
Velibekov
Живу в Москве.
Родители в другом регионе.
При очередном посещении родителей, открыл карту.
Как минимум, годовое обслуживание окупается за счёт экономий на комиссиях при переводах.
В дополнение получил дополнительный инструмент: держу на ней 3-5 тыс руб и использую для интернет-платежей. И если не взломают, то не много потеряю.
Основные средства держу на другой карте, которую кроме как в банкоматы и терминалы Сбера (внимательно убедившись в отсутствии дополнительного левого оборудования), больше никуда не сую.
Velibekov
*и если взломают
rustavelli
Проблема решилась двумя тиньковыми. Совет у вас так себе. Во-первых надо поехать в другой город, во-вторых если с картой что-то случилось, надо снова ехать в другой город. И вообще если хоть что-то от банка нужно, надо идти в офис в другом городе.
А я не знаю, зачем мне куда-то ехать, если есть интернет.
При этом при всем терпеть худший сервис и никакущие условия по этим двум картам.
alcr
Курган — Тюмень Тюмень-Екб Курган-Екб комиссия есть. В топку этот сбер, больше ни на что не годится
vlivyur
Потому что области разные.
alcr
а что тогда у сбера является «макро-регионом»? dewil
dewil
Питер в Северо-Западном находится.
Москва — Центральный.
Ростов н/д — Южный.
Вот между этими регионами комиссия есть, а внутри них нет.
YMA
Сибирский банк Сбера — Новосибирск, в его ведении находятся Кемеровская область и Алтайский край (и еще ряд регионов), между ними переводы карта-карта идут с комиссией.
PS: Но есть лайфхак — можно в Кемерово на алтайскую карту внести в Сбере деньги по номеру банковского счета, платеж будет идти дольше, но без комиссии ;)
dewil
лайфхак, это ножками в отделение топать?
token
Ага, в кемерово
dewil
Спасибо, я за хайтек, пусть даже с комиссией.
YMA
Чтобы топать в отделение, нужно:
— остаться без счета/карты в банке с дешевым межбанком;
— увидеть комиссию больше, чем стоит ваше время. Ладно, если 1000 перевести надо, а если 1000000? Меня жаба задавит отдавать 1500 комиссии ;)
— иметь отделение сбера на расстоянии 100 метров.
YMA
PS: Пропустил время на редактирование комментария ;)
А вообще я про регионы писал, чтобы показать структуру сбера — платежи карта-карта идут с комиссией, если регионы выдачи карт отличаются, даже если они относятся к одному тербанку. Платежи по номеру счета идут без комиссии в пределах тербанка (несколько регионов).
Между тербанками переводы без комиссии идут со своего счета на свой (я так друзьям транзит устраивал — у меня карты разных регионов есть, и они через меня деньги на нужный регион переводили бесплатно).
alcr
Клиент, сломай себе мозг пытаясь понять за какие переводы будет комиссия, а за какие нет. И вообще, комиссия за переводы внутри «федерального» банка — это показатель отношения к клиенту (и да, я знаю что это кучка мелких банков под одной вывеской, только накойхрен они такие нужны?)
dewil
Тут уже кому что важней и удобней.
olegon-ru
К сожалению или счастью, баннерорезки тоже делают люди. Я предпочитаю видеть сайт так, как его задумал автор. Было много неприятных ошибок вмешательства резаков в процедуры регистраций и отправки данных. Но и это всего лишь мое мнение. У Вас оно может быть совсем другим. Думаю, что до поры, до времени.
dom1n1k
Глюки действительно иногда бывают. Но в сравнении с количеством г-на, которое они вычищают, это примерно как муравей против стада слонов. Гораздо лучше держать включенными всегда и изредка добавлять исключения.
olegon-ru
Не спорю, я просто практически не посещаю, например, новостники, которые вот этим всем загажены.
Тут уже особенности и привычки. У меня список посещаемых ресурсов достаточно невелик, все они с историей и с уважением относятся к посетителям. В результате муравьев становилось гораздо больше в пропорциях к одному слону, а, главное, эти муравьи возникали очень неожиданно, когда забывал отключать резак и про него вообще забывал.
Radjah
Если только сайт не завязал свои скрипты на рекламную начинку, или его авторы не нагадили в список фильтров. Я и такое видел.
Daar
А зря, как раз там можно много чего порезать лишнего. Бывает у некоторых на компах заходишь на сайты и становиться страшно от количества рекламы, хотя у меня на этих же сайтах её нет вообще или по минимуму.
Markscheider
Итить…
А вкладка «инкогнито» в браузере ситуацию не улучшит? Просто я, как и вы, баннерорезками не пользуюсь…
Markscheider
Поясню чуть подробнее. В силу некоторых ограничений на ноуте можно ходить в инет либо из хрома, либо через ТОР. Вот я и прикидываю возможные варианты. Если все это напрасно — то тогда вообще не буду в ЛК заходить с этой машины…
olegon-ru
Все это напрасно, поскольку данные отображаются на самом сайте СберОнлайна. И заберутся оттуда, независимо от того, какой IP будет у Вас. Баннерорезак в данном случае лишь попытка простым способом отключить скрипты, которые пользователю не нужны.
Markscheider
О, мощные минуса. На ГТ теперь стало неуместно задавать вопросы по теме?
«Пропал дом!», (с) проф. Преображенский
welcomerooot
Не улучшит.
Anarions
Вообще никак не повлияет. Режим «инкогнито» — это режим в котором ваш браузер не оставляет следов в вашей истории. На всё остальное это никак не влияет. Его правильнее было бы назвать «режим с выключенной историей», потому-что люди, порой, неверно понимают его назначение.
NaHCO3
«режим с выключенной историей»
Если одним словом, то это называется «режим амнезии».
redmanmale
Порномод же.
ploop
inkvizitor68sl
Не совсем. Изначально оно позиционировалось как режим «без старых кук и истории». То есть в головах у создателей этого режима вы приходили на сайт «инкогнито» (с точки зрения владельца сайта). Понятно, что оставалось сочетание UA/IP, но добросовестные сайты и не используют эти данные для идентификации.
Это потом уже появились flash-куки, идентификация по рендерингу canvas и прочие хитрости, из-за которых идентифицировать реального пользователя с почищенными включением инкогнито куками стало не проблемой.
Так что теперь все называют этот режим «порно-режимом».
(впрочем, с ситуацией на видео не поможет, но это надо семь пядей во лбу иметь, чтобы эти счетчики перехватить и вставить свои скрипты — как минимум нужно свой корневой CA в систему жертве протащить). Хотя всё это не отменяет того, что гугл в один прекрасный день решит использовать свою метрику как всеобщий кейлоггер.
olegon-ru
К сожалению, если рассматривать вирус или админа домена, то задача становится очень просто реализуемой и при этом снаружи не будет никаких симптомов вмешательства.
А так, да, суть статьи была в том, что те, кому доверяют, ничем не обязаны Сбербанку, как и все их сотрудники. Не вижу причины, почему бы Google не заинтересовался таким подарком, позволяющим мониторить (в сугубо внутренних целях и без огласки наружу) платежи крупнейшего банка России. Вторая часть — это то, что кое-кому внутри, возможно, хотелось бы у Google эту инициативу перехватить. Если уж совсем дальше двигаться, то кое-кто может и сам себе сертификаты выписывать. Уже были прецеденты.
mayorovp
Админ домена может и сам сайт интернет-банка подменить. Да и гуглу устраивать атаку на банки опасно для репутации.
Куда реальнее другой вариант, когда одну из этих метрик попросту взламывают.
nikolayv81
Почему вы считаете что данные странички не могут учитываться гуглом в метрике "состоятельный клиент" которую он в обезличенном виде продаёт рекламодателям, ведь устанавливая на сайт его службы вы соглашаетесь с тем что анонимизированные ваших клиентов могут использоваться на усмотрение крупнейшей рекламно-поисковой площадки?
Cryvage
В Firefox в приватном режиме есть защита от отслеживания. Об этом написано прямо на начальной странице приватного режима:
Насколько хорошо это работает не знаю. Большая часть всякой аналитики у меня и так вырезана.
Anarions
Скорее всего обламывается отслеживание одного конкретного юзера по кукам. Сами скрипты не вырезаются.
a1ien_n3t
Неправда. В инкогнито Firefox блочит гугловскую аналитик. Возможно что-то еще.
Anarions
Зря минусуете человека — у ФФ и вправду есть такая фишка. Блокирует адреса известных трекеров.
https://support.mozilla.org/en-US/kb/tracking-protection-pbm
vlivyur
Не только в вашей, но ещё при этом он не делится с серверами вашей имеющейся историей. Примерно как очистить куки и историю посещений и зайти на сайт, а при закрытии вкладки повторить.
sevikl
как будто в «инкогнито» вы не будете авторизоваться для операций в сбербанк-онлайн.
mayorovp
Вкладка инкогнито никак не защищает вас от отслеживания в на том сайте, где вы сами ввели логин и пароль.
Этот механизм может помешать сопоставить ваши профили на разных сайтах, если вы перезапускали режим инкогнито между заходами туда, но в пределах одного сайта механизм "анонимных" вкладок не работает никак.
swelf
Странно что сторонние скрипты вставляют в такую интимную вещь как ЛК, я понимаю ТП которая не понимает что почем, отписалась, но вставляли то скрипты программеры.
gibson_dev
Ghostery — и нет проблем) Ну а баннеры смотерь — на свой вкус
Ryav
Почему не uMatrix, который советуют ниже? Вроде функциональнее же.
AmberSP
с ним онлайн-банк Промсвязьбанка не может.
Да и вообще в какой-то момент Ghostery стал больше проблем доставлять, чем пользы
Vilgelm
disconnect.me есть еще, с ним Промсвязь работает. Правда Яндекс.Карты придется руками разрешить, а в целом проблем не доставляет, просто режет всю телеметрию.
izzholtik
Каким образом вы перехватываете ввод?
Mnemonik
подмена одного из того списка с которого сайт грузит скрипты где-то между вами и интернетом на свой хост, и раздача с него скрипта типа
object.addEventListener(«keydown», function(event) { console.log(event.keyCode) });
ну или любой друго вариации того же кода.
мест которые подменяют что-то между вами и интернетом — полно. тот же самый провайдер для показа страницы «сайт заблокирован роскомнадзором» вмешивается в ваш трафик.
Losted
Хм, а как подмену сертификата оранизовать? Они же по https раздаваться должны
Mnemonik
Именно за этим они и придуманы, сертификаты, чтобы не подменяться, но кого это останавливало? Ну будет источник недоверенный с какого-нибудь rutarget.ru, большое дело…
Losted
И чем это будет отличаться от полной подмены сайта в таком случае?
olegon-ru
Подмену никакой делать не надо. Нужно просто внедрить доверенный сертификат на машине жертвы, либо обладать возможностью подписывать сертификаты у доверенного центра. Тогда все браузеры будут верить, что любой HTTPS-сайт может лежать на вашем сервере.
Apathetic
Тогда какое вообще имеет значение, откуда грузятся скрипты? С внедренным сертификатам можно подменять хоть собственные скрипты сайта. Нужно разделять проблему возможности подмены скритов и проблему слива данных сторонним сервисам.
norlin
Проблема в том, что "сторонние сервисы" по собственной воле могут взять и начать записывать данные. Без какой-либо подмены.
Apathetic
Да. Я и говорю, что это две разные проблемы.
norlin
Да, но в данном случае подмена была использована лишь чтобы продемонстрировать "основную" проблему.
Zavtramen
А что в таком случае помешает перехватить сам сайт сбера и выдавать фишинговую страницу? К чему тогда вообще сложности со сторонними сервисами? Я не особо разбираюсь в этой теме, но подозреваю что если кто-то может получить доступ такого рода, то сделать он может что угодно и с чем угодно. Сбер не защищаю, сторонние счетчики не должны жить на страницах с приватной инфой.
a1ien_n3t
Ну у сбера EV сертификат. И его очень сложно подделать.
a1ien_n3t
А можно узнать что не так с комментарием? Может вы знаете как легко получить EV сертификат на любой домен?
mayorovp
Так же, как и обычный. Добавить в хранилище трояном, политиками домена, взломать любой центр сертификации, купить у коррумпированного сотрудника или надавить со стороны государства.
Прецеденты же уже были.
a1ien_n3t
Как я уже писал ниже. Добавление в хранилище не дает возможости получить EV серт. Чтобы была зеленая плашка от EV серта нужно непросто добавить свой сертефикат в доверенные. Нужно также изменения в самом браузере.
Понимаете что EV гораздо труднее подделать.
Очень мало реальные сценарии.
mayorovp
Спасибо, не знал что там в EV дополнительная проверка. Но последние три варианта остаются осуществимыми.
a1ien_n3t
Ну это не совсем прецеденты. Если разобрать все ситуации мозиллы и почитать официальные ответы от startssl, то становится ясно, что да они накосячили(конкретно startssl). Но совсем немного. Там только пару нюансов с косячной выдачей DV сертов. Но на то они и DV.
Еще не было вроде ни одного прецедент с EV сертами. Так-как за это такое можно очень сильно отхватить поэтому EV всегда и выдается вручную. И наверняка там требуется согласование не одного сотрудника.
Да 100% защиты нету. Но все таки EV подделать на порядок сложнее, что я и говорил в своем первом коментарии.
olegon-ru
К сожалению, не было возможности снять видео о действительно неприятных вещах, т.е. том, что можно забрать изнутри личного кабинета. У многих сложилось впечатление, что речь идет только о воровстве пароля. Фишинговая страница сбера украдет пароль, который все равно надо будет подтвердить через СМС.
Подменой чужих скриптов можно будет видеть все, что будет видеть пользователь и забирать весь его ввод.
На фишинговой странице пользовательских данных не будет.
WraithOW
Если есть доступ к сертификатам на машине — можно сделать полноценный mitm, проксируя запросы через себя, сохраняя ответы (в том числе токены), подменяя любые скрипты и далее по пунктам. ИМХО это даже проще, чем мастерить фишинговую страницу. Говорить в таком контексте об «уязвимых сторонних скриптах» — всё равно что затыкать течи в разломившемся пополам корабле.
anatolix
А можете раскрыть тему, куда нибудь выложить как это делается, вы точно подменили внешний скрипт, а не кусочек страницы сбербанка? Просто есть такая штука same origin policy, которая запрещает элементам странички с разных доменов ровно такие штуки делать. С одного домена можно.
anatolix
Если минусуете, комментируйте pls, что не понравилось
olegon-ru
Я не минусовал, но ниже уже писал, что не могу выложить суть проделанного, чтобы не привлекать внимание злоумышленников. В свете того, что Сбербанк сейчас занимается мной вместо того, чтобы хотя бы на время разбирательств убрать скрипты, кто-нибудь может действительно поснимать данные, которые ему не предназначались.
mayorovp
Не вполне понятно как SOP защищает от этой атаки. Если на странице есть тэг
<script src="...">— то он будет загружен и выполнен независимо от домена.От добавления левого внешнего скрипта может спасти CSP — но от подмены существующего скрипта не спасает ничего.
Впрочем, все это ерунда, потому что вместо подмены скрипта можно с тем же успехом подменять саму страницу сайта.
olegon-ru
Если говорить о конкретно случае на видео, то пользовался
кстати, еще не проверил откуда jquery грузят…
Мне не жалко было бы рассказать все в подробностях, но как бы кто-нибудь за взлом не привлек. Дураков-то хватает…
buggykey
Ну, я думаю, что если закрасить на видео всю инфу, позволяющую идентифицировать Вас как пользователя сбера и как личность — никто Вас не привлек бы, а видео получилось бы просто отличное!
Hellsy22
Как временное средство может помочь Privacy Badger — он регулирует работу с ресурсами третьих сторон, позволяя на лету их разрешать, ограниченно разрешать (только куки) или запрещать.
x893
Не только сбер этим занимается, 99.9% других тоже не брезгуют, Потом правда начинают говорить, что они тут не виноваты. Я давно уже все подобные сайты прописываю в hosts
0.0.0.0 doubleclick.net
и прочие
Года два назад на хабре подымалась эта тема, но видиму сберу зачем то это надо.
Woit
реквестирую ваш hosts для запиливания оного на своем компьютере
x893
Такой у меня hosts
0.0.0.0 mc.yandex.ru
0.0.0.0 an.yandex.ru
0.0.0.0 banerator.net
0.0.0.0 ads.electronix.ru
0.0.0.0 counter.yadro.ru
0.0.0.0 mg.yadro.ru
0.0.0.0 adriver.ru
0.0.0.0 ad.adriver.ru
0.0.0.0 partner.googleadservices.com
0.0.0.0 imgg.marketgid.com
0.0.0.0 marketgid.com
0.0.0.0 c.marketgid.com
0.0.0.0 st3.recreativ.ru
0.0.0.0 c.imrk.net
0.0.0.0 w1010.am15.net
0.0.0.0 jsc.marketgid.com
0.0.0.0 counter.marketgid.com
0.0.0.0 yandex.st
0.0.0.0 recreativ.ru
0.0.0.0 w1120.am15.net
0.0.0.0 am15.net
0.0.0.0 c.100im.info
0.0.0.0 content.rbc.medialand.ru
0.0.0.0 engine.rbc.medialand.ru
0.0.0.0 www.tns-counter.ru
0.0.0.0 hgads.ru
0.0.0.0 googleads.g.doubleclick.net
0.0.0.0 www.googleadservices.com
0.0.0.0 pagead2.googlesyndication.com
0.0.0.0 kimus.ru
0.0.0.0 st.ladycash.ru
0.0.0.0 ad.smaclick.com
0.0.0.0 adsunflower.com
0.0.0.0 adfuture.cn
0.0.0.0 mayitek.com
0.0.0.0 cs7050.vk.me
# 0.0.0.0 ssl.gstatic.com
0.0.0.0 psv4.vk.me
0.0.0.0 h2.msn.com
0.0.0.0 sO.2mdn.net
0.0.0.0 graph.facebook.com
0.0.0.0 tracker.convead.io
0.0.0.0 mscrl.microsoft.com
# 0.0.0.0 crl.microsoft.com
0.0.0.0 spynet2.microsoft.com
0.0.0.0 spynetalt.microsoft.com
0.0.0.0 logc181.xiti.com
0.0.0.0 advertising.cadsoft.de
0.0.0.0 adservone.com
0.0.0.0 meofur.ru
0.0.0.0 www.marketgid.com
0.0.0.0 a.ads1.msn.com
0.0.0.0 a.ads2.msads.net
0.0.0.0 a.ads2.msn.com
0.0.0.0 a.rad.msn.com
0.0.0.0 a-0001.a-msedge.net
0.0.0.0 a-0002.a-msedge.net
0.0.0.0 a-0003.a-msedge.net
0.0.0.0 a-0004.a-msedge.net
0.0.0.0 a-0005.a-msedge.net
0.0.0.0 a-0006.a-msedge.net
0.0.0.0 a-0007.a-msedge.net
0.0.0.0 a-0008.a-msedge.net
0.0.0.0 a-0009.a-msedge.net
0.0.0.0 ac3.msn.com
0.0.0.0 ad.doubleclick.net
0.0.0.0 adnexus.net
0.0.0.0 adnxs.com
0.0.0.0 ads.msn.com
0.0.0.0 ads1.msads.net
0.0.0.0 ads1.msn.com
0.0.0.0 aidps.atdmt.com
0.0.0.0 aka-cdn-ns.adtech.de
0.0.0.0 a-msedge.net
0.0.0.0 az361816.vo.msecnd.net
0.0.0.0 az512334.vo.msecnd.net
0.0.0.0 b.ads1.msn.com
0.0.0.0 b.ads2.msads.net
0.0.0.0 b.rad.msn.com
0.0.0.0 bs.serving-sys.com
0.0.0.0 c.atdmt.com
0.0.0.0 c.msn.com
0.0.0.0 cdn.atdmt.com
0.0.0.0 cds26.ams9.msecn.net
0.0.0.0 choice.microsoft.com
0.0.0.0 choice.microsoft.com.nsatc.net
0.0.0.0 compatexchange.cloudapp.net
0.0.0.0 corp.sts.microsoft.com
0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
0.0.0.0 cs1.wpc.v0cdn.net
0.0.0.0 db3aqu.atdmt.com
0.0.0.0 df.telemetry.microsoft.com
0.0.0.0 diagnostics.support.microsoft.com
0.0.0.0 ec.atdmt.com
0.0.0.0 feedback.microsoft-hohm.com
0.0.0.0 feedback.search.microsoft.com
0.0.0.0 feedback.windows.com
0.0.0.0 flex.msn.com
0.0.0.0 g.msn.com
0.0.0.0 h1.msn.com
0.0.0.0 i1.services.social.microsoft.com
0.0.0.0 i1.services.social.microsoft.com.nsatc.net
0.0.0.0 lb1.www.ms.akadns.net
0.0.0.0 live.rads.msn.com
0.0.0.0 m.adnxs.com
0.0.0.0 msedge.net
0.0.0.0 msftncsi.com
0.0.0.0 msnbot-65-55-108-23.search.msn.com
0.0.0.0 msntest.serving-sys.com
0.0.0.0 oca.telemetry.microsoft.com
0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
0.0.0.0 pre.footprintpredict.com
0.0.0.0 preview.msn.com
0.0.0.0 rad.live.com
0.0.0.0 rad.msn.com
0.0.0.0 redir.metaservices.microsoft.com
0.0.0.0 schemas.microsoft.akadns.net
0.0.0.0 secure.adnxs.com
0.0.0.0 secure.flashtalking.com
0.0.0.0 settings-sandbox.data.microsoft.com
127.0.0.1 settings-win.data.microsoft.com
0.0.0.0 sls.update.microsoft.com.akadns.net
0.0.0.0 sqm.df.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com
0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
0.0.0.0 ssw.live.com
0.0.0.0 static.2mdn.net
0.0.0.0 statsfe1.ws.microsoft.com
0.0.0.0 statsfe2.ws.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com
0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
0.0.0.0 telemetry.appex.bing.net
0.0.0.0 telemetry.microsoft.com
0.0.0.0 telemetry.urs.microsoft.com
127.0.0.1 vortex.data.microsoft.com
127.0.0.1 vortex-bn2.metron.live.com.nsatc.net
127.0.0.1 vortex-cy2.metron.live.com.nsatc.net
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
0.0.0.0 watson.live.com
0.0.0.0 www.msftncsi.com
0.0.0.0 fe2.update.microsoft.com.akadns.net
0.0.0.0 m.hotmail.com
0.0.0.0 reports.wes.df.telemetry.microsoft.com
0.0.0.0 s.gateway.messenger.live.com
0.0.0.0 s0.2mdn.net
0.0.0.0 services.wes.df.telemetry.microsoft.com
0.0.0.0 statsfe2.update.microsoft.com.akadns.net
0.0.0.0 survey.watson.microsoft.com
0.0.0.0 view.atdmt.com
0.0.0.0 watson.microsoft.com
0.0.0.0 watson.ppe.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com
0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
0.0.0.0 wes.df.telemetry.microsoft.com0.0.0.0 mpa.one.microsoft.com
0.0.0.0 api.skype.com
0.0.0.0 static.skypeassets.com
0.0.0.0 apps.skype.com
0.0.0.0 pricelist.skype.com
0.0.0.0 ui.skype.com
# 0.0.0.0 yastatic.net
0.0.0.0 www.googletagmanager.com
0.0.0.0 l.sharethis.com
0.0.0.0 w.sharethis.com
0.0.0.0 edge.sharethis.com
0.0.0.0 et-code.ru
0.0.0.0 wsp.marketgid.com
0.0.0.0 cat.fr.eu.criteo.com
0.0.0.0 csm.nl.eu.criteo.net
0.0.0.0 cstatic.weborama.fr
0.0.0.0 tpc.googlesyndication.com
0.0.0.0 www.googletagservices.com
0.0.0.0 cas.criteo.com
0.0.0.0 target.smi2.ru
0.0.0.0 cdn.onthe.io
0.0.0.0 www.google-analytics.com
0.0.0.0 tt.onthe.io
0.0.0.0 target.smi2.net
0.0.0.0 pipki.r.worldssl.net
0.0.0.0 cdn.onthe.io
0.0.0.0 img.chipfind.ru
0.0.0.0 r.rbc.ru
sergey-b
Вот спасибо. У меня список гораздо скромнее.
darkfrei
Почему некоторые нули, некоторые локальные, а некоторые закомментированы?
x893
Я думаю что 0.0.0.0 правильнее чем 127.0.0.1
Хотя в других источниках используется 127…
Закоментированы — значит понадобились наверное.
Aelliari
А меня и нули смущают, 127.0.0.1 и остальные loopback адреса — запрос будет завёрнут на локальную машину. А вот как поведёт себя 0.0.0.0 — для меня загадка, будет ли попытка соединения отброшена или как будет разруливать встроенный в ОС маршрутизатор, адрес же корректный и в зависимости от реализации или местоположения может означать разные вещи.
А вот заведомо не верный адрес, скажем, вида(взят с потолка) 431.12.117.526 не корректен с точки зрения протокола и вроде как не должен как либо участвовать в маршрутизации. Такие адреса должны сразу отбрасываться без обработки. Но чёрт его знает что начудили в конкретных реализациях и какие там баги.
x893
Да — когда указан 127 клиент делает соединение и отваливается по таймоуту (хотя можно поставить логгер и посмтреть что он пытается отправить или загрузить). Когда 0.0.0.0 — то соединения не происходит.
Kyoki
Можно использовать и нули, и локальный. Но т.к. ноль это не реальный адрес, а как бы ответ, что не существует, то и таймаута на установку соединения скореевсего не будет.
chupasaurus
Курируемый hosts файл с бонусными ништяками и на github.
dsp25no
Ну все не настолько плохо, хотя проблема действительно есть. Больше 10% банков подключают сторонние скрипты там, где это делать не надо
x893
По моим наблюдениям меньше 0,0001% сайтов не используют сторонние ресурсы.
Просто для банков это может более критично, чем например для первого канала или сайта гос.услуг.
Чем больше сторонних ресурсов, тем легче найти дырку и немного подправить скрипт.
А потом кто знает, что завтра вставит фейсбук в свой счетчик для сайта гос.услуг когда его нагнёт АНБ или ФСБ нагнет яндекс (это пример).
dsp25no
Я собирал статистику по использованию счетчиков на страницах входа в интернет-банки. Поэтому могу сказать, что если опустить облачные банки (фактрура, handybank), то 10-15% подключают счетчики.
InteractiveTechnology
Ну для объективности не так-то просто в современном браузере подменить скрипт по SSL :)
А ещё там есть скрипт group-ib, который мониторит поведение юзеров и подгружаемые скрипты на изменения.
lega
wholeman
К счастью, недостаточно — ещё SMS перехватить надо. Без них только переводы между своими счетами/картами. Утешение, конечно, слабое.
InteractiveTechnology
Я так предполагаю, что мысль автора всё же про «автозалив», который не осуществим в данных условиях.
LexB
Вы ведь код из смс на клавиатуре набираете? А занчит его можно так-же перехватить и использовать как логин и пароль.
В случае атаки вам напишут «код уже использован», а в это добрый админ гипотетического даблклика будет хозяйничать в вашем лично кабинете.
InteractiveTechnology
Я вам больше того скажу, формграббер даже скриншоты кликов нужного радиуса виртуальных клавиатур делают, собирают в одну картинку горизонтальную и распознают на антикапче. Но сути инжекта со стороны mitm-атаки это не меняет. А владельцем сервисов компрометация подобная не выгодна, они зарабатывают больше, чем возможно будет украсть таким объемом платежей. Я уже промолчу, что обнал такого кол-во платежей и вообще с юридической стороны ответственность, уж лучше один раз миллиард украсть у банка даже если поймают, чем миллион томов то потерпевших потом в деле иметь.
Всё, о чём вы рассуждаете в реальности глупости на том же уровне преступников, которых ловят.
LexB
Как вы хитро связали участников этого обсуждения с преступниками. Или показалось?
Допустим по какой-то причине ключи от вашей квартиры дают, ну например, управдому, который получает прилично, и скорее всего вас грабить не будет. Странно? Как по мне, лучше-бы они не давали мои ключи. Тем более клиент сбербанка от того, что статистику собирает яндекс и гугл, — ничего не получает.
InteractiveTechnology
1. Показалось, перечитайте последнее предложения моего комментария, там совершенно без каких либо намёков и скрытых смыслов передана мысль.
2. Вы переводите ветку разговора в другую тему. Я против действий Сбербанка в личном кабинете и вообще во всём, что связанно с безопасностью моих финансовых операций, которые Сбербанк не может гарантировать и снимет с себя любую ответственность при первом же инциденте.
23d
Этого может быть достаточно, учитывая ещё то, что у людей могут быть пароли одинаковые. А у даблклика/гугла и доступ к твоему телефону есть :-)
wholeman
Полагаю, что большинство пользователей не меняют пароль, который им банкомат выдал.
У гугла, конечно, доступ к СМС есть (но не у всех Android). У даблклика — вряд ли. Всё же, думаю, что «телефонными» сервисами и аналитикой занимаются разные команды, и вероятность того, что они скооперируются, чтобы меня ограбить, очень мала.
n1nj4p0w3r
Зачем? Скрипт с рутаргета грузится на странице где пользователь авторизован, соответственно он может манипулировать формами от его лица.
wholeman
Как он может ввести код, который пришёл ко мне на телефон в СМСке?
n1nj4p0w3r
Код нужен только для авторизации, для проведения операций со счетом его никто не просит.
pudovMaxim
Нужен, либо смс-пароль, либо распечатанный через банкомат код.
n1nj4p0w3r
Код все-таки просит для всего, можно спрятать оригинальную форму заполнив ее данными злоумышленника и отображать введенные пользователем данные в фиктивной, этакий фишинг поверх оригинального клиента, вряд-ли многие будут вчитываться в содержимое смс в поисках кода подтверждения
pudovMaxim
Это слишком сложно и легко заметить. На мелких платежах много не заработать, но зато легко засветить уязвимость один из ста точно просмотрит смс. А крупные платежи люди будут сверять более тщательно.
n1nj4p0w3r
Фишинг тем временем недостаточно сложен.
Ситуация получилась такая что online.sberbank.ru уязвим ровно настолько насколько уязвимы все провайдеры метрик что обильно туда понапиханы
olegon-ru
Вы его сами введете же в сайтовую форму. Только она может быть уже совсем не той, что была раньше.
wholeman
В СМСке с кодом указано, за что платёж и сколько, поэтому сильно форма отличаться не может.
buggykey
Да при таком раздолье и дубликат симки в каком-нибудь замухосранском офисе билайна-мэтээса-мегафона-теледва за сто баксов выпустить можно. Прецеденты, к сожалению, были. :(
ploop
Какие там сто баксов,
ксерокопиюфотошоп паспорта и милые глаза прокатывают…Fandir
При смене симкарты автоматом блочится получение СМС на этот номер.
wholeman
Вовсе нет. Несколько раз менял карту — ничего не блокировалось.
Velibekov
После смены симки пришлось звонить в Сбер, чтобы они авторизовали новую симку.
vlivyur
Это зависит от региона/времени суток/положения звёзд на небе. Уже не раз это выясняли.
ploop
Не везде и не всегда. За время пользования онлайн-банком 3 раза менял симку — никаких блокировок.
InteractiveTechnology
Пример вектора?
dmitry_dvm
Одни дебилы придумывают трафик внутри страны закольцевать, другие — всякую шваль в ЛК крупнейшего банка страны засовывают. Вот лучше бы первые на вторых сначала внимание обратили.
trojan218
тогда они зациклят "*валь" внутри страны и засунут его в трафик… *сарказм*
playnet
А что плохого в закольцовке трафа? Или это норма, когда траф спб-мск ходит через тот же Амстердам? Безопасности это точно не добавит.
sumanai
Плохи методы, а не сама идея. В итоге они сделают так, что трафик вообще ходить не будет. Хотя этого они и добиваются.
zuwr2t
То что трафик идет не по прямой вообще на безопасность не влияет. В отличии от уменьшения связности.
Kyoki
Хотел много написать о теории, но решил ограничиться простым примером:
«Что плохого в закрытии объездных дорог? Или это норма, когда машина вместо 10 км делает крюк в 20? Безопасности это точно не добавит.»
playnet
> Или это норма, когда машина вместо 10 км делает крюк в 20?
В том и дело, что обычно не норма. Когда есть дорога 10 км, зачем всех отправлять в объезд на дорогу в 100 км? Лучше и быстрее ехать по прямой. Объезд это хорошо, когда он резерв.
А теперь посчитаем, когда траф так бегает между уралом и уралом. Через германию/амстердам/…
Понимаю причины — каналы через тот же амстердам шире и дешевле, чем прямые.
Kyoki
Так обычно и ездят эти 10 км. А вот когда затор, пробка, быстрее/надежнее/дешевле/… в обход, то и объезжают. Это вы в пробке можете час простоять, а если у пользователя пинг будет в полчаса…
Вы хотя бы ознакомьтесь как роутинг происходит и сколько там всякого, тот же BGP. Вроде технический ресурс, а рассуждения на уровне: я вижу, что по прямой на карте быстрее. А если там нет связности и только резервный dsl канал на 100 мб/с, как вы собрались 1 Гб/с протолкнуть?
token
Не удивлен, этож сбер, у них же бигдата и все такое.
theWaR_13
Delics
Получается, там работает толпа программистов (крупнейшая IT-компания России за 2016 год), но всё, что они придумали для сбора данных — это насовать чужих счетчиков.
hardegor
Ну да, а рекламу как продавать? Рекламодатели не верят личным счетчикам, им стороннего наблюдателя подавай. Вот и приходится пихать как минимум Яндекс и Гугл.
vlivyur
А где у них чужая реклама в СБОЛе?
TionRus
Вроде же все скрипты идут через https и кто угодно по пути подменить скрипт не сможет. Или все таки есть возможность подмены?
token
Представим себе ситуацию когда злоумышленник просто пошаманит над корпоративным DNS, в пределах одного офиса, и сделает так чтобы запросы к tag.rutarget.ru — шли к нему домой.
InteractiveTechnology
Попробуйте повторить и удивитесь, что ответит браузер :)
swelf
Наверно если ДНС корпоративный, то и машины могут быть в домене, то и сертификаты корневые можно добавить? это вопросы, сам винду не админю. С другой стороны, если есть возможность добавить корневые сертификаты на компьютер, то и сторонние скрипты не сильно нужны в ЛК, можно и весь трафик до сбера поснифать.
webkumo
FireFox по умолчанию не пользуется системным хранилищем сертификатов для валидации (можно ли настроить, что пользовался — не знаю).
a1ien_n3t
Через доменные политики можно добавить и в firefox'овское хранилище сертефикатов.
Единственное как я писал выше саму страничку сбера лучше не подменять так-как там EV серт и вот его просто так не подделаешь.
BigW
я где-то не так давно читал, что EV-превратились в тыкву и уже ничего не значат, т.е. ничем от обычных не отличаются… могу ошибаться....
a1ien_n3t
Вся фишка в том что неполучится сделать самоподписанный EV сертефикат, тоесть получить заветную зеленую плашку с названием фирмы. Так-как списко корневыхс сертефикатов с возможностью выдавать EV жестко прописывается в коде.
Таким образом вам недостаточно добавить корневой сертефикат в доверенные вам также нужно еще изменения в коде браузера внести(чтобы получить плашку), что напорядок сложнеею
token
Нет спасибо товарищ полковник, пробуйте вы это сами )
olegon-ru
Я же на видео без монтажа и фотошопа показал, что работает :)
grieverrr
Что именно работает? Яваскрипт? Открываем страничку сбербанка, инжектим свой скрипт-кейлоггер, видим свои нажатия, ок. Дальше то что?
lostpassword
Если так, то что мешает сразу сайт «Сбербанка» подменить? Зачем возиться со сторонними скриптами?
olegon-ru
А данные о пользовательских картах откуда взять? Речь о том, что внутри ЛК может быть очень много, чем заинтересуются отдельные люди. Я писал об этом выше.
lostpassword
Ну так подменить, получить необходимые данные — и потом уже переслать дальше на сервер, а ответ от сервера переслать клиенту.
token
А смысл? Подменять целый банк если можно просто поменять номер карты при переводе денег другому клиенту на левый — сторонним скриптом. Это одна строчка кода.
lostpassword
Но ведь точно так же можно подменить любой скрипт, который подгружается непосредственно с сайта Сбербанка. Никакой разницы.
eisaev
Речь же идёт не о локальной подмене скрипта, а о возможности подмены его со стороны "метрик", не принадлежащих сбербанку. Эта ситуация не может быть проконтролирована ни пользователем, ни Сбербанком без глубокого анализа, т.к. сертификат Сбербанка фактически здесь не участвует, а данные (скрипты) со стороны "метрик" будут выглядеть вполне легитимными, будучи подтвержденными их (метрик) сертификатами. Вот и получается ситуация, когда без особого привлечения внимания можно поменять скрипт на пару дней для сбора "нужных данных".
lostpassword
Если здесь имелся в виду именно администратор «Рутаргета» — тогда да, всё правильно, просто я неверно понял контекст.
slavius
Править скрипты и говорить что оригинальные скрипты данные сливают — не совсем правильно, как мне кажется.
Но ghostery — это да, должен быть включен:) Да и noscript по умолчанию должен запрещать все, а по необходимости включать нужные. Но это не спасет если сбер или еще кто включит все эти метрики в свои скрипты и будет раздавать как свои — и без них работать не будет.
olegon-ru
Я пробовал серфить с Noscript, если честно, это даже нечто большее, чем пытка.
Skerrigan
За месяц-два в whitelist вносится все, что нужно и дальше уже перестаешь замечать.
P.S. Живу с ним уже много лет к ряду.
9uvwyuwo6pqt
>ghostery
Проприетарное расширение от рекламной компании, которое само предлагает последить за вами?
slavius
Одна централизированная следящая контора вместо кучи разных :)
dimm_ddr
Не вижу принципиальной разницы.
svosin
Вот для таких случаев есть uMatrix.
olegon-ru
Есть более щадящая комбинация: uBlock Origin + DevTools в браузере.
BMS
В uBlock достаточно включить доп фильтры и будет тот же Ghostery :)
Ryav
Ага, а при этом обрезать функционал приложения из-за рута — это же безопасность, вы что. Ох уж эти двойные стандарты.
briskly
Мир спасен, так делает не только Сбербанк.
Прошелся по топам, у многих инсторанных банков аналитика на login-pge от google.
К сожалению google и yandex метрики свершившийся зло.
doubleclick это тот же Google.
А rutarget дочка Сбербанка.
token
Что — то мне подсказывает, что самый большой трэшоган можно найти в «Почта Банке» )
LexB
Сайт на обед закрывается?
Fagot63
Нет, переводы денег идут с той же скоростью что и бумажные письма/посылки.
Psychosynthesis
Вы смеётесь, но иногда у них действительно перевод на карту зачисляется три-четыре дня.
Fagot63
Я не смеюсь, это горький опыт. И не только в этом банке.
pavlick
формально межбанк может идти до 6 дней
Psychosynthesis
Ну знаете… Формально, я когда начинаю пользоваться платёжными картами, я ожидаю от сервиса скорости работы, соответствующей скоростям современных технологий. Я, конечно, понимаю, что в офертах у абсолютного большинства банков написано про три рабочих дня и т.д. но на практике большинство банков делает всё максимально быстро. И вот когда я этого не получаю, у меня возникают вопросы — за что я плачу вообще комиссию и всё остальное?
За шесть дней я и сам могу бабки куда угодно отвезти ногами.
nikolayv81
С картами не всё так просто, бывали случаи когда после перечисления иб вам показывает остаток на карте, вы снимаете деньги(переводите) и попадание на проценты за овердрафт на 1 день, т.е. по факту то что отображено в иб мгновенно, может быть совсем не тем чем кажется
pavlick
я могу ошибаться или что-то могло измениться, но по крайней мере раньше процедура была следующая, упрощенно:
1. вы инициируете межбанковский перевод
2. деньги с вашего счета уходят на кор счет банка
3. происходит всякая магия с взаиморасчетами между банками
4. деньги попадают на кор счет банка получателя
5. деньги переводятся непосредственно на счет получателя.
Шесть дней появляются из того правила, что деньги могут лежать на кор счету не более трех дней. Соответственно, максимально возможные 6 дней — это три дня на кор счету вашего банка плюс три дня на кор счету банка получателя.
Если я ошибаюсь или что-то изменилось, кто-нибудь знающий может меня поправить.
Psychosynthesis
Это я всё знаю.
Вы мне скажите другое лучше — с какого хрена меня, как потребителя, должны вообще волновать все эти внутренние процедуры?
Zigfrid_n
Если отправлять по банковским реквизитам карты — да. Схема такая. И при ней вроде не берется комиссия в процентах, а фиксированная и небольшая. Деньги могут идти несколько дней. А вот если по номеру карты — там через процессинговый центр и зачисление почти моментальное. Но в этом случае чаще всего берут комиссию от суммы.
brzsmg
Они подключают сторонние JS уже давно, тоже пару лет назад писал об этом.
Но тогда был только google насколько помню, а теперь целый зоопарк.
bopoh13
5oclock
Я при оплате квитанций за квартиру в Сбербанк-онлайн, по-ошибке ввёл не свой лицевой счёт (ошибся на 1): увидел ФИО соседа и его задолженность по квартплате. Тоже наверное персональные данные.
Markscheider
5oclock
Какой там «ошибочный код».
Лицевые счета заканчиваются на номера квартир.
Можно хоть весь подъезд «обшарить».
Markscheider
Мы ведь говорим о десятизначных счетах для ЖКУ Москвы?
http://www.bm.ru/ru/personal/platezhi-i-perevody/oplata-uslug/kvartplata/
5oclock
Нет. Я не из Москвы.
И у меня л/с ТОЧНО заканчивается на номер квартиры.
arandomic
Это, скорее всего, у вас одна из УК, у которой договор со Сбером об оплате и выставлении счетов.
Они тупо отдают Сберу список ЛС-ФИО. Сбер позволяет вам платить по любому ЛС (Было бы странно, если бы вам запретили заплатить К/П за маму)
Почему они при этом показывают вам ФИО, привязанное к ЛС? Ну это вопрос. Но данные слил не Сбер — данные слила УК, передав третьему лицу.
Возможно у вас с УК в договоре есть какой-то хитрый пункт, которые позволяет ей это делать.
Ну и у УК со Сбером — такой же пункт, прикрывающий уже Сбер.
Но это уже домыслы.
Аналогично плачу через сбер К/П и тоже интересовался подобным вопросом.
5oclock
ТСЖ у меня.
Договора с ТСЖ никакого нет.
Как, думаю, и у всех тех, кто покупал квартиры не у застройщика (который собственно ТСЖ и организовал и людей туда «вступил»).
Технически наверное это произошло так как Вы и описываете.
Сбер видимо это не считает разглашением личных данных — иначе мог бы поправить ТСЖ, указать ему на ошибку.
У меня отношение к этой ситуации — нейтральное.
OrangeCrusty
ВНЕЗАПНО есть города кроме Москвы, какая неожиданность.
ploop
ЛС и ФИО передают сберу поставщики услуг, сам сбер тут не при кухне — что дали, то и вывел. Редко у кого ЛС содержит контрольную сумму (даже не знаю примеров), некоторые более ответственные в ФИО скрывают фамилию (собственно, как и сам сбер), и ФИО будет вида «Иван Иванович И.»
vlivyur
Можно разными способами кодировать плательщика. Кто-то заморочивается, кто-то не хочет. Аналогично и с фамилиями — на кого-то наехали и они лицевой счёт теперь пишут вместо фамилии, а на кого-то ещё не наехали и они передают полностью ФИО. Но это целиком и полностью лежит на том, кто эти реестры сливает в СБ и сам СБ тут вообще ни при чём — показывает лишь то, что он получил.
Fandir
Гораздо более печально, что любой сосед может увидеть Ваш долг, а вот ФИО владельца можно узнать и без Сбера на вполне законных основаниях через рос реестр.
ksil
А в чем может быть печаль от этого знания?
dewil
имхо стыдно перед соседом :)
Fandir
Чем меньше данных для соц. инженерии тем лучше) Это как один из примеров того, что видно по данным автоплатежей… Скорее всего если покопать то можно найти ещё что-то интересное
tandzan
Через банкомат сбера можно посмотреть ФИО и долг по интернету просто по номеру договора, не засвечивая карту, анонимно, выбрав оплату наличными.
lostpassword
А как можно отличить «вас» от «не вас»? Требовать паспорт с пропиской и разрешать платить за квартиру только одному человеку?
TRIMER
С одной стороны кого-то смущает. Но это удобно. Точно видишь свою фамилию (ИО у меня не показывает, на сколько помню, я про банкомат) и знаешь, что не ошибся.
mno
В госуслугах Москвы (веб или приложение — разницы нет) можно ввести ЛЮБОЙ АДРЕС и код плательщика и без какой-либо дополнительной верификации вводить показания чужих водосчетчиков. Очень легко кому-нибудь устроить ненужный геморрой.
vics001
Что за паника? Ну переслал данные, для google analytics, Сбер может отключить и пересылать google analytics через свои сервера, это вообще не проблема.
Хватит истерить. То что накликали на странице Сбербанка является данными доступными Сбербанку для обработки, а он уже как хочет так эти данные и обрабатывает, через google, rutarget…
kmeaw
Проблема не в том, что Сбер обрабатывает данные, а в том, что он доверяет целостности скриптов, запускаемых в контексте его страницы на компьютере пользователя, загружаемых с серверов сторонних организаций. Если возникнет гипотетическая ситуация, что злоумышленник сможет подменить скрипт google analytics/rutarget/… (например, если он администрирует те сервера, где он лежит), то станет возможным, например, редактирование полей формы платежа перед тем, как она будет отправлена из браузера на сервера Сбера.
vlivyur
Накликали тебе — сам отправляй, обрабатывай. А не так: вот тебе рабочее место, сам смотри что тут пользователь кликает.
vics001
Согласен, с одной стороны, google-api не такой удобный, а с другой стороны, банки должны обрабатывать это секьюрно на своей стороне, а не доверять 3-им компаниям.
vanxant
Поясню для тех, кто не очень в теме.
Та же метрика пишет в логи всё, до чего может дотянуться — нажатия клавиш, движения и клики мыши, введённые значения полей по onblur, прокрутку и т.д. Потом всё посещение можно посмотреть в вебвизоре просто как видеозапись визита.
У гугла функционал чуть слабее, но принцип похожий.
Что там в остальных счётчиках понатыкано или теоретически может быть понатыкано — вообще не понятно.
Сбер, Яндекс, Гугл — большие конторы с большим штатом в техподдержке. Теоретически туда может пробраться мальчиш-плохиш, или просто бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом, и получить доступ к ЛК всяких интересных личностей (бизнесменов, политиков, активистов и т.п.). При этом если обычно при входе в ЛК прилетает SMS-ка, то здесь не будет даже этого, т.к. они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет. Украсть деньги таким образом не получится (нужно подтверждение операций по SMS, а для этого нужно выкрасть телефон или сделать дубликат симки), но сам список операций может оказаться уже достаточно жареным, особенно если про политиков речь.
Также не забываем такой вариант, что пароли от яндекс.метрики можно украсть или подобрать.
Ну и самое плохое это всякие рутаргеты и даблклики — там значительно более низкий уровень работы безопасников просто в силу масштабов.
NaHCO3
> Бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом,
И не надо забывать, что эти бармалеи могут иметь корочки и даже постановление суда, заставляющее этого сотрудника заткнуться навечно, сделав вид, что ничего не было.
vanxant
С постановлением суда (зачем, кстати? постановления прокурора или вождя УФСБ достаточно) всё можно сделать официально, причем без шума и пыли.
lega
zloddey
Подтверждение по SMS при достаточном желании и умении перехватить тоже не проблема.
evocatus
На самом деле от этого очень просто защититься — отключить JS в браузере. Только вот Сбербанк.Онлайн работать так не будет.
nikolayv81
Со всеми отключенными внешними аналитиками работает
maxpsyhos
Простите, а вы сами-то Метрикой пользовались хоть раз? Это не видеозапись, это именно что как бы запись. Вебвизор покажет движения мышкой по странице, но не покажет, что было на самой странице. Такое возможно только в том случае, если страница, на которой регистрируются действия, есть в публичном доступе.
vanxant
Да, действительно, упустил этот момент. В публичном доступе только страница логина, чего, в общем, достаточно, чтобы получить пароль от сбер онлайна.
LDZ
Вебвизор может и отправить все содержимое страницы при включенной настройке
springimport
Рекомендую ставить для полей и форм флаги типа -metrika-nokeys и -visor-no-click. Это решит проблему записи данных карт.
https://yandex.ru/support/metrika/general/counter-webvisor.xml
nikolayv81
И как вы определитель что метрика эти данные именно "не собрала" а не неотобразила владельцу домена?
Вопрос то не в том что там реально собирается и анализируется, а в том как оно может быть использовано не только сбербанком?
Наличие бесплатного сервиса метрики как-бы намекает что его владелец заинтересован в использовании данных собранных изнутри сайта.
springimport
Как можно определить? Открыть любую страницу с метрикой и ключами, посмотреть запросы на сервер после действий.
pudovMaxim
Глянул в devtools, а сбербанк дергает localhost по разным портам по https. Это норма или у меня завелись гости? :)
token
Посмотрел, у меня тоже ))))
sumanai
Судя по портам, они определяют наличие веб-сервера. Видимо, защита от ботов.
InteractiveTechnology
теории заговора прям) Проверяет запущен ли клиентский софт на компе, чтобы взаимодействовать по API.
token
А откуда вы знаете? ;)
InteractiveTechnology
потому, что уже давно это изучал, с банк-клиентом для юр.лиц это обратная связь =\
sumanai
А зачем тогда стучатся по такому числу портов?
KrD
Судя по портам, это rdp/vnc/teamviewer/etc, но вот зачем туда ломиться?
dewil
я думаю тут ответ очевиден.
они пытаются убедиться, что сейчас компом управляет человек перед монитором, а не кто-то удаленно.
но почему я не могу удаленно подключиться к домашнему компу и там запустить банк-клиент? выходит по версии банка, я так не могу.
dimm_ddr
Ну сам факт проверки не говорит о том, что вы так не можете. Вполне вероятно, что при обнаружении удаленного доступа выскочит предупреждение чтобы предупредить пользователя на случай если он об этом не знает, но с возможностью продолжить. Или там по коду явно блокировку видно?
dewil
код не изучал.
это было предположение.
а анализ может происходить и на серверной стороне.
montonero
Опрашивая порты rdp или vnc нельзя никаким образом определить, что к ним кто-то подключен. Можно только определить, что на них запущен какой-то сервис.
dewil
верное замечание
Panfilov
Сбер сам себя через прокси на localhost дергает.
То, что это штатная функция сбера — да, насколько это норма — каждый решает для себя…
YMA
Это еще цветочки, недавно было обсуждение на banki.ru про то, что приложение сберовское всю телефонную книгу (а возможно и не только ее) — сливает на сервер.
http://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=298381
Я проверить не смог, у меня Сбербанк.Онлайну все разрешения на iOS зарезаны, ибо нечего ему лазить где не надо…
ksil
Они дают возможность отсылать деньги на карту по номеру телефона.
YMA
А еще строить социальные графы, вести работу по взысканию задолженности, предлагать клиенту таргетированную рекламу в зависимости от его контактов, продавать мою телефонную книгу партнерам и т.д.
Применений этим данным можно найти очень много, я понимаю.
Но закон о защите ПД 152-ФЗ (статью 6) тоже нарушать не стоит, ни под один из пунктов обработка ФИО и телефонов третьих лиц (а у меня в телефонной книге еще и дни рождения и адреса записаны) не подходит.
ksil
Да я их нисколько не оправдываю.
Ezhyg
Это распрекрасно делается и без телефонной книги и, даже, без телефона, иначе это была бы уникальная фишка телефонных приложений, но ведь через сайт это как-то работает.
ainoneko
«Рокетбанковское» тоже сливает, но об этом я узнал ещё при установке приложения, там это сразу написано.
dewil
у Тинькова как с этим, интересно?
zte189
Да с вашими рутированными андроидами гемора больше, чем с этой проблемой Сбера. Очередная псевдоистерия, не более.
ploop
И какой гемор вам от наших рутированных андроидов?
snnrman
Такой, что потом весь интернет наводнен воплями о том что у вас что-то не работает, потому что безопасники предусмотрительно и абсолютно справедливо ограничивают использование критических приложений на системах с дырой.
Squoworode
Какая беда безопасникам до нашей дыры? Наша дыра — наши проблемы. Мы самостоятельно приняли решение жить с дырой!
Radjah
А потом приходят такие со сборками Циана от Васяна и жалуются, что очередной троян обнулил баланс на карте, счете и сберкнижке, потому что очередные 100500 «следильщиков за безопасностью» проморгали очередную дыру.
ValdikSS
Всегда странно читать подобные высказывания. Вы хотя бы раз устанавливали программы, предоставляющие su на Android? Они все спрашивают разрешение на выполнение конкретной команды, причем сразу нажать кнопку подтверждения нельзя, нужно выждать небольшой таймаут, несколько секунд. Просто так произвольная программа не может выполнить какую-либо команду от root без ведома пользователя.
Root на Android — механизм, подобный UAC на Windows, только еще и видно выполняемую команду, в отличие от Windows.
Где здесь дыра? Мнений, подобных вашему, очень много, я что-то упускаю?
Valle
Единственных два метода прочитать файлы приложения которые не зашарены — это простое чтение этих файлов если приложение установлено на SD карту и чтение их с помощью рута. Ошибки безопасности типа открытого контентпровайдера который разрешает читать все бе разбору не рассматриваем. Очевидно, что если приложение хранит, к примеру, пароль или другие секретные данные то разработчики не хотят чтоб эти файлы кто-нибудь читал, поэтому запрещают оба этих метода. А SU для рутованного телефона можно и без попапа написать, проблем никаких.
Еще один популярный метод защиты — проверка подписи приложения. Она гарантирует что приложение не было изменено атакующим. К сожалению, это можно подделать на рутованных телефонах. Так что да, рут — это большая дыра в безопасности.
ValdikSS
На компьютерах любое приложение может читать данные и настройки любого другого приложения пользователя, что, по вашей логике, должно являться просто вопиющей дырой в безопасности. Тем не менее, почему-то все считают администраторский доступ именно на Android чем-то плохим, а на компьютерах — нет.
Разъясните, пожалуйста, я на полном серьезе не понимаю.
nikolayv81
Тут формально 2 проблемы:
1.root на многих устройствах можно получить без участия пользователя.
Другое дело что права root у приложенич могут быть и без su, поэтому смысла большого в его детектировании особо нет, т.е. по факту это защита для тех кто поставил root ради взлома игрушек, у таких по мнению безопасников как раз вирусы и живут.
ValdikSS
Это справедливо и для десктопных систем, да и вообще для компьютеров в целом.
Ничего не понял. А банковская программа здесь причем?
nikolayv81
p.s. я против текущего подхода к безопасности в приложении сбербанка, поэтому у меня его нет, по мне им надо было делать две версии, для всех и для тех кому не всё равно.
Nerten
В руте ничего плохого нет. Но наличие его очень часто подразумевает открытый загрузчик и кастомное рекавери. А вот это уже огромная дыра в безопасности.
sumanai
А так же наличие рута может подразумевать кастомную прошивку с новой версией андроида, в которой, по сравнению с доисторической от производителя, пофиксили 100500 уязвимостей.
Jogger
Ага, конечно, пусть только вирусы используют уязвимости андроида, а самому пользователю — ни-ни! Меня всегда умиляют подобные выпады на рутованые андроиды.
esudnik
Я уже как несколько лет пользуюсь вот таким решением, которое можно добавить в /etc/hosts
127.0.0.1 tpc.googlesyndication.com googleads.g.doubleclick.net doubleclick.net googleadservices.com www.googleadservices.com pagead2.googlesyndication.com www.google-analytics.com google-analytics.com
kirillaristov
Когда-то тоже так делал, но тут есть ограничения — нельзя использовать wildcard и регулярные выражения, да и список постепенно распух до сотен пунктов. Понадобилось менять резалку.
KorDen32
У меня издавна стоит Unbound на роутере, в нем можно сделать например так:
local-zone: "doubleclick.net" redirectlocal-data: "doubleclick.net A 0.0.0.0"
Таким образом все поддомены будут отдаваться с нулями.
Делал парсер hosts для преобразования под Unbound и выпиливания из него некоторых доменов с последующим полным баном вышеуказанным способом
vanxant
Особенно совет полезен тем, кому по работе надо лазить в гуглоаналитику и т.п.
RigelNM
А может кто-то? из тех кто негативно относится к «слежке» сказать, что именно не нравится? Спрашиваю не спора ради, никому свою точку зрения не навязываю, просто я лично не понимаю негатива вызванного подобными статьями и мне любопытно, в чем соль?
Shaz
Им не нравится просто сам факт того, что кто-то возможно что-то узнает про них. При этом учитывая неплохую осведомленность о работе этих сервисов, и ресурс на котором идет обсуждение, более чем уверен что в своих проектах они эту самую аналитику прикручивают только в путь.
YMA
Мне лично не нравится то, что я этот процесс никак не контролирую по-умолчанию и ничего взамен не получаю.
Представьте, что за вами круглосуточно ходит человек с камерой и блокнотом, заходит с вами в магазин, в гости к друзьям, в туалете пристраивается рядом, что-то записывает, снимает… Неприятно?
PS: Да, я знаю про Ghostery, NoScript, и т.д.
Honeyman
Неправда, получаете.
Маркетинговые данные, которые собирает (например, с помощью этих инструментов) и которыми пользуется Сбербанк, приводят к повышению эффективности его работы (иначе этих счётчиков там и не стояло бы).
Повышение эффективности его работы приводит к повышению качества услуг и/или снижению их себестоимости.
В конечном итоге всё отражается на цифрах в годовом отчёте банка.
Утрированно: не будь этих счётчиков — процент по депозиту в Сбербанке был бы самую чуточку выше.
YMA
В банках я лет 15 отработал, из них в Сбере 11, работал в казначейских подразделениях. К сожалению, или к радости — но процентная ставка по вкладам от затрат банка зависит далеко не в первую очередь. Куда больше учитываются тенденции по процентным ставкам в экономике, состояние ликвидности и открытой валютной позиции банка, конкурентная среда и т.д.
Вы кстати, в последнем предложении попутали — или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)
ainoneko
Да вроде всё правильно: зарплата «человеку с камерой и блокнотом» идёт в том числе и из неповышения процентов по депозитам.
Honeyman
> или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)
Да, вы правы, спасибо.
token
Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег )) про проценты при переводе на карту открытую в другом регионе слышали? Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу? Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.
DistortNeo
> про проценты при переводе на карту открытую в другом регионе слышали?
Нет, не слышал. Можете предъявить пруф?
> Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?
Если есть другая полноценная карта Сбера, то лимиты будут сильно больше. Переводите на неё деньги и снимаете чере банкомат.
> Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.
Мне везёт. И в очередях стоять не приходится, и даже не было проблемы с получением выписки с карты в другом регионе.
ksil
Комиссия есть. Ее нет, если переводить на свою же карту, открытую в другом регионе. Если на карту другого человека, то да.
rustavelli
Про комиссию в 1% на сайте написано. Когда надо было переводить десятки тысяч в месяц, дешевле и проще оказалось открыть всем карты тинькова.
Как-то я зашел в сбер и захотел снять 150к без комиссий. ТРОЕ сотрудников рассказывали, как это сделать. Сначала в кассе с очередью, потом в банкомате… В итоге я сделал, все как они сказали и попал на 500р.
«выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?
" есть другая полноценная карта" -таких сбер еще не придумал.
Fandir
Комиссии по картам это ограничения платежной системы. Хотите снимать без комисси больше открывайте более дорогие карты. Именно лимитами и отличаются Gold и Platinum
token
Хочу просто снимать свои деньги (хотя бы в кассе) в сбербанке, без комиссии и ограничений по количеству снятого в день.
Fandir
Откройте счет… Карты это другой инструмент и регулируется платежными системами у них вообщем-то примерно одинаковые правила в любой точке мира… Возможно есть банки, которые не дают лимита на снятие наличных с карты, но я таких не знаю. Ещё раз повторюсь цвет карт как раз определяет лимиты снятия все остальное это доп. плюшки.
Zigfrid_n
Имею дебетовую карту Сбера, с бесплатным годовым обслуживанием. Снимаю без комиссии, ни разу не платил за это, что в кассе снимал по 250к разово, что через банкоматы. Ограничения — 500к в сутки. Я думаю, если кому-то мало полмиллиона в сутки, наверно у него будут деньги заплатить несколько тысяч рублей в год за какой-нить Platinum…
rustavelli
У меня сейчас есть gold от сбера. Где мои 7% на остаток и 1% кешбека? Где курьер, который привезет потерянную карту? Где поддержка онлайн в чате?
Захочу подключить несчастные смс — буду стоять с бабульками в очереди на кассу.
И за все это вы предлагаете еще и платить больше? Это сбер должен солидно доплачивать своим клиентам за страдания.
vlivyur
У меня сейчас есть Gold не от сбера. Где мои 7% на остаток и 1% кешбэка? Где курьер, который привезёт потерянную карту? Где поддержка онлайн в чате?
А смс в сбере подключается в любом ихнем банкомате / терминале, один фиг договор на ДБО вы скорее всего уже ранее подписали.
rustavelli
Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера. Иногда кажется, что там индусы всё пишут, настолько много багов.
Или «ой, этот номер мы не знаем, на него смс подключить можно только в офисе».
DistortNeo
> Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера.
Ага. Перевод с карты на карту у жены выглядел так: подойти к банкомату, получить деньги, переложить их в купюроприёмник, скормив обратно. Проблема решилась только перечислением зарплаты на другую карту.
nikolayv81
Нет, карты внутри банка за пределы его процессинга не выходят, оправдывать их можно чем угодно но не МПС.
ploop
Все эти Gold и Platinum давно себя дискредитировали, тот же Gold чуть ли не бомжам бесплатно впаривают. Это раньше было круто — повышенные лимиты, персональные менеджеры
прилетающие на вертолёте по любому чиху...DistortNeo
> Все эти Gold и Platinum давно себя дискредитировали
А разве это не закономерное следствие перехода платёжных систем на онлайн-транзакции? Для нас это может показаться дикостью, но в США, на родине кредитных карт, массовый переход на онлайн-транзакции с использованием кредитных карт происходит только сейчас.
Собственно, высокий статус карты означал, что её владелец имеет большой кредитный лимит, и магазин мог быть уверен, что в случае оффлайн-транзакции не получит проблем. Сейчас же, с высоким проникновением интернета, и наличие средств и владение картой (онлайн пин-код) проверяется прямо в момент совершения покупки.
DistortNeo
> «выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?
Представьте себе, он её выдал прямо на месте.
> " есть другая полноценная карта" -таких сбер еще не придумал.
У меня Visa Gold с бесплатным обслуживанием валяется.
danyaShep
На месте, это около вашего дивана, где вы с ноутбуком валялись?
token
http://www.sberbank.ru/ru/person/paymentsandremittances/remittance/in/beznal_rus/beznal_cc_rus
constXife
> про проценты при переводе на карту открытую в другом регионе слышали?
> Нет, не слышал. Можете предъявить пруф?
Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.
DistortNeo
Понятно. Просто удивительно тогда, почему нет комиссии за снятие через банкомат в другом регионе?
vlivyur
Есть. Но в зависимости от типа карты и удалённости этого региона (на территории другого тербанка будет комиссия). Мне, к примеру, снятия на территории С-З будут без комиссии, а выезд в Москву добавляет её.
WraithOW
Меньше денег — нет. Удобство — да. Чтобы сделать удобно — надо выбить под это дело бюджет, а где бюджет — там премии, бонусы и прочие приятные менеджерскому сердцу вещи.
А выбивать бюджет (и премии потом) гораздо легче, когда у тебя есть аналитика, собранная с десятков тысяч человек.
Honeyman
Не-а.
Там, как и везде, сидят такие же лентяи, которые думают, как им бы работать поменьше, а результат получать получше.
Простой вопрос: как по-вашему, добавление счётчиков на сайт банку экономически выгодно или экономически невыгодно?
Velibekov
"Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?"
Нет. Не слышал. Могу снимать по 300.000 в сутки, в любом регионе России, без комиссии.
MasterCard Gold.
token
Круто, а я вот что — то не хочу, последний раз когда ходил в сбер, операторша на кассе забыла провести платеж (перевод между счетами), бумажку о переводе дала, а деньги не списала. Потом она меня нашла как то в вотзапе, звонит мне и говорит, типа я не могу закрыть смену, потому что у меня висит не проведенный платеж, давайте вы мне кинете денег на сберовскую карту, а я за вас уже у себя проведу платеж )
Velibekov
Интересно очень, чем это в итоге закончилось?) вы её послали или перевели деньги?) а может вы встретили и вы ей ещё и палку кинули?)
Вот честно, я бы не стал делать это через кассу, потому что вопрос стоимости моего времени. Пойти в Сбер, встать в очередь, затем к кассиру, затем обратно до точки отправления.
И да, ещё проверить работу кассира. По моим наблюдениям, количество их косяков — примерно 1:150, а это очень много.
token
В итоге я ее послал конечно, на следующий день сделал перевод в другом отделении. Я бы тоже не стал это делать через кассу, но к сожалению у сбербанка есть свои представления об удобстве. У меня просто кончилась кредитка, ее нужно было погасить, но как только она кончилась она исчезла из сбер — онлайна, и Усе ))) Приплыли, теперь денег на нее можно кинуть только через кассу.
<офтоп>Да, я ей кинул палку, а она как побежит за ней</офтоп>
Velibekov
Вынужденно держу 4 карты.
Ежемесячно у меня по 30-100 платежей и 1-3 временные блокировки автоматизированным антифродом и проблема решается 3-4-х минутным звонком в Сбер.
В отделения хожу чисто ради терминалов и банкоматов, с сотрудниками их не общаюсь, поскольку об услугах и продуктах банка знаю лучше их самих.
rustavelli
Velibekov
Который находится в 70 метрах от моего подъезда, рядом с продуктовым супермаркетом?
Ну да, есть такое дело, потратил 15 минут на заявку и 10 минут чтобы не забрать.
И в последующий год сэкономил около ?70 тыс на комиссиях (столько заплатил бы комиссий Тинькову).
?70 тыс за 25 минут… Считаю это очень хорошим заработком.
Velibekov
*10 минут, чтобы забрать.
rustavelli
Что за 70к? Даже если слать межбанком во всякие сберы и альфы, комиссий все равно не будет.
Когда надо было открыть расчетный счет ИП, тиньков облажался — аж 5 дней на заявку на сайте не отвечал. Точка прислала курьера с документами на следующий день. Сбер вообще не рассматривался — обслуживание дорогое, поддержки нет, ходить куда-то надо.
NaHCO3
> А может кто-то? из тех кто негативно относится к «слежке» сказать, что именно не нравится?
Дело в технических деталях. Любой скрипт — это возможность преобразовать всю страницу целиком, её внешний вид или поведение. Это идеальный способ MITM атаки. Это только на первый взгляд кажется, что скрипт добавляет одну кнопочку — веб технологии не имеют средств по ограничению функционирования скрипта одним элементом, он работает со всей страницей.
То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.
Может произойти какая-нибудь трагическая случайность, программистская ошибка или атака хакеров. Тут работает чисто закон больших чисел и теория вероятности. В общем и целом можно рассчитывать на правильное поведение сайтов.
Второе опасение — это намеренное вредительство. Здесь уже вопрос не в теории вероятности, а в теории игр. Можно сказать, что монетизация такой уязвимости может не перекрыть репутационных потерь и прочего геморроя. Но на надо заметить, что часть из этих третьих лиц находится по ту стороны границы, вне нашей юрисдикции и привлечь к ответу их невозможно. Так что и бояться им нечего.
Плюс нельзя забывать о том, что всё это большие компании, и в них может завестись крыса, которой плевать на репутацию компании, а хочется набить свой кошелёк. Такое регулярно, например, случается у нас в стране, отчего по ней гуляют разнообразные базы данных — банков, телефонных операторов, даже МВД. А ещё нельзя исключать целенаправленную атаку спецслужб недружественной нам страны.
Судя по откровения сноудена, викиликс и другим слитым документам (WannaCry тоже в NSA разработан) совести у них нет от слова совсем.
Shaz
Откровение Сноудена и Евангелие от Ассанжа… Еще немного и можно регистрировать церковь параноиков.
Ezhyg
«Реалисты двойного дна»
WraithOW
Так а какие альтернативы? Писать банковские сайты на чистом HTML?
vlivyur
Свои скрипты держать, а не чужие подключать.
snnrman
Очередная порция белок-истеричек. Пользуйтесь кэшем и биткоином, если у вас такая нежная психика.
Wannaasbird
Смените банк. У моего отца закреплена з/п карточка в этом банке. Почти неделю отображался неверный баланс на счёте и только спустя полторы недели исправили проблему и то со словами «там не нажимайте».
olegon-ru
К сожалению, не всегда есть возможность именно выбрать (зарплатный проект, как пример).
Да и то, что я застукал и сбегу, никак не повлияет на других пользователей, которые, как и я раньше, даже не подозревают, что о них сообщают куда-то.
Honeyman
Как мило, что Сбербанку в вопросах обработки секретных данных вы доверяете больше, чем Гуглу и Яндексу.
token
А у гугла или Яндекса лежат все ваши деньги да?
Wizard_of_light
Ну, если Яндекс-деньги… Хотя постойте, это тоже Сбербанк.
wholeman
А почему они тогда карту Тинькоффа выдают?
token
Кто выдаёт карту Тинькоффа? Втб24???
KorDen32
Я.Д уже года полтора выдают свои карты. Даже больше — летом 2016 уведомили что все Тинькоффовские карты Я.Д. прекратят свою работу через пару месяцев вне зависимости от даты на карте и надо перевыпустить карту по льготной цене (10 рублей или даже 1 рубль, не помню).
Honeyman
У гугла и яндекса намного больше моих денег, чем у Сбербанка (потому что конкретно в Сбербанке моих денег что-то около нуля). А лежащую у гугла мою личную информацию и архив почты я бы оценил дороже, чем мои депозиты во всех банках и стоимость всех принадлежащих мне акций.
olegon-ru
Тут маленький нюанс, что Google и Яндекс к тайне банковских вкладов вообще никак не относятся. Помните, как все смс Мегафона в Яндексе всплыли? Вот и тут такая же история может получиться. Возможно, что и с худшими последствиями, поскольку завязана на деньги и более точные данные.
Honeyman
А что, Сбербанк к ней относится? И вообще, что, «тайна банковских вкладов» есть в России?
Любопытен факт, что это была проблема Мегафона и при этом достижение Яндекса («все яндексовые механизмы работали отлично»).
А может не получиться. FUD-ом балуетесь?
kartvladek
Глянул в Приват24 (Украина) — лежат 2 (две) гугл аналитики.
token
Это на всякий случай, вдруг первая не сработает.
Frankenstine
Там разные идентификаторы, видимо анализируют два разных отдела. Кроме того, там интересно само построение страницы — вся страница рендерится скриптом
darkpsy
[Паранойя мод он]
А различным адблокам вы доверяете? Этим маленьким и гордым компаниям. А ведь эти расширения имеют гораздо больший доступ к данным на всех вкладках вашего браузера, и они об этом пишут, но мамой клянутся что не собирают их и не хронят. Пока что… :)
[/Паранойя мод офф]
SinsI
Так они же хранятся на компьютере пользователя — и их код не обновляется самостоятельно, плюс можно посмотреть исходные коды; они скачивают из сети только списки того, чего нужно блокировать.
В таких условиях спрятать закладку достаточно сложно.
DistortNeo
Ну вот, а потом тех, у кого скрипты в браузере по умолчанию выключены, например, меня, называют параноиками.
Я бы ещё накатал заяву, что онлайн-банк не работает с отключенными скриптами. Точнее, не так: он прекрасно работает, но из функциональных элементов зачем-то убрали href, оставив только переход на другие страницы по onclick.
danisvalishin
блин. а я то думал, что хотя-бы у них все серьезно(
TheOleg
В метрике, например, есть визор, который записывает все движения мыши и изменения на экране
RSV
Честно говоря, это какая то жесть, со стороны сбера. Подключать сторонние скрипты на своем домене. И подмена кода скриптов посередине тут совсем не причем. Сбер может поручиться за всех сотрудников всех тех компаний, чьи скрипты он подключает, что они не имеют возможности временно или постоянно поменять код подключаемых скриптов для каких то своих целей? По моему абсолютно любые скрипты сбер должен грузить только с серверов принадлежащих ему. Куда смотрят безопастники сбера, хз.
DcFanoiD
Зато у них много мелких фенек.
gshep
так ведь ещё и flash висит
avia07
Не забывайте у Сбера рекордная прибыль и рекордные дивиденды.И это на фоне приличного кризиса в стране.
http://www.rbc.ru/newspaper/2017/05/29/59286d7e9a79471ccc5f92a4
Akon32
Считаете, это всё через интернет наворовали?
Nicks_TechSupport
Сбербанк сотрудников планирует сокращать, а вы всё тут о своём.
KorDen32
Давеча писал в три разных компании — в местный расчетный центр для ЖКУ, в сбер и куда-то еще по поводу наличия метрики и прочей лабудени в личных кабинетах. РРЦ ответили что действительно, статистика иначально предполагалась только на основном сайте, в ЛК ее быть не должно, и с некоторой задержкой выпилили. Сбер и еще один сервис написали красивую отписку по аналогии вашей…
А между тем я постоянно разрываюсь между удобством мобильного приложения вообще и идиотизмом сберовского приложения(привет, говноантивирус) в частности.
jabr
Жесть. Как жить без адблоков и скрипторезалок?
UnknownQq
… Сначала я начал пользоваться ghostery и просто банерорезками, но когда я себе поставмил uMatrix и посмотрел где эти метрики есть… в общем, начал осознавать, что либо у нас в некоторых структурах работают совершенно некомпетентные люди, причем, на управляющих должностях, либо они, мягко говоря плохие люди. Именно поэтому я теперь в интернеты хожу только с фильтрами загружаемых ресурсов, назовем их так. А любимым сбером онлайн пользуюсь на чистом от контактов и прочей лишней для банка информацией, по моему мнению, девайсе. Да, это несколько стесняет, зато это и более надежно.
Кстати, обратите внимание, что на страницах, где Вы вводите карточные данные зачастую та же самая метрика есть, причем, почти везде.
Varkus
Карта привязана к мобильнику.
Решил посмотреть баланс карты через номер 900.
Но вместо БАЛАНС набрал цифру 900, хз почему затупил, отправил.
Сбер прислал: введите номер хххх для подтверждения оплаты услуг сотовой связи с карты.
Снова отправил БАЛАНС
Пришел баланс.
Отправил 300, чтобы на мобильнике пополнить баланс.
И вот тут САМОЕ интересное:
деньги улетели на мобильник БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!
Это КАК ТАК?
Markscheider
Voenniy
У сбера до какой-то суммы свой номер можно пополнять «БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!»
Akon32
Вы привели пример идеально сработавшей системы подтверждения — когда ввели что-то не то, банк запросил подтверждение; когда ввели что хотели — банк выполнил без лишних вопросов.
Cast_iron
Это всегда ТАК, когда инструкции к товару (услуге) не читаются.
amarao
Есть более крутые методы ограничения подобного. RequestPolicy или umatrix. Там можно явно сказать куда конкретному сайту надо ходить, а куда точно нет.
SCST
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».
Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.
Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.
Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.
Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, …
либо я админ компьютера или домена.Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.
Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.
С уважением,
Эксперт службы Кибербезопасности Сбербанка
mayorovp
Не переживайте, мы как-нибудь обойдемся без ссылки на пост в комментариях к этому самому посту.
SCST
Да писал, как отдельный пост, а в коммент вставляя не поправил. Со всяким случается :-)
Boomburum
Вижу с вашего аккаунта пост в песочницу, опубликовать его?
SCST
Пока не надо, спасибо. Я его всё равно уже сюда в коммент закину. Что-нибудь более развёрнутое напишу.
imwode
Я бы рекомендовал воздержаться от подобных выпадов (фигово получается):
С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер.
В пользу чего-нибуть такого:
Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.
NaHCO3
> Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.
Вы ведь понимаете, что гуглу пофиг все ваши соглашения, он в другой юрисдикции. Если местный суд или спецслужбы скажут, что надо отдать информацию, он отдаст. А штаты очень любят обвинять россиян по надуманным поводам.
И вообще, зачем вам увеличивать поверхность атаки? Неужели нельзя было самим продублировать функциональность скриптов.
Вы ведь уже не новички, которые сайт про котиков делают. Для них уровень безопасности «я никому не интересен» достаточен. Но не для банка, который с деньгами работает.
YMA
Раз пошла такая пьянка, подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
При этом:
— клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства;
— про перехват СМС злыднями нам СМИ регулярно рассказывают;
— да и угадать этот код случайно есть вероятность ;)
redskif
а Фамилия, Имя, Отчество есть у эксперта?
pacahon
Не специалист, но разве нет бесконечно малой вероятности, что сам гугл может оказаться зловредом и подменить скрипт? Как бы вы ни мониторили скрипты, мгновенно вы не отреагируете, а значит возможна утечка части данных. Очевидно, что избавиться от этого довольно легко — достаточно загружать скрипты со своих серверов.
ploop
Тоже не специалист, но как понял — статья именно об этом.
SCST
))) все передаваемые данные до байта проверяются. Если вдруг скрипт изменится — он моментально вылетит.
pacahon
А вы можете вместо скобочек кратко написать, каким образом это происходит? Сэкономьте людям время, пожалуйста. Проверка идёт через клиент, раз сам скрипт грузится со стороннего сервера. Пока с ваших слов получается, что вы загружаете копию скрипта и делаете побайтовое сравнение. Как вы понимаете, это довольно абсурдно звучит.
lamo4ok
Бекенд СБОЛ при сборке страницы и перед отправкой ее клиенту запросто может запускать проверку подключенных скриптов, а точнее — проверять некий параметр конфигурации, куда с некоей частотой записывается результат проверки скриптов. В итоге клиенту будет отдана страница либо с той частью html-кода, где данные скрипты подключаются, либо нет. В чем проблема-то?
pacahon
Может, не спорю. Но в вашем подходе всё равно что-то вроде состояния гонки есть.
lamo4ok
Ради использования такого подхода стоит задаться тремя вопросами:
1. Нужен ли функционал, который предоставляют подключенные скрипты, в СБОЛ?
2. Что дешевле, разрабатывать решения, предоставляющие этот функционал, или же всего лишь проводить аудит этих решений и разработать модуль, контролирующий поведение бекенда в зависимости от результатов аудита?
3. Удовлетворит ли секьюрность решения с аудитом внутренним требованиям безопасности разработчика и требованиям законов?
Ответы, на мой взгляд, очевидны.
olegon-ru
Извините, анонимный Эксперт службы Кибербезопасности, но меня лично Вы совершенно зря задели… После того как Вы начали писать в комментариях ересь, можно было бы вообще проигнорировать это исчадие беллетристики, но многие читающие стали неправильно истолковывать мое молчание.
Буду последователен.
Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.
Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).
Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.
В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?
Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?
Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.
Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.
Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.
Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?
Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…
Valle
Вообще слова сбербанка более убедительны. «ничего не менял» и «поменял сертификат» это две разные вещи. Если атакующий имеет доступ к клиентскому устройству то совершенно ничего что происходит на этом устройстве уже не защищено. Ставь кейлоггеры, заменяй браузеры и страницы со скриптами целиком — защиты уже нет. Понятно, что гугл может изменить скрипт для создания бэкдора, но это крайне маловероятно.
ValdikSS
Зачем вы намеренно вводите людей в заблуждение, демонстрируя подобные видео без каких-либо пояснений того, что было сделано для осуществления подмены скриптов? Совершенно очевидно, что вы для этого добавили свой собственный центр сертификации в браузер или ОС, для чего нужен доступ к машине от имени администратора. Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.
Нельзя же пользоваться неосведомленностью людей. Вы разом занижаете планку уважения к себе.
SinsI
> Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.
Этот скрипт может подменить любой сотрудник Гугла или Яндекса, имеющий доступ к админке соответствующего их сервиса.
Что совершенно не вяжется с даже минимальными требованиями безопасности — доступ к таким вещам должен быть строжайше ограничен, и уж точно ни в коем случае не должен свободно предоставляться сторонним организациям!
ValdikSS
Выпустить X.509-сертификат на sberbank.ru тоже может владелец любого удостоверяющего центра. Более того, это неоднократно случалось, в отличие от подмены метрик Яндекс и doubleclick.
Я ни в коем случае на защищаю наличие метрик на сайте Сбербанка и не только, но это не повод для ввода людей, не разбирающихся в информационной безопасности, в заблуждение подобными видео без пояснений.
SinsI
Могу ошибаться, но ведь браузеру вроде бы должно быть достаточно один-единственный раз получить public key из подлинного источника, после чего поддельные удостоверяющие центры уже не страшны?
Скрипты же заново качаются при каждом заходе…
a5b
При первом заходе — только если правильно настроен Public Key Pinning (HPKP), а он не настроен (лишь sberbank.ru отдает некий "equifax_sha256" от Equifax Secure CA, у поддоменов HPKP нет)
Даже до первого захода будет защита если есть HSTS Preloading (https://hstspreload.org/) и preload HPKP / static Public Key Pinning (который есть лишь для крупнейших сайтов — https://security.stackexchange.com/questions/143500/are-there-any-mechanisms-to-preload-http-public-key-pinning "big vendors currently restrict the preloaded public key pins to their own properties and some high profile sites (Google, Facebook, Twitter, etc.)").
Еще включенный на домене обычный HSTS не даст пользователю нажатием кнопки проигнорировать сертификат, не подписанный доверенным корневым центром.
От подмены скриптов мог бы защитить атрибут integrity тега script (если ссылка идет на конкретную версию скрипта) — https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity (Chrome 45+, Firefox 43+); https://frederik-braun.com/using-subresource-integrity.html (A CDN that can not XSS you: Using Subresource Integrity, 2015)
Настройки HSTS/HPKP по доменам:
https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) Incomplete No pins matched pin-sha256="/1aAzXOlcD2gSBegdf1GJQanNQbEuBoVg+9UlHjSZHY="; max-age=1512000
https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=node2.online.sberbank.ru&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=stat.online.sberbank.ru&latest
RC4 Yes INSECURE
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
https://www.ssllabs.com/ssltest/analyze.html?d=scr.online.sberbank.ru&s=77.244.212.55&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
https://www.ssllabs.com/ssltest/analyze.html?d=mc.yandex.ru&s=93.158.134.119&latest
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=tag.rutarget.ru
POODLE (SSLv3) Vulnerable INSECURE
RC4 Yes INSECURE
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No (more info)
https://www.ssllabs.com/ssltest/analyze.html?d=google-analytics.com&s=216.58.194.196&latest
Strict Transport Security (HSTS) Yes
HSTS Preloading Chrome Edge Firefox IE
Public Key Pinning (Static) Yes includeSubDomains: true pin-sha256: 7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y= pin-sha256: h6801m+z8v3zbgkRHpq6L29Esgfzhj89C1SyUCOQmqU=
https://www.ssllabs.com/ssltest/analyze.html?d=mc.webvisor.org
RC4 Yes
Strict Transport Security (HSTS) No
Public Key Pinning (HPKP) No
Скрипты могут кэшироваться (в теории)
dmz9
Для улучшения качества услуг можно просто устроить опрос пользователей, а не «втихушку» собирать данные.
Сам факт наличия метрики третьей стороны (именно третьей стороны) на странице уже сам по себе возмутителен. И неважно какие соглашения о конфиденциальности существуют в ПС.
Использование сторонних метрик, кроме прочего — для меня как признак «дешевизны» сервиса.
Хотите делать правильно — разработайте собственную метрику. Или в сбере денег пожалели?
shurricken
" Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка"
не знаю что там с контролем, но пароль к ЛК можно получить, имея на руках украденный телефон и просто номер карты..., И отключить эту фичу нельзя, мне отказали по крайней мере.
причем телефон может быть заблокирован, пароль приходит в первой-второй строке и высвечивается на экране, если включены предпросмотры СМС.
Ezhyg
Уже нет. Относительно недавно (пару месяцев точно) и само сообщение стало длиннее и пароль переместился сильно ближе к концу.
motienko
Ужас какой, я еще в сентябре 2015 отправлял в Сбербанк бумажное обращение на эту тему, за 1.5 года так и не пофиксили.
Amanita
Сделал репост вашей записи на FB, ответ пришел тут же, аналогичный.
Гениальная реакция…
montonero
Недавно обнаружил очередной косяк в Сберонлайн. Началось все с того, что перестали приходить оповещения об операция на емейл. Пошел смотреть настройки оповещений — все ок. Пошел в личные данные — нету емейла. И добавить его не получается: после добавления все выглядит хорошо и даже приходит письмо на указанный адрес, но после выхода из лк емейл «забывается». Однако, сюрприз-сюрприз, настройки оповещения так и остаются настроенными на емейл.
Таким образом, человек перестает получать какие-либо уведомления об операциях, потому что настроена отправка на емейл, но адреса — нет.
Написал в поддержку, сначала они сказали, что, цитирую: «На данный момент, функционал изменения персональных данных в Сбербанк Онлайн полностью не реализован. Для корректного отражения информации и указания актуального адреса электронной почты, необходимо обратиться в любой офис банка и подать письменное заявление.» Нормально так. То, что раньше можно было указать емейл безо всяких визитов в офис, они, видимо, забыли.
После того как я поинтересовался о том, куда же делся ранее указанный адрес, сказали, что ответят в течение 6 дней. Жду ответа с нетерпением.
Короче, если у кого-то настроено оповещение на емейл — самое время проверить, что с ним все в порядке.
iVNEi
Банк гонится за прибылью и готов пойти на все.
as_neo
хотел по существу что то прочитать, один мусор и нытье про свои болячки, кому и как удобно/неудобно ходить к банкомату.
strcpy
У бинбанка тоже самое, написал им, жду реакции.
dewil
цепная реакция :)
VitaliyII
Привет, Олег!
Ваши доводы, на мой вкус, выглядят убедительно. Ссылку на Вашу статью разослал коллегам. У меня у самого есть весомые личные причины для недоверия Сбербанку. Сердечно благодарю Вас за то, что не поленились опубликовать эти сведения о фактах.
Олег, скажите, пожалуйста, планируете ли Вы донести эту инфу до правоохранительных органов? Ибо, если Вы правы, работники СБ совершили преступление. По меньшей мере, статья 137 «Нарушение неприкосновенности частной жизни».
--
nikolayv81
Не волнуйтесь, подписав любой договор с большинством крупных банков вы подписали и допник, который прикрывает банк со всех сторон.
VitaliyII
Николай, насытьте этот свой довод конкретикой, пожалуйста: законодательство, условия договоров и судпрактика.
nikolayv81
Мне не пришлось пользоваться десятком банков, но вот в нескольких крупных в пакет документов входит согласие на обработку, причём там немало пунктов.
При оформлении заявки на ипотеку, есть ещё и доп. пункты про родственников, семейное положение и т.п.(из личного опыта, можно отказаться но перспективы получить кредит после этого туманны).
Из личного опыта, ещё была такая бумажка у работодателя, по которой пришлось очень со многим согласиться, в том числе и в интересах банка представлявшего зарплатный проект.
Понятно что что-то из этого вполне может быть злоупотреблением права, что-то можно отменить через суд, чем-то не будут пользоваться, но юристы на всякий случай включают в такие бумаги всё что только можно туда вписать, причина думаю понятна.
suicideme
Сейчас погуглил, полно свободных решений по аналитике. Странно, что все крупные компании доверяют яндексу и гуглу.
smirnov_anna
из пальца высосанная чушь! такие скрипты есть у всех банков и они сами больше всего заинтересованы в безопасности, т.к. несут ответственность за бабосики и в случае чего будут возвращать
susnake
Альфа. Проверил скрипты в ЛК — ничего не лежит на сторонних серверах. Метрик и прочей чуши вроде тоже нет.
На главной, да, есть. Но уже на click.alfabank.ru все чисто.
rensaid
Kaspersky Internet Security с безопасными платежами поможет?
sumanai
Разве что добавит себя в качестве ещё одной следилки.
sql_id
Печально видеть столько людей, озабоченных посягательством сберабанка на информацию об их переходах по страницам браузера. Почта, к примеру, не примет от Вас заявление, если Вы не укажете паспортные данные. На мой, субъективный взгляд это гораздо опаснее. По неподтвержденным данным, коллекторские (возможно и не только) конторы имеют доступ к данным Пенсионного фонда и налоговой, где полностью расписаны официальные выплаты еще с 90х. Ну и наверное ни для кого не секрет, что тайну переписки по SMS у нас не гарантирует ни один сотовый оператор. По поводу удобно/не удобно, хорошо/плохо: банков в РФ еще много и есть выбор.
Oleg_Dolbik
При всем богатстве выбора… У Газпрома, как минимум, сидит статистика гугла и яндекса.
Bonio
Вот даже интересно, что за глюки такие, можно пример? Пользуюсь блокировщиками сколько себя помню, раньше adblock, сейчас ublock, никогда никаких глюков не замечал.
olegon-ru
Я уже нахватал минусов выше, хотя не заставляю никого отказываться от резаков, а в данном случае еще и предлагаю их использовать.
Поскольку подавляющее большинство резаков выкидывают скрипты по шаблону названий, иногда по ошибке выкидывается что-то нужное. Сам лично на что налетал — невозможность создания событий в гугл-календаре, проблемы с навигацией в каком-то инет-магазине. После чего отключил, когда правил код своего форума в веб-интерфейсе и в итоге, при сохранении кода, получил вместо нового варианта удаление старого…
dewil
пользуюсь ghostery, в основном не для резки баннеров, а для резки трекеров
fryday
olegon-ru, а чем обоснован выбор гиктаймс в качестве ресурса для публикации, а не хабра? В аудитории среди которой можно запустить хайп?
olegon-ru
fryday, я хайпа вообще не ожидал, если честно. На хабре у меня учетки нет, как не было и здесь. Началось все вообще с моего форума (ссылка на который есть в статье), значительно раньше. Просто на форуме посоветовали написать, я и сделал это. Такого ажиотажа, если честно, не ожидал.
fryday
На Хабре такого бы не было, вам бы там сразу популярно объяснили почему это будет работать, а если предоставится возможность для реализации данной атаки, то такой способ это overkill ;)
olegon-ru
Вся тяжесть текущей ситуации в том, что я и так знаю, почему это будет работать. Но меня обвиняют в умении пользоваться видеоредакторами, хотя видеоредакторы — это, на самом деле, та область, в которой я мало что понимаю и даже ман по ffmpeg до конца не дочитал еще.
fryday
Я к сожалению опечатался, и там должно было быть не работать. Точнее не работать, как реалистичный вектора атаки. Если у меня есть возможность реализовать MITM, мне абсолютно без разницы, какие скрипты там подключаются.
ValdikSS
ValdikSS
Объясните, почему это будет работать, пожалуйста. Каким образом мне провести атаку, если я не Яндекс.Метрика и не doubleclick, без доступа к компьютеру пользователя с правами администратора, чтобы импортировать ему свой CA в ключницу?
MrAloof
Зачем свой CA внедрять? Валидные ssl щас не дорого. Владея трафиком (точкой wifi или еще чем) подменить скрипты не проблема.
ValdikSS
Сертификат на нужный вам домен, если вы не владелец этого домена, вам не выдадут, а сертификаты на другие домены будут отбрасываться браузером.?
ZardoZAntony
Просто надо уметь банерорезки настраивать на глючащих сайтах, вносить в исключения ненужные сайты и будет счастье. Всю жизнь ими пользуюсь, глюки на сайтах крайне редки, за последние пол года ни одного не припомню. В основном приходится вносить исключения для скрипта или банить сам скрипт проверки на установленный блокировщик.
Salt_Of_The_Flame
если так всего бояться — откуда у вас уверенность, что та самая баннерорезка не подселит тот самый скрипт-кейлоггер в один прекрасный день незаметно для вас. если так смотреть — это более вероятно, чем описанные варианты с кражей домена у гугла, и огласка намного меньше будет.
к тому же, в наше время, если бы вы знали кухню регистраторов и защитников тоаврных знаков — домен слямзить у гугла уже будет нереально — затаскают и обложат так, что мало не покажется. к тому же, в описанном случае роскомнадор скорее всего сработает моментально
olegon-ru
Напомню, что совсем недавно домен гугла забыли продлить, хорошо, что его перехватил бывший сотрудник гугла, а не кто-то еще. Проблема еще в том, что домен воровать совершенно необязательно. Можно его перенаправить в локальных масштабах.
Про баннерорезку могу так же напомнить, что существуют баннерорезки с открытым кодом. Но и это уход в сторону от сути вопроса и правильного пути его разрешения: убрать сторонние скрипты из личного кабинета.
Salt_Of_The_Flame
не все баннерорезки с открытым исходным кодом
sumanai
Никто не запрещает не пользоваться баннерорезками с закрытым исходным кодом.
Kuznets78
Новость на Рамблере: «Как отметил эксперт Олег Калабухин, в систему „Сбербанка Онлайн“ внедрены сторонние приложения и счетчики, которые имеют доступ к личной информации клиентов».
https://news.rambler.ru/business/37020698-v-sberbanke-onlayn-naydena-uyazvimost/
Aspire89
Давайте напишем Герману Оскаровичу письмо, пусть своим специалистам по голове настучит.
ntimofeev
есть его прямые контакты? :)
по обычным каналам не дойдет, только если открытое писать, но тогда где?
WitcherGeralt
Хранить деньги в помойке и удивляться, что она не безопасна, Л — логика.
warpdiver
зато у них 9к разрабов в сбертехе
sumanai
Винду разрабатывает 4к, куда им столько? Хотя ладно, вопрос был риторическим.
ntimofeev
Та же проблема и с другими Банками может быть.
Сейчас проверил Тинькова, там скрипты аналитики Гугла грузятся со своего поддомена static.tinkoff.ru, походу есть такая возможность. На первый взгляд там не нашел ничего со сторонних доменов.
Но, если я правильно понял суть проблемы, то не обязательно подменять скрипты и домены локально, из полей ввода можно данные тырить и плагинами к браузеру и еще чем-нибудь.
Тут вопрос только слива персональных данных не задумываясь сторонним организациям.
ded_Sergei
Думаю что тут все же больше вопросов о том, что мы надеемся на безопасное приложение по последним стандартам безопасности, а по факту это сборная солянка продуктов сторонних организаций, которые возможно! не так тщательно относятся к данным пользователям.
Ну если более научно: Надежность системы это произведение надежности всех компонент
ntimofeev
еще живы в памяти истории
Vector_om
А если запретить всё, кроме выхода на IP сбера и т.п.?
Viacheslav01
Много интересного написали, но я не могу понять, как можно в продукте который должен быть безопасным использовать не верифицированные внешние решения?
Да конечно, вероятность атаки с этой стороны не велика, но она не равна нулю, а значит должна быть нивелированна.
ntimofeev
Согласен, вероятность не велика, потому о ней скорее и не думали.
Если помните, как-то были популярны трояны, подменявшие в hosts ip ВК и пересылающие на страницу обманку для кражи пароля. Тут же достаточно подменить сторонний скрипт и пользователь может не заметить, в отличие от подмены полного сайта.
brzsmg
Новости подхватили статью Олега Кулабухова olegon-ru
Похоже SCST все таки реальный сотрудник, должны же СМИ как то проверять источники.
rambler.ru: Сбербанк ответил на сообщения об «уязвимости»
riafan.ru: СМИ сообщили об уязвимости «Сбербанк Онлайн»
rueconomics.ru: Сбербанк ответил на сообщения об «уязвимости»
rueconomics.ru: В «Сбербанке Онлайн» найдена «ахиллесова пята»
sputnik.fm: Сбербанк прокомментировал возможность угрозы хищения данных из «Сбербанк Онлайн»
dni.ru: Раскрыта серьезная уязвимость «Сбербанк Онлайн»
plusworld.ru: Сбербанк опроверг информацию об уязвимости Сбербанка Онлайн
rzn.info: Эксперты нашли в «Сбербанк Онлайн» уязвимость для хакеров
«Ахиллесова пята», перепрыгнули Ализара по желтушности заголовка)
zegupab
А вот в корпоративном разделе сбера https://sbi.sberbank.ru:9443/ic/dcb скрипты гугла грузятся со сбера, а не гугла. Странно...
mike_y_k
Дыра на дыре и ничего не меняется.
Слава б-гу стоят банерорезка и блокировка доступа ко всем этим аналитикам.
А вот разница и существенная с приложением и сайтом уже много лет просто бесит.
Недавно оказалось, что для получения ежемесячной выписки надо писать заявление в офисе!!! вместо галочки в личном кабинете.
Софт написан в стиле курсовой или для демонстрации своих способностей.
Похоже у них нет ни нормально проработанной постановки, ни нормального тестирирования, ни аналитиков,…
HiVaccessdenied
Интересно, а для чего делается вот это?
Просто открыл главную страницу.
sumanai
Выше обсуждали.
pavlick
https://roem.ru/02-06-2017/251478/q-for-sber/
А вы про потенциальную возможность слива данных рассуждаете.
eisaev
Сбербанк на конференциях, абсолютно не стесняясь, рекламирует себя как обработчика BigData, а "Data" у них ну прям очень "Big". В этой ситуации меня удивляет не сам факт слива статистических данных, а тот факт, что они позволяют зарабатывать на ней сторонним конторам вроде гугла.
NaHCO3
Что это мы, в самом деле. Рассказываем про ошибки и потенциальные уязвимости, и как всё может пойти не так. А у сбербанка и намерения не было хранить тайны своих клиентов.
KMiNT21
НЛПшный текст прям какой-то. :) Хайпо-заточенный.
«не удалось связаться»
«исправить утечку данных»
«Обнаружил я эту гадость»
«часть зловредов»
«Я даже не обиделся, просто записал видео.»
Короче, нет времени объяснять — плюсуй статью!
Как-то так. :)
bopoh13
На почту приходят письма с адреса «Спасибо от Сбера» все в реферальных ссылках clientrix.cplsb.ru от компании RapidSoft. Кто-нибудь пробовал отписываться, также продолжают приходить письма?