В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.

image

Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).

Обнаружил я эту гадость совершенно случайно, поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков. Теперь же я настоятельно рекомендую до исправления ситуации резак включать хотя бы на сайте Сберонлайна, хотя и с ним при включенном резаке были глюки, лично у меня.

Баннерорезка блокирует часть зловредов.

image

Я написал на zabota@ Сберу и в FB. Звонить я не терплю, уж извините. В FB был получен замечательный ответ.

image

Я даже не обиделся, просто записал видео.



Слева сайт Сбербанк Онлайн, справа — мой комп в 20км от того места, где я сижу. При наборе какого-либо текста, включая пароль, данные уходят в журнал на моем компьютере. Заморачиваться не хотелось, потому на все ушло меньше времени, чем я пишу эту статью.

Суть происходящего в следующем:

1) Скрипты могут быть использованы для сбора любой информации, о платежах, картах, паролях и других вводимых и отображаемых данных.
2) Скрипты могут не принадлежать тем хостам, с которых их изначально планировалось брать (в видео выше я подменил один из скриптов на свой), поскольку оценка безопасности перекладывается на браузер пользователя, изначально крайне небезопасную вещь.
3) Скрипты могут быть использованы для подмены вводимой информации.

На видео я демонстрировал только дублирование ввода пароля. Просто потому, что не хочу входить в свою учетку публично.

Началось все с моего форума, но, к сожалению, никакого результата это не дало.
Поделиться с друзьями
-->

Комментарии (678)


  1. Radjah
    29.05.2017 14:56
    -44

    > поскольку баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков
    Выставлять голые ягодицы в интернет и жаловаться, что ими кто-то пользуется.


    1. kostus1974
      29.05.2017 15:02
      +21

      да вы что! у меня другая аналогия: сбер потихонечку, незаметно для вас снимает с вас штанишки и предлагает наклониться к окошечку… «не волнуйтесь, ягодданные используются только для анализа»


      1. Radjah
        29.05.2017 15:43
        -45

        Пользуйся приложением или ходи ногами до отделения/банкомата.


        1. Markscheider
          29.05.2017 15:47
          +10

          Пользуйся приложением
          Это которое мобильное решето? Нет, спасибо…

          А посещать отделение и проводить операцию через специалиста — это адъ и израиль. В принципе, терминалы/банкоматы до известной степени решают, да.


          1. Radjah
            29.05.2017 15:51
            -21

            Ну тогда ногами до отделения. Удобство=1/Безопасность


            1. Markscheider
              29.05.2017 15:55
              +3

              Ну тогда ногами до отделения
              Вот еще бы они начали на улицу (24/7) ставить не простые банкоматы, а с приемом наличных. Сейчас таких оч. мало.
              Вот это бы меня окончательно примирило с действительностью. Потому что бОльшая проблема — завести бабло, а не снять его…


              1. Radjah
                29.05.2017 16:04
                -17

                По пути от работы до дома два больших отделения Сбера. По 3 аппарата в зоне 24. Минимум один работает на приём налички.

                //эк я кого-то задел. Аж не поленился в профиль нагадить.


                1. Markscheider
                  29.05.2017 16:11
                  +4

                  По пути от работы до дома два больших отделения Сбера.
                  Это вам повезло :). У меня даже три отделения в пешей доступности, но наружу (24/7) у них выставлен только один банкомат, который:
                  1) чаще бывает на профилактике, чем работает
                  2) когда работает — часто бывает без денег, т.к. к нему «не зарастает народная тропа»
                  3) не имеет функции cash in.

                  А ведь это спальное внутримкадье. Прям переживаю за жителей Новой Москвы, у них, видимо, ситуация похуже будет…


                  1. plm
                    29.05.2017 22:25
                    +1

                    У нас стоит при входе в бизнес-центр. Деньги принимает. Я, конечно, не записывал, но мне кажется что в этом году он работает не чаще одного дня в неделю, а так посмотришь — восклицательный треугольник во весь экран. Очень часто видел чешущего репу ремонтника рядом.


                  1. Ryle
                    30.05.2017 11:46
                    +2

                    У меня от сберовских кеш-инов глаз дергается. В отделении пыталась внести деньги, банкомат их съел, и… все. Сотрудники подошли, лениво потыкали в кнопки: «аааа… он опяааать… дааа… сегодня вы уже трееетья… пишите заявлееение… нееет, написать объявление, что не принимает деньги, нельзяяяяя...»
                    Деньги возвращали месяц, и потом в ответ на жалобу пришла отписка в стиле «банкомат — сложный прибор, и он иногда ломается. Жри, что дают».


                    1. daggert
                      30.05.2017 13:11
                      +3

                      Зря вы в отделение обращались. Надо сразу на горячую линию звонить, в отделениях не особо обремененные разумом люди работают.


                      1. Markscheider
                        30.05.2017 13:14
                        +1

                        в отделениях не особо обремененные разумом люди работают.
                        Подтверждаю. Мне в одном отделении втирали, что определенный тип карт в долларах не открывают (тогда как в саппорте сказали, что открывают). У начальства уточняли даже… Я сделал ставку на саппорт и не проиграл :). Пришел в соседнее отделение, там открыли карту без проблем :):):)


                      1. Ryle
                        30.05.2017 13:44

                        В отделении я написала жалобу в жалобную книгу, и плюс кляузу через мыло. На мыло меня и послали в «горячей линии».


                        1. Mogwaika
                          30.05.2017 14:14

                          Ещё на банки.ру результативно получается писать.


                          1. dewil
                            31.05.2017 10:16

                            не очень.
                            я жаловался на ВТБ24, что они в тарифах пишут одно, а по факту снимают комиссии по другой формуле.
                            просто отмазками отмазались, воз и ныне там.
                            нет времени жалобу в ЦБ на это отправить


                            1. zkolja
                              31.05.2017 11:29
                              -1

                              ЦБ переадресует это всё в банк, на который жалуешься и… и всё.
                              Жаловался на грефа, что в Крым деньги не переводит (брат попросил помочь), а комиссию исправно дерёт.


                            1. Mogwaika
                              31.05.2017 14:34
                              +1

                              ЦБ с физлицами не работает, мне прислали отмазку, что они только делами Банк-государство (если по простому) занимаются и проблемы отношений физиков с банком должен решать кто-то другой.


                            1. ISVLabs
                              03.06.2017 09:50

                              ВТБ24 — это вообще отродье дьявола и отголосок совка…
                              пользуюсь этим банком почти 10 лет и, к моему сожалению, не могу отказаться и вынужден терпеть :(


                              1. dewil
                                03.06.2017 17:29

                                список выбора большой.
                                на верхушке Тиньков и Рокетбанк.


                        1. daggert
                          30.05.2017 17:11
                          -1

                          Не возитесь никогда с отделениями. Есть телефон горячей линии, звоните туда. Письма и кляузы это все не пустота, звонок для них пока важней.


                          1. token
                            30.05.2017 17:36
                            +2

                            Так же могу сказать, не возитесь никогда с горячей линией, потому что там сидит человек — автоответчик, у нее есть бумажка она с нее читает и все.


                            1. daggert
                              31.05.2017 00:40

                              Ну по моему опыту (заглотил деньги — написал ошибку || проглотил карту — перезагрузился || выдал деньги — не выдал карту || не выдал деньги — списал с карты) — горячая линия, спросив номер АТМа, почти сразу возвращает деньги на счет, либо перенаправляют проблему в отделение, где ее реально решают. А напрямую в отделение идти… ну черт знает. Те кто стоят в залах — они как правило бабушкам помогают реквизиты набить. Кассиры тоже не айс. Манагеры как правило не лучше зальных обитателей, советуют звонить в СП.


                              1. mayorovp
                                31.05.2017 09:25

                                Это работает только для своих клиентов. Для клиентов других банков ответ горячей линии — "мы не оказываем услуги возврата карт, обращайтесь в ваш банк".


                                1. daggert
                                  31.05.2017 10:12

                                  Об этом не подумал (:


                  1. parapetof
                    31.05.2017 12:24

                    Тоже столкнулся с проблемой пополнения — ближайшее замкадье, вчера пробежал два отделения: в одном два банкомата, один на приём (не работает). Во втором 8 банкоматов, из них 2 на приём (1 не работает, ко второму очередь порядка 10 человек.)


                    1. Ezhyg
                      01.06.2017 07:52

                      Не ищите «банкоматы», ищите «терминалы» (раньше это называлось «электронная касса») — все они принимают деньги (но не выдают) и способны перевести ваши деньги куда угодно (почти).


              1. vlivyur
                30.05.2017 11:12
                -1

                Серая зарплата? Просто иначе очень сложно понять зачем это часто нужно. Ну, я ещё так делаю ускоренные межбанковские переводы: с карты одного банка снял, на сбер внёс.


                1. zkolja
                  31.05.2017 11:47
                  +2

                  для примера: карта сбера у меня основная (так исторически сложилось), з\п дают на карту другого банка (эту карту нигде не свечу). За перевод надо платить %.


                1. nikolayv81
                  31.05.2017 19:59
                  +1

                  Оплата ипотеки сбера :)


              1. snegg
                30.05.2017 22:12

                во всех отделениях сбера, и в отдельных павильонах на остановках по 2-3 банкомата, из которых 1-2 принимают наличку и по 1-2 терминалу которые тоже принимают наличку, но не выдают. г. Чебоксары


                1. Praksitel
                  31.05.2017 06:37

                  Работал в офисе в Москве, ещё этой зимой. Расположенные в радиусе километра от офиса 2 отделения сбера были закрыты, теперь ближайшее в 2 км. Ул. Смирновская, если что.


                1. vlivyur
                  31.05.2017 09:45

                  Ну это ещё и от города зависит и от района этого города. Вполне допускаю что может не быть отделения с банкоматом вообще и на приём в частности (терминалы наверно во всех есть). Это может быть вызвано площадью этого отделения (иногда его можно найти в обыкновенной двушке) и тем более может не быть зоны 24. А отдельные павильоны вообще только в Норильске видел.


              1. Fenyx_dml
                31.05.2017 13:59
                -2

                Прямо вести из параллельной вселенной. А вы зарплату в конвертах получаете? Или в кассе налом? Тогда над вами можно только поржать в голос! При безналичном получении денег что перевести их на счет (карту) сбера, что сразу их там «находить» — абсолютно безнапряжная процедура. Хоть обпереводись. Кстати, а автор написал о сбербанк онлайн! Алё, вы в монитор деньги сувать собрались или флоповод еще остался?


            1. Al-Vas
              30.05.2017 04:54
              +2

              21 век так-то, пора уже отходить от этой порочной практики)) а таким крупным компания быть более, как бы это сказать, клиентоориентированными, причем не в рекламе


            1. am_devcorp
              30.05.2017 12:07
              +1

              У меня есть идея получше, зацените:


              — сбер убирает стороннюю аналитику со своих страниц и пишет свою


              1. dewil
                31.05.2017 10:18
                +1

                я заценил.
                даже не так.
                и просит Почта-Банк, написать им свою аналитику


          1. ploop
            29.05.2017 16:00
            +2

            В принципе, терминалы/банкоматы до известной степени решают, да.
            Ага, особенно терминалы. Где чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетов, ещё и текстовую информацию, всё без права на ошибку, иначе квест сначала. Отходишь от него как выжатый лимон.

            В онлайне это делается банальным шаблоном.


            1. Markscheider
              29.05.2017 16:03

              чтобы оплатить ребёнку за школу надо ввести 100500 20-значных счетов
              Два двадцатизначных, БИК и ИНН/КПП организации-получателя. Если школа — коммерческая организация, то это все. Платежи в бюджет — плюс еще всякие КБК.

              Но я написал «решают в известной степени». Неудобства есть, вне всякого сомнения.


              1. ploop
                29.05.2017 16:11
                +4

                Да хоть один 20-значный, набирать это вручную в толкучке очереди не очень приятно. Могли бы хоть интерфейс поудобней сделать, в идеале — забить эти данные в такие же шаблоны (таких организаций в городе не так уж и много, масса платежей стандартна, школы, детсады, ГИБДД, и т.д.)

                Так что тут адъ не меньший. А операционисты вообще у нас перестали принимать платежи, шлют в терминал. Не знаю, имеют право или нет, но бабульки послушно идут.


                1. Insane11
                  29.05.2017 18:53
                  +2

                  Ага, у нас рядом с офисом платное МРЭО, так там держат специального соотрудника, который за клиентов их данные в сберовский терминал вбивает. = )


                  1. ploop
                    29.05.2017 22:17

                    У нас тоже стояли, сейчас не знаю, в банке редко появляюсь, только для замены карт. Там, где 24часа не стоят.


                1. Oberon812
                  29.05.2017 19:34
                  +1

                  А у вас банкомат со сканером? Можно посмотреть, что именно и в каком порядке забивается в QR-код на квитанции и сделать визитку-шаблончик с нужным счётом и суммой, останется только проверить и внести наличные. Решение из области программы «Очумелые ручки», конечно, но если других вариантов нет — может и сработать.


                  1. ploop
                    29.05.2017 22:16
                    +1

                    Вариант, кстати. Что внутри QR знаю, делал его по работе. Но сам полностью всё оплачиваю через онлайн, так что лично меня всё устраивает, поворчать за компанию зашел :)


                  1. KorDen32
                    30.05.2017 02:08

                    А эти сканеры у терминалов сейчас работают?
                    Этак в 2009 в Сбере мне показали на тот момент офигенную фичу — можно было платить налоги в терминале без очередей и комиссий кассы, еще и без ввода цифр — можно было, выбрав налоговую, сканировать штрих-код!
                    Пару лет так платили налоги всех родственников. А потом сканеры сломались (программно видимо), потом новые терминалы вообще без сканеров были…
                    Сейчас сканеры есть, но я так и не пойму, какие коды они вообще умеют считывать — ничего из того что подсовывал, не читалось.
                    Как и смысл от наличия NFC у банкомата, если все равно карту надо вставлять.


                    1. Markscheider
                      30.05.2017 10:19

                      А эти сканеры у терминалов сейчас работают?
                      Работают, и их даже бабушки освоили :)


                    1. Fagot63
                      30.05.2017 15:19

                      Считывали штрих коды коммунальных платежей. Но как сейчас, не знаю. Уже давно все через сбер онлайн оплачиваю.


                1. andyshark1974
                  30.05.2017 22:12
                  +2

                  Работаю в сфере ЖКХ по приему платежей. Вставлю свои 5 копеек. Тут есть одна засада в плане шаблона и почему я своим не рекомендую делать такие вещи как шаблоны на платежи — изменение реквизитов получателя. Такое случается вполне часто. И если вы попытаетесь платить по шаблону. а не по тем реквизитам что стоят в платежном документе — деньги уйдут не туда и Вы об этом не узнаете вовремя. А это может быть проблема. Именно по этой причине делать шаблоны в массовом применении я бы не рекомендовал.

                  Для себя — делайте сколько угодно (что в Сбере собственно и сделано в кабинете). Но делать по другому — будет плохо.


                  1. ploop
                    31.05.2017 07:47

                    Шаблоны вы имеете ввиду в онлайн-банке? Допустим в сбере, при оплате через шаблон, проходит несколько страниц (с кнопкой «далее») с забитыми реквизитами. То есть сверить БИК/счет можно банально по трём последним цифрам, а не по всем 20ти. В случае изменения это бросится в глаза.

                    Ну, если не глядя прощелкать — сам себе буратино.


                    1. andyshark1974
                      31.05.2017 07:58

                      В онлайне это еще ладно. Ты все-таки чаще всего сидишь дома и дома же платишь. У тебя над душой нет толпы народа (даже чисто морально), может только кошка которая требует на колени и дети которые скачут вокруг. И то отвлекает и можно ошибиться. А шаблон в терминале когда ты летишь куда-то и решил по пути заплатить — потенциальный источник ошибок. Я своим на работе потому и не рекомендую шаблоны делать под такие операции — кассир торопится работать (з/п зависит от наработки), такие вещи легко пропускают.

                      Тут на буратину не свалишь, на усталость и фон посторонний легко.


                1. freeExec
                  02.06.2017 19:01

                  Есть возможность на карте иметь готовые шаблоны. Но забивают их в отделении. А дальше в банкомате выбираешь, вводишь дату, сумму и все.


              1. Cast_iron
                31.05.2017 12:24
                +2

                Однажды оплачивал учебу через банкомат. Как положено ввел реквизиты счета университета, НО т.к. ВУЗ имеет филиалы, то и в его реквизитах был субсчет, а ПО терминала такого функционала не имеет.
                После такой оплаты пришлось несколько дней утрясать с бухгалтерией ВУЗа и СБ отмену платежа, т.к. деньги ушли в один из филиалов, а не в центр. бухгалтерию.


            1. Darkvetalx
              30.05.2017 07:14

              а сейчас нет шаблонов в терминалах? пару-тройку лет назад заводил шаблоны на квартплату и т.д., пока онлайн не стал пользоваться…


              1. ploop
                30.05.2017 07:57

                Ну вот как раз пару-тройку лет назад не было. Сейчас не знаю, тоже онлайном пользуюсь. Но очень сомневаюсь, что сделали как надо.

                Тут на банкоматах пару месяцев назад софт поменяли — интерфейс тормозной до ужаса. Тыкаешь на экран — ноль эмоций, тыкаешь ещё раз — он как раз переварил первый клик, обновил окно и взял второй клик из очереди — т.е. попал на тот контрол, что «нарисовался» на этом месте на новом окне.

                Например: «выдать наличные» — тишина, «выдать наличные» — (меняется окно на выбор суммы, на месте «выдать наличные» появляется кнопка «500 рублей», отрабатывает второе нажатие, банкомат выдаёт 500 и возвращает карту) — всё что в скобках пользователь не видит. Мужик так передо мной, матерясь, по 500 таскал с карты минут пять, пока я не понял, в чём дело и не подсказал.


                1. vlivyur
                  30.05.2017 11:17

                  О, новый интерфейс ужасен и неинформативен. К примеру, поле ввода пин-кода — маленькие кружочки, нажимаешь цифру внутри маленького кружочка появляется ещё меньше кружочек цвета фона. Индикация какие купюры есть в наличие — маленькие (сантиметра полтора в ширину) иконки денег, против прежних цифр номиналов, где каждая была эти сантиметра полтора в высоту.


                  1. ploop
                    30.05.2017 11:26

                    Кстати, интересно, а если пин-код не 4 символа а больше? Не все же стандартным пользуются, а установить можно и подлиннее.


                    1. bopoh13
                      30.05.2017 11:52

                      Мне сказали — длиннее нельзя. Но официальный ответ из них выбить сложно, — просят молодую девочку по телефону надиктовать что-то.


                      1. vlivyur
                        30.05.2017 11:55

                        У сбера вроде нет такого, но в других банках есть. Так что возможно что для своих он 4 показывает, а с остальных ждёт больше.


                      1. ploop
                        30.05.2017 12:57

                        В смысле нельзя? Установить пин в ихнем же банкомате можно было до 12 символов. Но это со старой «прошивкой», как в новой хз


                        1. bopoh13
                          30.05.2017 14:25
                          +1

                          Так и сказали: «Установить Пин-код свыше 4 цифр — нельзя».
                          В другой раз сказали, что функцию бесконтактной оплаты на кредитке нельзя ни отключить, ни настроить. И теперь она будет на всех картах. Ответ по телефону (хотя в заявлении просил дать официальный ответ).


                  1. nafikovr
                    30.05.2017 12:08

                    зато болтает так что уши закладывает


                    1. vlivyur
                      30.05.2017 12:29

                      Я вчера делал мгновенный межбанк с помощью терминала = 40 листов * «Операция выполняется. Подождите». Всё отделение наверняка меня полюбило.


                1. MrAloof
                  30.05.2017 22:13

                  Точно! Новый интерфейс — мрак! Моло того что блекло-невнятный дизайн, дык еще и тормоза.


                1. andyshark1974
                  30.05.2017 22:17

                  У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане. Но по поводу кликов — это да — адъ полнейший. А уж про то как звучит фраза «Операция обрабатывается» — пипец просто. Особенно когда вносишь большую пачку денег. Плюс в том что после 10-й купюры банкомат перестает говорить фразу, но пока внесешь 10 купюр — закипать начинаешь уже.

                  Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.


                  1. ploop
                    31.05.2017 07:50

                    У Сбера сейчас шаблоны цепляются из личного кабинета, т.е. вполне удобно в этом плане
                    Во как. Хоть что-то логичное и полезное сделали.
                    Мне кажется что ребята делали шаблон программы на новые терминалы, а про то что по стране стоит куча старья — подзабыли просто. Вот и имеем то что имеем.

                    Тормоза скорее всего этим и обусловлены.


          1. alexhott
            29.05.2017 17:35
            +2

            не факт что на банкомате нет яндекс метрики


          1. IvUyr
            01.06.2017 23:23

            Не забываем, что на банкомат можно наклеить скиммер…


        1. sumanai
          29.05.2017 15:54
          +11

          Пользуйся приложением

          И сливай данные телефона:
          38 разрешений в версии для андроида
          Версия 7.7.2: разрешения
          История использования устройства и приложений

          Получение данных о запущенных приложениях
          Просмотр закладок и истории поиска

          Настройки мобильных данных

          Изменение/перехват сетевых настроек и трафика

          Идентификационные данные

          Поиск аккаунтов на устройстве

          Контакты

          Поиск аккаунтов на устройстве
          Просмотр контактов
          Изменение контактов

          Местоположение

          Примерное местоположение (на основе сети)
          Точное местоположение (на основе сети и сигналов GPS)
          Доступ к дополнительным командам управления источниками геоданных

          SMS

          Просмотр SMS и MMS
          Прием SMS
          Изменение SMS и MMS

          Телефон

          Осуществление телефонных вызовов
          Просмотр журнала вызовов
          Получение данных о статусе телефона
          Изменение журнала вызовов

          Фото/мультимедиа/файлы

          Просмотр данных на USB-накопителе
          Изменение/удаление данных на USB-накопителе

          Память

          Просмотр данных на USB-накопителе
          Изменение/удаление данных на USB-накопителе

          Камера

          Фото- и видеосъемка

          Данные о Wi-Fi-подключении

          Просмотр подключений Wi-Fi

          Идентификатор устройства и данные о вызовах

          Получение данных о статусе телефона

          Другое

          Получение данных из Интернета
          Просмотр сетевых подключений
          Установление связи с устройствами Bluetooth
          Изменение сетевых настроек
          Подключение/отключение сети Wi-Fi
          Неограниченный доступ к Интернету
          Закрытие других приложений
          Управление NFC-модулем
          Запуск при включении устройства
          Показ элементов интерфейса поверх других окон
          Управление функцией вибросигнала
          Предотвращение переключения устройства в спящий режим
          Изменение настроек системы
          Изменение закладок и истории поиска


          1. Radjah
            29.05.2017 15:58
            -9

            За 6-ю версию не скажу, но в 7-й версии Android есть настройка разрешений.


            1. dimm_ddr
              29.05.2017 16:07
              +8

              И нет никакой гарантии что из-за не выданного разрешения это приложение не свалится на середине транзакции и не пустит вас по квесту "Убедить сбербанк что вы не отдавали им все свои деньги просто так". Если вообще запустится.


              1. Mikhail_dev
                29.05.2017 17:49
                -5

                Что значит нет никакой гарантии? Вам вообще кто-нибудь эту гарантию даёт? Это стандартный механизм в андроиде 6 и выше, и нечего говорить мол он там что-то ломает. Если что-то пошло не так, то отправьте багрепорт.


                1. dimm_ddr
                  29.05.2017 18:12
                  +6

                  Никто не дает, все верно. Именно поэтому пользоваться данным механизмом в важном приложении крайне сомнительная затея. А зная поддержку Сбербанка я могу предсказать что при проблемах в приложении виноват окажусь именно я.


                  1. Mikhail_dev
                    31.05.2017 09:33

                    Вы пишете что что-то сломается в транзакции, в андроие 6. Я вам пишу что причем тут это вообще в данной теме? Вы понимаете разницу между «сливают информацию» и «багом»? Или вы хотите сказать что транзакция сломается, но деньги спишутся? Такое уже бывает обычно только в сказках, ибо мобильное приложение не участвует при совершении транзакции, оно лишь получает информацию, успешно или нет. Поэтому я не вижу ничего как вы пишете крайне сомнительного в этом деле. От слова вообще.
                    Господа минусяторы, вы в своём репертуаре. Минусуете, карму сливаете, но при этом не пишете причины. Сверху человек написал что в 6 и 7 андроиде есть управление разрешениями. Как вообще можно было этот комментарий сливать?! Я хренею с неадекватности таковых людей, молчаливых минусяторов.


                    1. dimm_ddr
                      31.05.2017 10:19
                      +3

                      Банальный кейс: я прошу сделать какой-либо перевод денег, приложение зачем-то лезет куда не надо и куда я разрешения не давал. Система приложению туда залезть не дает, приложение это некорректно обрабатывает и отправляет на сервер некорректные данные. Сервер получает от приложения какие-то данные и что-то делает. В результате мои деньги уйдут не туда, не в том количестве или, в худшем случае мои данные уже на сервере из-за чрезмерного доверия к данным приложения будут испорчены. Нереальная ситуация? Маловероятная, может быть. Но вполне реальная.
                      В нормальной компании в таком случае передо мной извинятся и откатят некорректную транзакцию назад. Это само по себе может быть печально, например в случае если я пытался заплатить по кредиту, а из-за ошибки срок платежа прошел и мне начислили штраф, но это еще как-то. Внимание, вопрос: а что в такой ситуации сделает сбербанк?


                      Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными? Мне казалось цепочка очевидна, но все же: приложение запрашивает тонну разрешений, значит оно зачем-то хочет все эти данные. Это может быть ошибкой программистов, а может быть желанием получить как можно больше данных. При этом корректная работа приложения без этих разрешений не гарантируется. Собственно я вам на последний пункт в этой цепочке и указал.


                      1. Mikhail_dev
                        01.06.2017 03:50

                        >Нереальная ситуация?
                        если исходить из того что нереального как бы не бывает, ибо человеку свойственно ошибаться, то да, реальная. А если исходить из того, что все данные должны обрабатываться и проверяться исключительно на сервере (что они и делают), то ситуация чуть более, чем нереальная. Нет такого, что вы что-то некорректно отправили, и деньги ушли не туда. Фигня это всё. Такого нет лет… дцать. Посмотрите доклад на Mobius за 2015 год, там как раз люди с касперского выступали, говоря про сбербанк и небезопасную среду. Там речь о том, что сервер в принципе никогда не должен доверять тому, что отправляет клиент. Вот вообще никогда, потому что приложение можно легко декомпилировать и немного доработать для отправки некорректных данных. И если бы сервер полагался закрывая глаза на то что отправляет клиент… Да зная масштабы сбера, уже давно бы любой желающий бабло себе накручивал.
                        >Ну и вы правда не видите связи между запрашиваемыми разрешениями и сливаемыми данными?
                        Я просто хочу сказать что на андроиде 6 и выше есть механизм ограничения этих данных, и он замечательно работает, только и всего. Я просто хотел указать что нету связи между «андроидом 6 и выше» и «приложение некорректно что-то обработает и деньги уйдут не туда».
                        Справедливости ради сделаю оговорку: такая связь есть для приложений, у которых в андроиде стоит API ниже 23. Тоесть приложение как бы говорит, мол плевали мы на ваши разрешения, мы их не поддерживаем. В таком случае приложение сразу запросит все разрешения у пользователя. Пользователь может их дать, а может потом их и убрать в системе. Но корректная работа не гарантируется. Но опять же, это не случай сбербанка, потому что а) они их поддерживают, и б) всё проверяется в обязательном порядке на сервере.


              1. Squoworode
                29.05.2017 19:05
                +6

                Пробовал установить в прошлом месяце. Не дал доступ к списку контактов — проверка зависла.


                1. JC_IIB
                  30.05.2017 08:06
                  -3

                  На iOS-версии проблема отсутствует, приложение спокойно живет без контактов.


            1. wholeman
              29.05.2017 16:07
              +5

              И в шестой есть, но многие приложения просто закрываются, если им чего-нибудь не дать. Даже, если они данное разрешение не используют.


            1. NoRegrets
              29.05.2017 16:26
              +5

              Я не стану пользоваться таким приложением, даже если его аппетиты можно будет ограничить. Это вопрос отношения к клиенту.


              1. Radjah
                29.05.2017 16:28

                У Сбера есть обратная связь. Мне жаловаться не надо, я к их их внутренней кухне отношений не имею.


                1. NoRegrets
                  29.05.2017 16:32
                  +1

                  И в мыслях жаловаться не было. Это публичный ресурс и мною был озвучен прозрачный намек сберу и совет другим пользователям поступать также. И плевать, прочитает его кто-то или нет.


            1. Valle
              30.05.2017 00:43
              +4

              Есть настройка только «опасных» разрешений, а неопасные типа доступ к интернету, получение данных из других приложений (оверлей) или контроль телефоном через accessibility отозвать нельзя. Кроме того, если приложение требует столько очевидно ненужных для обычной работы разрешений это означает что никто не заморачивался на нормальную работу приложения когда разрешение не выдано.


              1. Radjah
                30.05.2017 07:19
                -4

                Для перекрытия доступа в интернет есть мобильный диспетчер (ASUS, Lenovo), но я сомневаюсь, что программа начнёт работать через астрал.

                > столько очевидно ненужных для обычной работы разрешений
                Вы таки видели код приложения, или выводы на основе «жизненного опыта»?


                1. Valle
                  31.05.2017 08:59
                  +2

                  На основе жизненного опыта. Могу и в код глянуть если нелегкая заставит им пользоваться.


          1. wOvAN
            29.05.2017 23:07
            +1

            Слышал, что Сбер через приложение, сливает телефонную книгу заемщика коллекторам.


            1. ksil
              30.05.2017 09:46

              Агенство ОБС?


              1. wOvAN
                30.05.2017 10:09
                +4

                Ну типа того, многие должники обращали внимание, что обзвон коллекторами родственников и знакомых начинается только если человек установил сбербанк онлайн.


            1. Markscheider
              30.05.2017 10:21
              +2

              сливает телефонную книгу заемщика коллекторам
              Про «сливает» не скажу, но доступ к телефонной книге есть и у приложений других банков. Причина проста — для удобства оплаты мобильного телефона тещи/брата/свата…


            1. vlivyur
              30.05.2017 11:37
              +1

              Про коллекторов ничего не скажу. У приложения есть фишка: показывать в списке контактов у кого есть сберовская карта. По-умолчанию в настройках сбола это включено.


              1. ZetaTetra
                30.05.2017 15:11

                Это не только в сбере, Тинькофф тоже показывает.


                1. vikarti
                  31.05.2017 08:09
                  +1

                  у Тинькова есть опция в приложении НЕ делать этого.


              1. MaxF
                01.06.2017 07:09

                Есть еще перевод денег на карту по номеру мобильного, который выбирается из записной книжки


          1. Akon32
            30.05.2017 12:12

            Можно использовать отдельную учётную запись в Андроиде (начиная с 6, кажется), правда, все sms всё равно потенциально сливаются и несколько неудобно переключаться.
            Заполнять телефонную книгу на этой учётке, естественно, не обязательно.


            1. ZetaTetra
              30.05.2017 15:13
              +4

              В сберовском приложении больше напрягает встроенный антивирус, чем куча разрешений.


          1. ZetaTetra
            30.05.2017 15:30

            Ну, с архитектурной стороны — подход грамотный. Иначе приложение станет копией сайта.
            А вот реализация со встроенным антивирусом — подкачала…


        1. dartraiden
          29.05.2017 16:09
          +6

          Это которое постоянно сканирует телефон встроенным антивирусом Касперского, и выжирает батарею?

          У них ужасное приложение, серьёзно.


          1. dron41k
            29.05.2017 20:12

            На ios никаких проблем, работает быстро и хорошо.


          1. zerocooolx
            29.05.2017 22:49
            -1

            Кхм. Антивирус можно отключить. На GraceUX точно.


            1. nidalee
              30.05.2017 06:28

              На android (любом) нельзя — только сломать патчами от умельцев.


          1. mehos
            30.05.2017 10:56
            -1

            Оно еще отказывается работать на рутованных девайсах)


            1. Mikhail_dev
              31.05.2017 09:46
              +1

              Это сейчас обыденная практика. Android Pay вообще отказывается работать, если: рут, либо разблокирован бутлодер, либо RAM кастомная. У меня по причине разблокированного бутлодера он не хочет работать.


              1. DistortNeo
                31.05.2017 13:45

                А у меня все три пункта вместе: и CyanogenMod, и переразметка внутренней памяти, и рут как само собой разумеющееся (нужен хотя бы для смены региона WiFi).


              1. ArtRoman
                31.05.2017 15:02
                +1

                Nexus 5X. Официальная прошивка, но разблокирован загрузчик, снято шифрование, установлено кастомное ядро (без рута). Android Pay работает.


                1. Mikhail_dev
                  01.06.2017 03:57

                  Хм. Интересно. А я вот никак не могу понять как мне это побороть.
                  Может у вас сама прошивка отдаёт информацию мол у меня всё закрыто?


                  1. ArtRoman
                    02.06.2017 14:19
                    +1

                    Самой прошивке пофиг, она может ничего и не знать. Через системные проперти можно узнать версию системы, номер сборки, название ядра и некоторые другие параметры типа статуса сертификации устройства (это сейчас выводится в приложении Play Маркет – Настройки, там в конце списка). Состояние загрузчика из самой системы вроде как и не узнать. Рут легко проверить по наличию файла 'su' или какими-то другими способами. Как понимаю, для банковских приложений, в т.ч. Google Pay (или, например, для аренды видео в Play Видео) главное – чтобы была оригинальная сборка системы и отсутствие рута. Хотя при разблокированном загрузчике никто не мешает читать и заменять пользовательские и системные файлы через кастомное рекавери.


                    1. Mikhail_dev
                      03.06.2017 12:37

                      А что такое оригинальная сборка системы? И как приложение узнаёт о её оригинальности?
                      На данный момент у меня сборка аля «user-debug». На релизной сборке всё работает, но мне нужная дебажная сборка системы, поэтому хочется починить на дебажной.


                      1. a1ien_n3t
                        03.06.2017 16:40

                        Очень легко это все проверяется там используется обычный Verified Boot. В двух словах(и очень грубо пропуская тонкости) есть ключь в первичном не модифицируемом загрузчик им он проверяет вторичный загрузчик, дальше проверяется что не модефицированн он и что загрузчик заблокирован. проверяется подпись ядра. Дальше ядро проверяет хеши файловой системы на которой лежит образ.
                        Вобще там довольно много проверок, которые впринципе можно обойти. Например тотже Xposed или Magisk


                        1. Mikhail_dev
                          05.06.2017 06:36

                          Благодарю. Буду пробовать.


            1. skandifox
              31.05.2017 14:27
              -1

              Да, я изрядно лоллировал, когда на моей xperia z3(прямо в отделении) приложуха не встала, ибо «богомерзкий рут».
              Сони мне разрешает рутить аппрат, а СберБАНГ — нет. Весело.


              1. ArtRoman
                31.05.2017 15:05

                Изначально на OnePlus, где штатно шёл Cyanogen (лицензированный, с заблокированным загрузчиком и без рута) многие приложения ругались на «небезопасную» прошивку – Сбер, Тинькоф, ещё кто-то. Всем писал жалобы, позже все исправились. Так что если теперь жалуется на рут, то хотя бы реально определяет, а не просто по наличию ключевых слов в версии системы.


          1. Mikhail_dev
            31.05.2017 09:39

            Ужасное это у альфа банка. Хоть я сбербанк люто ненавижу, и пользуюсь Тинькофф банком и альфа банком (зп карта), но могу сказать что у сбера приложение очень хорошее, и что с ним сравнится только Тинькофф. Лучше этих двух банков на андроиде нет на данный момент.


        1. tandzan
          29.05.2017 16:16
          +12

          Имхо, отечественные разработчики приложений со своей телеметрией вообще берегов не видят. Установленные Сбер онлайн и 2ГИС после подключения к WiFi на 2 минуты превращают мое устройство в картошку. Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)


          1. Mangol31
            30.05.2017 07:15

            А что за смартфон у вас, если не секрет? Пользуюсь описанным вами софтом на древнем Samsung Galaxy Note 3. Никаких превращений "в картошку", все летает.


            1. tandzan
              31.05.2017 22:11

              1. Mangol31
                01.06.2017 05:10

                Ммм… ИМХО, но в данном случае вопрос скорее к аппарату, а не к ПО


                1. Ezhyg
                  01.06.2017 08:16

                  Нет уж! Вопросы (а лучше сразу выговоры с занесением в грудную клетку) только и исключительно к быдлокодерам. Процессор нормальный? Нормальный! Памяти достаточно? Да! Андроид? Андроид! Всё, какие ещё могут быть вопросы?
                  Вы посмотрите на этих программёров (и это ещё не вспоминая про остальные прослойки, про тестировщиков вообще забудем), сидят за каким-нибудь… макбуком, видя всё над чем «работают» только в эмуляторе… Всё что можно ожидать — получают сполна очень многие пользователи, не купившие себе топовый СамсуньгЪ Асемьног.

                  Ну ладно, расскажите, какие у вас (или вообще) вопросы или претензии к этому аппарату?


                  1. Valle
                    02.06.2017 05:49
                    -1

                    У древних аппаратов без поддержки ART были принципиальные проблемы с перевариванием multi dex приложений. Вообще жаловаться что на мобильной операционной системе выпущенной ПЯТЬ лет назад на современные приложения тормозят… ну это я не знаю из какой серии.


                    1. Ezhyg
                      02.06.2017 08:53
                      +2

                      А где же хвалёное «автоопределение» и прочие фантастические возможности «экосистемы»? В какой момент наступает эта древность? Год назад не тормозило, два года назад не тормозило…

                      Какие вычисления производит, аж целый квадратный сантиметр (ну два-три) показывающий погоду, что он вообще смеет тормозить? Он на время делает телефон сервером погоды, вычисляя её в реальном времени?


                      1. Valle
                        02.06.2017 19:15

                        Конвертирует байткод. У андроида 4.2 с этим определенные проблемы. Программы стали больше нынче.


                        1. Ezhyg
                          02.06.2017 22:19

                          Ну так пусть программа перед обновлением скажет — «Извините, уважаемый пользователь, случилась неприятность, мы больше не можем поддерживать эту ОСь или это железо...».


          1. Aingis
            30.05.2017 13:47

            Яндекс Погода (!) запускается минуту и потом 15 секунд пытается загрузить рекламный баннер, не реагируя на нажатия (андроид успевает пару раз выдать запрос на закрытие повисшего приложения)

            А-то я думал 15-секундный запуск на iOS это много (те же симптомы: не реагирует на нажатия, хотя есть анимация облачков на карте). Баннера, правда, не видел.


        1. daggert
          29.05.2017 16:20
          +7

          Приложение а) запросило прав кучу б) устанавливаться захотело только на внутреннюю память в) тащило с собой антивирус. Спасибо, не надо.


        1. olegon-ru
          29.05.2017 18:00
          +1

          А зачем тогда вообще прогресс? Полагаю, что если что-то делаешь, то это надо делать хорошо.
          Никому же не понравится, например, автомобиль с отлетающими колесами. Никто же не предложит ходить пешком. А случаев, когда он необходим, достаточно много.


          1. Fagot63
            29.05.2017 21:31
            +3

            Проблема в том что сберу вообщем то плевать на людей, как бы его(банк) не обсирали, он не утонет(как известная субстанция). Потому новшества в сбер приходят спустя 5-7 лет да и те не блещут качеством.
            P.S. Есть еще дыра в мобильном прилощении. Вводите любой номер телефона в переводе с карты на карту по номеру телефона и если номер подключен к сбербанку, видно ФИО абонента, номер карты(не весь), раньше еще сканировал контакты и показывал значек подключен номер к сбербанку или нет


            1. ksil
              30.05.2017 09:48

              В настройках можно включить режим инкогнито (по умолчанию отключен), чтобы вы не отображались значком по номеру телефона у других людей.


            1. vlivyur
              30.05.2017 11:40

              ФИО не видно, только Имя Отчество Ф. Это не только у них такое.


            1. ZetaTetra
              30.05.2017 15:26

              Я когда сбером пользовался, то очень радовала функция автоплатежа (с разными настройками), которой сейчас очень не хватает в другом банке:
              1) Приходит счёт на оплату
              2) Я получаю СМС вида: «Вам пришёл счёт на сумму {NNN}руб., отправьте {KKK} на номер 900 для отмены автоплатежа.»
              3) Если не отменил, то на следующий день счёт будет оплачен автоматом.


              1. sumanai
                30.05.2017 15:34

                Я получаю СМС вида

                Мне тоже нравится функция автооплаты, а вот СМС нет. Пришлось в антиспам фразу из этой СМС забить, чтобы не надоедали.


                1. ZetaTetra
                  30.05.2017 17:30

                  Там бывали сообщения о блокировки автоплатежа.
                  К примеру, если приходит дюжина счетов на оплату вместо одного.

                  Помнится, жена телефон поменяла, а лишний блоатварь который шёл в нагрузку к андройду — не выпилила.
                  Так там пошёл достаточно бодрый траффик, вкупе с бодрыми сообщениями о нехватке средств на счету. Благо сбер на втором счёте в день автоплатёж автоматом затормозил.

                  Ну и коммуналка может не пройти, если цены поднимутся.


                  1. sumanai
                    30.05.2017 18:05
                    +1

                    Если платёж не пройдёт, то сообщение изменится и проскочит антиспам-фильт, так что всё в порядке, спасибо за предупреждение.


            1. Occama
              31.05.2017 06:53

              Это не баг, а фича =) На самом деле, сколько сберовскими сервисами пользуюсь, раз 40 уже переводил деньги на карты разным людям, и моему внутреннему невротику всегда было приятно убедиться, что перевожу, куда надо. К тому же, фамилия не светится, только инициал, так что всё не так страшно. А бороться с потенциальным фродом надо уметь в любом случае самому пользователю. Не по ИО, так по чему-нибудь ещё развести попытаются, какая-нибудь условная баба Клава и так отправит «СПАСИТЕКОТИКОВ» на короткий номер, чтобы спасти несуществующих котиков от чего-то там. Между удобством и отсутствием фродной соц.инженерии я практически всегда выберу первое.


            1. McDermott
              31.05.2017 06:55

              Это, во-первых, не только в мобильном приложении, а в Сбербанк.Онлайн тоже, а во-вторых, ФИО показывается для проверки — тому ли человеку вы собираетесь пять тысяч перевести. ИМХО, это удобно.


        1. Pakos
          30.05.2017 16:20

          А ещё лучше кодом 900, чтобы вирусам удобнее было. Я сделал проще — не использую сбер, но есть те, кому приходится. Удобство и безопасность — это как раз сайт онлайн-банк на другом устройстве, чем привязанный телефон и без левых скриптов.


      1. sHaggY_caT
        29.05.2017 16:13
        +7

        Сознательно не пользуюсь Сбербанком из-за множества проблем.
        Зачем он? У того же Ситибанка и Райфа, и, по рассказам знакомых, Альфабанка, сервис гораздо лучше.
        Да и рейтинг у них неплохой.


        1. olegon-ru
          29.05.2017 18:06

          Я бы тоже не пользовался, но, к сожалению, есть принудиловка, например, на работе. Дают карту для зарплаты и будешь пользоваться. Бороться с этой системой очень трудно.


          1. hardegor
            29.05.2017 18:34
            +3

            Мне тоже на работе выдали. Но у меня уже была другого банка, я написал заявление в бухгалтерию и мне зарплату скидывают на неё. Теоретически они обязаны выдавать или наличкой или на указанный мной банковский счет безналом.


          1. saipr
            29.05.2017 18:45
            -1

            Все это так


          1. rustavelli
            29.05.2017 20:16
            +3

            Во-первых, всегда можно написать заявление на счет в другом банке.
            Во-вторых, можно сразу по приходу, сливать деньги в тинькофф. У нас почти все так делают.


            1. Ziptar
              30.05.2017 15:07

              А наличку где снимают? Я давно уже подумываю отказаться от сбера, но останавливает практически полное отсутствие банкоматов других банков. По крайней меря я их вижу крайне редко.


              1. rustavelli
                30.05.2017 15:18
                +1

                В _любом_ банкомате россии без комиссии, если снимать от 3000р. Видите издалека будку, похожую на банкомат — значит там можно снять деньги с карты тинькова. Т.е. больше не нужно искать банкомат именно сбера, подойдет от агропромхрензачембанка.

                Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100. надо уточнять. Спросите в чате прям на сайте — у них шикарная поддержка.

                Все вышесказанное, разумеется, про дебетовую карту. Кредитки, как и везде, с подвохом.


                1. DistortNeo
                  30.05.2017 16:02
                  +1

                  > Про другие страны на 100% не уверен, но вроде тоже не берут комиссий от $100

                  Пробовал в этом году — комиссии не было.


                1. ploop
                  31.05.2017 08:15

                  если снимать от 3000р

                  Уже неудобно. Часто требуются меньшие суммы, дв и ситуации бывают разные, я однажды 100 рублей снимал (банально лень было бежать до дома за наличкой, а на карте почти пусто).


                  1. rustavelli
                    31.05.2017 11:17
                    +1

                    Для меня норм… Мне комфортно носить с собой столько налички, сколько не сильно жалко потерять… это как раз около 3 тыщ )

                    а на карте почти пусто
                    — до такого, слава космосу, давно уже не довожу. Все деньги на карте, счета открывать смысла нет — там те же 7% дают.


                    1. ploop
                      31.05.2017 11:20
                      +1

                      до такого, слава космосу, давно уже не довожу.

                      С таскаю с собой карту для онлайн/оффлайн покупок, большие суммы на ней не задерживаются.


            1. ZetaTetra
              30.05.2017 15:27
              +2

              Главное в сбере не снимать, иначе ограничение в 7500 на транзакцию дюже неудобно :)


            1. fuser
              31.05.2017 06:54
              +1

              А вы не думали, что каждый отдельный банк сотрудников для бухгалтерии — это отдельная ведомость на зарплату + отдельная платежка + отдельная выписка о списании д/с со счета?


              1. rustavelli
                31.05.2017 11:15

                Мне рассказали, что для бухов это гемор, поэтому я сам руками со сбера каждый раз перевожу.


              1. alcr
                31.05.2017 13:07
                +2

                А вот нефиг со сбером связываться, работали бы через нормальный банк — никто бы не возмущался.


            1. Velibekov
              31.05.2017 13:23

              Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.


              И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.


              При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.
              Больше ни у одного банка нет таких условий, как у Сбера!
              Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ?20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ?6 тыс/год)


              1. DistortNeo
                31.05.2017 14:00
                +1

                > Вот только месячный лимит на снятие у Тинькова 150 тыс. А дальше — 2%. И если мне надо снять, скажем, 300 тыс, то мне придётся за это заплатишь 3 тыс комиссии.

                И давно вам такие суммы наличных денег были нужны? Автомобили, квартиры покупаются за безнал, если что.

                Ну а наличие комиссии, если наличные таки понадобились, вполне себе компенсируется капающими процентами на остаток накопительного счёта.

                > И да, если снимать в том же Сбере — это по 7.5 тыс за раз иииии… 34 снятия… То есть примерно минут на 15, если никто и ничто не будет отвлекать.

                Снимайте в Альфе — там нет лимитов.

                > При этом, за те 3 тыс, которые придётся отдать за комиссию, за Тинькова, я получаю карту, с суточным/месячным лимитом в 300/3.000.

                И, собственно, что? Если не понадобилось за год столько денег снимать, все равно придётся заплатить 3к, в случае Т-банка же будет минимум +3% на остаток.

                > Ибо только Сбер может позволить вам переводить ежемесячно по 15 миллионов из одного региона России в другой без комиссий! (платина + платина = ?20 тыс/год) или 9 миллионов ежемесячно (голд + голд = ?6 тыс/год)

                Я думаю, людям, у которых есть необходимость ежемесячно переводить подобные суммы, нет необходимости рассказывать про преимущества или недостатки того или иного продукта.


              1. rustavelli
                31.05.2017 14:46

                Больше ни у одного банка нет таких условий, как у Сбера!
                — согласен. Среди известных банков, самые худшие условия у сбера.
                Снимать столько налички — это очень редкий случай. Можно и до нормального банкомата дойти. Или бесплатно кинуть межбанком на тот же сбер и снять.
                Не знаю никаких комиссий и ограничений на межбанк у тинькова. Причем слать можно на любой банк, в отличии от.
                Сбер дерет комиссии за каждый чих.

                Только что кинул 10к с тинькова на авангард card2card без комиссиий. Вы можете представить, что сбер даст такое сделать даже супер-платиновым клиентам?


                1. vlivyur
                  01.06.2017 17:21

                  Сбер дерет комиссии за каждый чих.
                  Это вы ещё с другими банками не знакомы. В Сбере хотя бы не за каждый вздох берут.


              1. BabyKiller
                01.06.2017 18:56

                У Сбера есть ограничение на снятие в стуки, в районе 50 000 рублей.
                Так же никто не мешает с Тинкоффа переводить бесплатно деньги по межбанку на другой банк.
                Опять же большинство людей миллионами не оперирует, так что тинькофф для большинства вполне себе выгодный вариант.


                1. vlivyur
                  01.06.2017 19:25
                  -1

                  150 нынче у них. Подняли обратно с 50. Только по старым картам не подняли.


                1. Velibekov
                  01.06.2017 20:23
                  +2

                  Прежде чем писать такое, хотя бы поверхностно изучили бы стандарты.
                  У всех банков есть карты разного типа: базовая, золотая, платиновая и т.д.


                  У Сбера, по социалками и другим стремным недокартам, которые нигде больше в мире не принимаются — 50/500 (сутки/месяц)
                  Стандартные — 150/1500.
                  Золотые — 300/3000
                  Платина — 500/5000


                  И ваш Тиньков, по сравнению с лимитами Сбера — лишь жалкое подобие банка. Попробуйте снять за месяц хотя бы 1 млн.


                  1. eisaev
                    02.06.2017 05:51

                    Я, даже покупая квартиру, не снимал наличку для этого, а перевёл с Тинькова по межбанку на нужный счёт в том же Сбербанке, открытый на моё имя для сделки. Без комиссий. Расскройте пожалуйста секрет зачем в современных реалиях снимать миллионы наличкой физ. лицу (кроме мутных схем конечно).


                    1. Velibekov
                      02.06.2017 10:35

                      Ты находишься в городе Х.
                      У тебя розничный магазин на вмененке.
                      Поставщик твой в другом городе и заявляет, что если будешь покупать в наличку, то даст доп скидку в 5%.


                      Оформляешь на себя 2 золотые карты Сбера. Одну в своём городе, а вторую в городе поставщика.
                      В городе, где поставщик, находишь доверенное лицо, отдаёшь ему вторую карту он снимает в день по 300 тыс и как наберется 1,5 млн, несёт их поставщику. Месячный оборот получается 3 млн.
                      Человеку платишь за 10 снятий и 2 прогулки — 30 тыс.
                      Но при этом, сам выигрываешь: 3000х0,05=150-30=120 тыс/мес.


                      Вот конкретный пример, когда физлицо (ИП), являющееся честным налогоплательщиком, нуждается в снятиях/зачислениях по 3 млн/мес.


                      У Тинькова можно снимать только до 150 тыс/мес без комиссии.
                      Далее — 2%.
                      Следовательно, 3.000-150=2.850*0.02=57 тыс комиссии за снятия. (и 400 операций снятия денег, против 20 у Сбера).


                      1. eisaev
                        02.06.2017 18:19

                        Данный кейс имеет право на жизнь, просто он не про меня. Спасибо за конкретный пример.


          1. timelle
            29.05.2017 21:24
            +5

            В 2014 году приняли закон, который обязывает слать деньги туда, куда вы пожелаете. По заявлению в бухгалтерию. Без исключений.
            Большинство не пробует даже, только ноют о принудиловке.


            1. Fagot63
              29.05.2017 21:48
              +4

              Скорее не знает, вместе с бухгалтерией.


            1. Insane11
              29.05.2017 22:22
              +1

              Торговые организации, за зарплатный проект, могут получать скидку на эквайринг. Так что им проще найти более сговорчивого сотрудника, чем терять профит.


              1. ploop
                29.05.2017 22:30
                +1

                1-2 сотрудника погоды не сделают, остальным, как правило, пофиг: смска, банкомат, пивнушка


            1. a1ien_n3t
              29.05.2017 23:01
              +1

              Всегда интересовал вопрос, а процент за перевод в межбанке не будет сниматся? Тоесть если пишешь заявление, то тебе обязанны всю сумму перечислить(работадатель из чих средст оплачивает комиссию за перевод)?


              1. ploop
                30.05.2017 08:11

                Снимается, и за счёт работника. Но у многих компаний есть счета в разных банках региона, это удобно для работы с ЮЛ и вообще по безналу, так что могут пойти навстречу, хотя маловероятно.


            1. sumanai
              30.05.2017 04:23
              +2

              А в 2017 приняли закон, что бюджетники должны получать только на карты МИР. Так что уже не куда пожелаешь.


              1. DistortNeo
                30.05.2017 04:42

                > А в 2017 приняли закон, что бюджетники должны получать только на карты МИР

                Да, закон начинает действовать с 1 июля 2018 г.

                > Так что уже не куда пожелаешь.

                Ну так одно другому не противоречит. Что мешает в том же Тинькове завести карту МИР и попросить переводить деньги на неё?


                1. sumanai
                  30.05.2017 05:20
                  +3

                  Нежелание пополнять статистику выданных карт Мир?


                  1. zikasak
                    30.05.2017 06:40

                    ну переводите не на карту, а на обычный счет. Это оставили доступным.


                    1. sumanai
                      30.05.2017 15:24

                      Знаю, так и собираюсь. Но лишний геморрой на пустом месте напрягает.


                      1. Meklon
                        03.06.2017 00:30
                        +1

                        Сегодня отнес заявление. Лицо скривили, но приняли


              1. m1ld
                31.05.2017 19:53

                МИР — это платежная система. А карты могут выпускаться любым банком, который пожелает этот МИР.


                1. sumanai
                  31.05.2017 20:54
                  -1

                  Я знаю. Но мне нужна Visa, чтобы без проблем платить за покупки по всему миру, а не МИР, который суть есть выкидыш российского маразма и следствие дерьмовой внешней политики.


                  1. DistortNeo
                    31.05.2017 22:46

                    Во-первых, это выгодно банкам. Стоимость операций для эквайеров почти на порядок ниже, чем у международных платёжных систем. Во-вторых, это выгодно торговым точкам — комиссии за эквайринг будут ниже.

                    И да, съездите в Португалию или Германию. Не уверен, что в мелких торговых точках вы сможете расплатиться Визой, потому что их владельцы принимают только местные карты из экономических соображений.


                  1. m1ld
                    01.06.2017 00:19
                    +2

                    К сожалению вы имеете мало представления о том, что такое платежные системы, кому они принадлежат и как финансируются.

                    По всему миру – попробуйте с визой, мастер, дайнерс, американ купить билет на поезд в Голландии. Вы будете сильно удивлены когда вас пошлют. Попробуйте купить сигареты в автомате в Германии с вашей визой.


                    1. sumanai
                      01.06.2017 05:31

                      Имелось в виду в интернете, а не физически. Делал покупки в США, Японии- нет проблем.


                  1. zikasak
                    01.06.2017 08:47

                    для этого МИР готовится выпускать кобейджинговые карты. Там где есть МИР, работают как МИР, а там, где нет — как карта другой платежной системы


                    1. sumanai
                      01.06.2017 17:36
                      +2

                      И нафига козе баян? Вот есть хотя бы одна реальная причина обычному человеку менять его Visa на МИР?


            1. edtech
              31.05.2017 22:00

              Этот закон практически не работает, т.к. работодатель в этом случае имеет право отказаться выплачивать з/п банковским переводом и начать платить наличными через кассу


            1. 907
              31.05.2017 22:00

              Это теоретически… Моя бывшая фирма (две недели назад ушел на пенсию оттуда, чему несказанно рад !) была куплена частной корпорацией… Сразу же объявили что все идем в ихний банк, все пишут заявы в ихний пенсионный фонд, ну и в заключение: все вступают в профсоюз… Кто пытался что-то супротив сказать, сразу же лишили премии… Вот такая демократия…


          1. ploop
            29.05.2017 22:26

            есть принудиловка, например, на работе

            Ну, по закону не могут. Просто заявление со всеми реквизитами в бухгалтерию и всё. Единственное — обслуживание карты (если платное) будет на вас, а не на организации, как в случае с зарплатным проектом.

            Хуже, когда выбора нет, и единственный вменяемый банк в регионе — это сбер.


            1. Eldhenn
              30.05.2017 07:47

              По закону не могут. А по факту бухгалтерия в госорганизациях вроде школ и детсадов интересно относится к законам.


              1. dmitry_dvm
                30.05.2017 13:32

                Они просто работать не хотят.


                1. ploop
                  30.05.2017 13:38
                  +1

                  Не всегда. Чаще сами работники, поворчав «на лавочке» как всё плохо, даже не пытаются написать заявление. Ну а основная масса банально не знает.

                  Есть тяжелые случаи (независимо, бюджетники или нет), когда руководство неофициально объявляет, что работаем только с этим банком, со всякими умниками с заявлениями будет отдельный разговор — тогда да, всё сложно.


        1. Animegravitation
          29.05.2017 18:26
          +1

          Дак Альфабанк самый дорогой банк из названых, а Сити и Райф есть далеко не в каждом городе, а Сбер есть практически везде.
          Поэтому его и используют все, потому что всегда можно найти банкомат или отделение.


          1. NINeOneone
            30.05.2017 12:28

            1) Иногда стоит рассмотреть идею пожертвовать удобством, ради благой цели. В данном случае — снизить монополию сбера. Стараюсь принципиально не использовать сбер, если есть возможность. И вообще государственные предприятия.

            2) Тинькофф позволяет пользоваться любым банкоматом. Не призываю пользоваться Тинькофф, призываю шире рассматривать варианты.


            1. mayorovp
              30.05.2017 12:49

              В теории — да. А на практике, "любой банкомат" может вашу карточку съесть.


              1. ArtRoman
                31.05.2017 15:18

                Точно так же и «не любой банкомат» может съесть карточку с тем же успехом. Тот же сбер, наверное, лидер в списке по количеству неисправных банкоматов, и с известным отношением к клиентам, так что пользоваться их банкоматами стоит осторожнее.


              1. HappYCooL
                01.06.2017 13:26

                Точно так же и банкомат Сбера может со своей сберовской картой поступить.


                1. dimm_ddr
                  01.06.2017 13:53
                  +1

                  И если карточка была выдана в другом городе, то сбер радостно ее туда отправит. Когда я с таким сталкивался разговор был то ли о неделе, то ли о двух.


        1. raid
          29.05.2017 23:59
          +1

          Простите, просто очень неохота в один прекрасный момент разбираться с тонкостями системы страхования вкладов. Это самое важное. А так ещё у Сбербанка отделения и банкоматы на каждом углу натыканы, чего не скажешь про другие банки.


          1. sHaggY_caT
            02.06.2017 14:51

            Те банки, что я перечислила, они с около максимальными рейтингами. Если с ними что-то случится, то, скорее всего, АИЖК ничего не сможет сделать, т.к. это произойдёт где-то в ситуации банкроства всего государства, когда и у сбербанка будут проблемы.


        1. KorDen32
          30.05.2017 02:17
          +1

          Если в в дефолтсити или еще где в милионнике — сбербанком может и можно пренебречь.
          А во многих городах кроме сбера, нормальное количество банкоматов-терминалов по городу только у газпрома/втб/уралсиба. А помня их ИБ (не знаю, может сейчас чего улучшилось, но как-то хороших отзывов не встречал) уж лучше пользоваться сбером.


          1. Vilgelm
            30.05.2017 02:58

            Тинькофф работает всюду, банкомат подходит вообще любой, в том числе и сберовский.


            1. KorDen32
              30.05.2017 03:06

              И прямо таки вообще без комиссий и внесение и снятие для дебетовой карты? Не верится как-то, что владельцы банкоматов, да тот же сбер, не имеют комиссий для чужих карт.


              1. DistortNeo
                30.05.2017 03:38

                Да, снятие наличных в любом банкомате прям таки вообще без комиссий, если операции в пределах месячного лимита в 150к. Есть только нюанс, что некоторые банкоматы выдают только по 10-15к за раз. Хотя та же Альфа выдаст за раз сколько сможет.

                А вот пополнения через любые банкоматы нет. Можно пополнять через МКБ, можно через card2card, месячный лимит на пополнение 300к. При превышении лимитов берётся комиссия.

                Кстати, комиссий нет совсем при безналичных переводах.


                1. avlag
                  30.05.2017 08:31
                  -2

                  Речь человек вел про ДЕБЕТОВЫЕ карты. Я тоже однажды клюнул на тинькова. Только выяснилось что бесплатное пополнение работает исключительно для кредитки. И никто нигде это не пишет.
                  С тех пор мне периодически звонят их манагеры, но никто еще не сумел ответить на вопрос о разнице в пополнении кредитной и дебетовой карт.


                  1. rombell
                    30.05.2017 10:55

                    вчера бесплатно пополнил дебетовую Тинькова переводом с почты.
                    Перед этим несколько раз пополнял бесплатно засасыванием денег с других карточек. Пока что сервис устраивает вполне


                    1. avlag
                      30.05.2017 12:46

                      Как только я получил карточку Тинькофф'а, я тут же пошел ее пополнить. Однако платежный терминал МКБ послал меня. И девочка, которая стояла в офисе банка ничем не смогла помочь. Т.е. пополнить дебетовую карточку через терминал я не смог вообще.
                      Последовала попытка перевода с МКБ на эту карточку. Оказалось за процентик.
                      В устном разговоре господа из Т-банка сказали, что тарифы по бесплатному пополнению работают исключительно для кредитных карточек.


                      1. dmitry_dvm
                        30.05.2017 13:37
                        +2

                        Хрень какую-то вам сказали, судя по всему. Постоянно пополняю через Связной и всё хорошо, дебетовая, комиссии нет.


                        1. avlag
                          30.05.2017 14:08

                          Меня очень радует такая категоричность. Вы считаете, что я все это придумал и обливаю грязью достойный банк?


                          1. dmitry_dvm
                            30.05.2017 14:15

                            Я считаю, что либо вам сказали недостоверную информацию, либо через МКБ (что это?) действительно есть комиссия, в отличие от множества других точек приема. Из какого моего высказывания следует, что я вас обвиняю во лжи?


                            1. avlag
                              30.05.2017 14:27

                              Давайте завяжем с этой темой.
                              МКБ — это московский кредитный банк. Через терминалы которого у Т-банка (в то время) было отдельно заявлено бесплатное пополнение.
                              Я, к сожалению, не могу поднять историю платежей. Карточка уже закрыта, с которой делались переводы в Т-банк и за которые я платил комиссию. Хотя, опять же, отдельно было заявлено, что из этого банка перевод д.б. без комиссии.


                              1. arandomic
                                30.05.2017 15:38
                                +1

                                Видимо Вас ввело в заблуждение что-то из формулировок других комментаторов.
                                У Т. бесплатно пополнить можно дебетовую карту только несколькими основными способами:

                                т.н. высасыванием — на сайте Т, вы вводите данные карты (любого банка), с которой хотите вывести деньги, и Т делает c2c запрос. Для вас это будет выглядеть как платеж с карты другого банка.

                                пополнение через различные сети типа связного/евросети — в их терминалах и через кассу. (Не путать со связной-банк.)

                                В некоторых банках — бесплатный межбанковский перевод по номеру счета. (зависит от банка, возможно)

                                Через банкоматы и терминалы других банков бесплатного пополнения никогда не было и вроде не предвидится, тут Вы правы.


                                1. edtech
                                  31.05.2017 22:48

                                  Через платежные терминалы МКБ пополнение наличными кредитных и дебетовых карт Тинькова всегда было и остаётся бесплатным. Судя по всему, avlag пытался делать пополнение с какой-то другой карты, за что с него взяли комиссию.


                              1. rustavelli
                                30.05.2017 19:13

                                Карточка уже закрыта, с которой
                                Вот тут и ошибка… Тиньков же не может навязать свои прекрасные тарифы другим отсталым банкам. Поэтому данные карты МКБ надо вводить на сайте тинькова, а не наоборот.


                      1. Mogwaika
                        30.05.2017 13:38

                        Дебетовую пополнить бесплатно до 200к в месяц через связной и других партнёров, 20к пересасыванием с других карт кажется…


                        1. avlag
                          30.05.2017 14:09

                          Не буду спорить, возможно Т-банк изменил условия.


                          1. Mogwaika
                            30.05.2017 14:15

                            Видимо давно, я уже года 4 так пополняю.


                      1. NoEndOutcry
                        01.06.2017 08:46
                        +1

                        Бред какой-то, пользуюсь именно дебетовой тинькова без всяких овердрафтов, пополняется без комиссии в любом связном, евросети, мтсах, мегафонах и еще в 100500 местах, что-то вас разводят.


                  1. jetexe
                    31.05.2017 11:53

                    не смогли потому что её нет. Пополняю через терминалы, переводом с других карт (через интерфейс Тинькова), пару раз ка кассе в Евросети. Ни копейки комиссии


                  1. Nicks_TechSupport
                    01.06.2017 08:46
                    -1

                    Не несите чушь. У ТКС банка пополнение дебетовки бесплатное без всяких комиссий. А через их ИБ можно методом card2card сливать деньги с других банков также без %.
                    Разумеется, за лимиты выходить не следует.
                    И да, снятие в ЛЮБОМ банкомате страны от 3 т.р. также без %.


                1. Mogwaika
                  30.05.2017 13:39

                  Сбер — 7500.


                  1. vlivyur
                    30.05.2017 13:41

                    Такой ещё поискать нужно. Обычно 5.


                    1. Mogwaika
                      30.05.2017 14:16

                      Попробуйте ввести сумму самостоятельно.


                      1. vlivyur
                        30.05.2017 15:06

                        Я про это и говорю. Когда нажимаешь «Другая сумма» тебе словами пишут максимум. Обычно там 5000, на некоторых банкоматах 7500, но их не так много.


                  1. Ziptar
                    30.05.2017 15:11

                    Всегда снимаю по 4 в несколько приёмов. Пятитысячные купюры — всегда головная боль.


              1. Vilgelm
                30.05.2017 03:52
                +1

                Снятие без комиссии, от 3к до 150к в мес. И еще бесплатный межбанк через ИБ. Пополнение бесплатное через их c2c сервис (есть момент, что банк с чьей карты будет производиться списание может брать комиссию, но так мало кто делает для дебетовых карт, на ум только Промсвязь приходит), так можно вытягивать некоторые кредитки в грейс (с Бинбанком работает, например).
                Сама карта условно-бесплатная (если лежит 30к и больше, то за обслуживание не берут, если ей не пользоваться (0 операций в месяц), то тоже не берут), есть небольшой кэшбэк и какой-то процент на остаток. Да, еще курс валюты околорыночный (лучше только у БКС).

                Это не самая лучшая карта в мире, но если сравнивать со Сбером, то всё таки она выигрывает.

                Да, на карте еще есть PayPass (отличная штука, у Сбера я карт с ним не видел, хотя может быть что-то изменилось).


                1. KorDen32
                  30.05.2017 04:44

                  Околорыночный курс валюты? Может у дебетовых по-другому, но для кредитных у ТКС издавна был достаточно высокий курс (банковская карта Я.Д. с момента их появления, а они до лета 2016 были ТКС).

                  PayPass у сбера ЕМНИП в начале 2016 появился для премиальных карт, постепенно дошел до золотых и классических. С мая 2017 уже все Visa/MC идут с NFC. У ТКС он был издавна, да. (если не ошибаюсь, с 2013 уже карта Я.Д была с paypass)/

                  Ах да, вот вам форма входа ТКС


                  1. Vilgelm
                    30.05.2017 05:56

                    У дебетовых конечно же, кредитки у них не выгодные вообще.


                  1. Meklon
                    30.05.2017 09:02

                    У меня с 2016 PayPass. И не премиум, а обычный MasterCard classic. Одна беда, видимо конкретная карта с дефектом антенны. Иногда работает отлично, иногда неделями не читает бесконтактно. Странная девушка в отделении предложила избегать ношения телефона в одном кармане с картой. А концепция бесплатной замены сломанного устройства ей разрушило мозг, кажется. Карту она как устройство не воспринимала. Получить тоже было сложно. Персонал не понимал, что от них хотят.


                    1. ploop
                      30.05.2017 09:13

                      Ну, если забить на принципы, карту можно просто «потерять» и перевыпустиь. Правда заплатить придётся.


                    1. lexxair
                      30.05.2017 14:51

                      сберовский PayPass у меня не сработал ни разу.


                    1. HapH
                      01.06.2017 13:27

                      Была проблема с payWave на первой карте Тинькофф, не всегда и не везде читало, а потом и совсем перестало читать. Заменили без вопросов и бесплатно.


            1. TRIMER
              30.05.2017 08:21

              Он хорош пока вам не потребуется сделать то, что онлайн сделать нельзя. Ну, например, закрыть карту :) (личного опыта не имел, со слов друга)


        1. betrachtung
          30.05.2017 06:23
          +4

          Как пользователь Сбербанка, Райффайзена, Тинькофф-банка и, в некоторой степени, банка Билайна, я считаю Райффайзен худшим из перечисленных. Сбербанк средненький — что уже является огромным прогрессом по сравнению с тем, что он из себя когда-то представлял.


          1. sHaggY_caT
            02.06.2017 15:00

            По моему личному опыту, лучший ситибанк среди райфа, авангарда, сбербанка, втб24. Райф второй.
            Рейтинг составляла не по наличию проблем, а по реакции системы не проблему(так как проблемы неизбежны, если чем-то пользуешься часто). Ситибанк перезвонил сам, когда я спешила на сапсан, когда банкомат съел 5 тысяч рублей.
            Все претензии, что я им выкатывала(это было трижды) они признавали проблемой со своей стороны, и извинялись, или платили какие-то компенсации морального ущерба.

            Райфаззен показался довольно гибким и юзерофильным банком, но я перестала пользоваться их услугами, после того, как они без предупреждения убрали международную туристическую страховку из пакета услуг, который я у них покупала. Но в целом, на голову выше остальных банков, кроме ситибанка. Разве что они, по-моему, слишком следуют регламенту во всех случаях.

            Сбербанк и втб24 ужас-ужас! В сбербанке я один раз чуть не упала в обморок от духоты(к счастью, помогли выйти на свежий воздух, когда я села на пол), когда у них в очередной раз сломалась электронная очередь, и в маленьком помещении банка набились старушки и все остальные, и опять воцарился хаос, как у них бывает регулярно.


        1. vlivyur
          30.05.2017 11:45
          +1

          Сити — ужасный банк, ужасный интернет-банк, да и его распространнённость (позакрывал все банкоматы не в отделениях и половину отделений) не оставляет ему шансов. Если ты не зарплатный клиент, то плюшек совсем не будет — деньги будут браться за всё.


          1. sHaggY_caT
            02.06.2017 15:02

            Сити — ужасный банк


            почему?


            1. vlivyur
              05.06.2017 15:43
              +1

              Года три назад у меня был длинный список, сейчас буду пробовать восстановить:
              Нет бесплатного телефона 8800 — есть у вас 812, туда и звоните. Минут 10 ожидания.
              Самостоятельно подписали на смс уведомления, при этом смс об их оплате не приходят совсем (целый ряд списаний оказывается никак не отражается в смсках). Косяк признавать отказались.
              Эти уведомления (раньше ещё были на e-mail) приходили как попало: то и туда и сюда, то только в одно место, то вообще никуда.
              Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.
              ИБ на скриптах и с плохим интернетом даже баланс не посмотреть.
              13 числа в пятницу (конечно не только 13го, но дважды совпадало) уже в 14:00 нельзя переводить деньги в другой банк в тот же день, только на следующий рабочий день. При этом легко может оказаться что это будет вторник, а не понедельник. При этом окошко в ИБ будет тебе говорить что перевод в тот же день возможен только в рабочие дни и в рабочее время.
              Навязчивые телефонисты — раз в месяц стабильно звонили.
              Кредит не взять если нет загранпаспорта (это со слов товарища, сам не проверял).
              Льготные кредиты (зарплатный проект) дороже, чем в Сбере для простых смертных. То же и в кредитках.
              Анкета на получение карточки на 4 листах со странными вопросами.
              Есть скидки в магазинах при оплате их картой. Но чем дольше пользовался, тем меньше моих магазинов оставалось.
              Есть странный кэшбэк, но работает только с кредиткой.
              Ну и сворачивание деятельности: оставили несколько компаний у себя и свернули половину офисов, убрали все банкоматы, что не в офисах были установлены (раньше ещё хотя бы в крупных ТЦ были).

              Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия), но два бесплатных снятия в месяц в чужом банкомате.
              Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.


              1. dewil
                05.06.2017 15:58

                Тоже выкинул карту Сити


              1. sHaggY_caT
                07.06.2017 00:01

                Внутрибанковский перевод почему-то только на следующий день, даже если утром отправляли, при этом межбанк приходил в тот же день, если отправить часов до 16.


                ?? У меня с мужем всегда доходят мгновенно. Очень часто друг другу отправляем

                Навязчивые телефонисты — раз в месяц стабильно звонили.


                Никогда не звонили не по делу

                Есть странный кэшбэк, но работает только с кредиткой.


                Я у них селектами пользуюсь.

                На селекты купили: смартфон маме в Мвидео, два монитора, навороченную мышку мужу, и один авиабилет

                Единственный плюс: переводы по всей стране бесплатно (возможно это от зарплатного проекта условия),


                Второй плюс для отдельно взятого человека: коллега дважды за год выигрывал билеты в цирк.


                Это как??

                У Вас какой-то другой сити :(


        1. shurricken
          01.06.2017 13:26

          все-таки надежность Сбера, увы, много выше других… из-за этого вобщем-то и все проблемы… нет конкуренции.
          Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть, АСВ может прогореть и введут какие- то меомрандумы, лимиты, временные моратории и списания… а сбер… закроют последним… увы…


          1. 907
            01.06.2017 14:20

            >>>Все-таки в случае очередного кризиса. любой банк даже из десятки могут закрыть

            Вы всерьез думаете что банки закрываются только в результате кризиса?
            У нас каждую неделю закрываются по несколько банков, и кризис тут ни при чем…
            Просто поступила команда — уменьшить количество банков, вот эта команда и выполняется…
            А вот сколько в итоге банков останется, знает только человек, отдавший команду на их сокращение…
            А ваша мысль насчет держания денег в сбере очень даже разумна, он не закроется НИКОГДА…


          1. vlivyur
            01.06.2017 17:24

            Ну ВТБ ещё скорее всего тоже дотянет до конца. И распространённость немного меньше, чем у Сбера.


            1. shurricken
              02.06.2017 19:38

              ну да ВТБ, тоже… но вот, к примеру Банк Москвы, как я понял все-таки были мысли прикрыть, так и ВТБ прикроют предпоследним… в случае северного зверька, притом что Сбер могут все-таки оставить в этом случае.


              1. zikasak
                02.06.2017 20:07
                +1

                Юр. лицо Банк Москвы (оно теперь именуется БМ-Банк) теперь лишь держит плохие активы. Для обычных пользователей его давно не существует. Все переведены в ВТБ (хоть и в бренде и оставили упоминание Банка Москвы).

                PS. А в январе 2018 не станет и ВТБ24


          1. river-fall
            02.06.2017 17:39
            -1

            Надежность сбербанка отлично подчеркивает 1991 год, когда обесценились вклады населения всего государства


            1. shurricken
              02.06.2017 19:39

              причем тут 91-й?? это был другой мир, другая страна… других банков не было кстати… да и обесценились, но не изымались опять же…


            1. ploop
              03.06.2017 11:45

              Когда наличка под матрасом тоже обесценилась, банк виноват?


            1. vlivyur
              05.06.2017 16:35

              Так он вроде всё сохранил до копеечки.


    1. nafikovr
      29.05.2017 15:06

      ну, во-первых, баннерорезки таки не средство безопасности и в статье указано что режут они только часть запросов.
      во-вторых, я тоже пользуюсь баннерорезками только там, где баннеров полный перебор. так как считаю удаление баннеров неуважением к ресурсу, который за счет них живет.


      1. Radjah
        29.05.2017 15:41
        -1

        > они только часть запросов
        Добавить в фильтры то, что не отрубилось.

        > который за счет них живет
        Для этого обычно есть донат.


      1. burzooom
        29.05.2017 23:17

        тем самым запутывая рекламодателя — просмотры есть, а клиентов нет.
        Если не отключаете баннеры только из-за желания поддержать автора… лучше так не делать.


        1. nafikovr
          30.05.2017 06:38

          То естья по вашему должен по каждому баннеру кликать? Это еще больше запутает рекламодателя.
          Да и вообще. Почему сразу клиентов нет? Реклама контекстная, так что временами даже интересная.


          1. burzooom
            30.05.2017 09:27
            +1

            нет. если вы не пользуетесь контекстной рекламой, то отключите ее и не испытывайте угрызений совести.
            это ровно то же самое, что ходить на концерты местного хора единственным зрителем из жалости к ним. То есть, вроде как слушаете, но если они вдруг в шутку скажут «а мы больше не будем выступать», то с радостным криком «наконец-то», побежите из зала.


            1. nafikovr
              30.05.2017 09:38

              что значит не пользоваться рекламой? если среди 1000 показов я увижу интересную для меня вещь и из 1000 таких интересных вещей я одну-две куплю — это я пользуюсь или из жалости смотрю? покупатель рекламы сам решает кому и что показывать. если попадание в цель 0.001% и но не окупается то это уже его проблема.


              1. burzooom
                30.05.2017 09:47

                обычно нужные вещи начинают мелькать вы рекламе после первого же оценочного запроса в поисковик.


                1. nafikovr
                  30.05.2017 10:07

                  ну как бы на то она и контекстная


                1. Frankenstine
                  01.06.2017 08:31
                  +1

                  А на нужный товар реклама начинает сыпаться после его покупки :)


    1. Radjah
      29.05.2017 16:35
      -11

      Судя по реакции на этот мой коммент, местное население предпочитает охать и истерить вместо любых попыток обезопасить себя своими же руками.


      1. rednikze
        29.05.2017 20:09
        +9

        «Охать и истерить» — это неотъемлемая часть построения правильного гражданского общества. Нельзя проблемы касающиеся интересов общества скрывать, замалчивать и обходить стороной. Да, можно и нужно заботиться о личной безопасности и цифровой гигиене, но точно так же нужно не оставлять такие случаи без внимания, иначе все может так и остаться.


        1. Radjah
          29.05.2017 20:27
          -6

          И поэтому надо писать в спортлото на ГТ, а не в саппорт Сбера. Так победим!


          1. olegon-ru
            29.05.2017 20:33
            +3

            Вы не очень внимательно читали. Я до того, как написал сюда, пытался найти этот самый саппорт Сбера.

            На почту не ответили, в FB сначала отписку бросили, на видео не ответили.

            В розовых единорогов я перестал верить раньше…


            1. nikolayv81
              01.06.2017 08:37

              Наверное вы меня неправильно поняли, либо я недостаточно ясно выразился, я как раз хотел написать, что в поддержку сбера писали много раз и много людей по данному поводу.


          1. danyaShep
            29.05.2017 21:00
            +3

            Если банк-посмешище, пусть эта информация будет публичной. Их саппорт самый некомпетентный из всех, что я пробовал (тинькофф, точка, открытие, связной)


            1. Aleksi
              31.05.2017 12:55

              Сейчас обнаружил Google Analytics в Точке :(


              1. Aleksi
                31.05.2017 13:10

                https://comment.userecho.com/topics/562-vneshnie-skriptyi-google-analytics-i-drugie-na-stranitse-banka/


              1. Frankenstine
                01.06.2017 09:17

                А у кого его нет? :)


                1. Aleksi
                  01.06.2017 12:02

                  В Альфа Клике, например, ничего внешнего нет, всё с его серверов грузится.


                1. dimm_ddr
                  01.06.2017 13:54

                  В банке Санкт-Петербург в личном кабинете я вчера не нашел тоже. На главной странице есть, в личном кабинете — нет.


          1. dom1n1k
            29.05.2017 22:33
            +2

            До Деда Мороза достучаться вероятнее.
            Прямо так и вижу эту картину: «У вас в личном кабинете куча опасных скриптов» — «Ай-ай, какое безобразие, уже убираем! Спасибо вам за сигнал!»


          1. kostus1974
            30.05.2017 11:32

            на практике можно говорить, что не существует никакого саппорта у сбера. саппорт у них занят только поддержкой работающего открытого функционала (клиент не знает, куда нажать и т.п.).
            и с чего вы опять берёте, что что-то здесь происходит «вместо»? в жизни чаще происходит не «вместо», а «вместе». и автор заметки об этом прямо написал — он написал, что обращался в службу поддержки.


            1. nikolayv81
              31.05.2017 21:10

              Есть способы выйти на начальника смены в том же колл центре, на таком уровне вопросы решаются уже более качественным образом, по крайней мере сообщают что реально можно сделать а что вероятно так и останется нерешённым по заявке, ещё можно достучаться до руководителя отделения, там тоже люди с хорошим опытом и определёнными полномочиями, это из того с чем самому приходилось сталкиваться, но для этого для начала самому нужно оценить реальность решения своего вопроса в организации такого масштаба.


          1. nikolayv81
            31.05.2017 21:03

            Я думаю если бы Сбер не поленился и посчитал такие запросы, то их было бы сильно больше одного, причём они(вроде) убирали аналитику гугла, но потом она опять всплыла. Увы безопасники в крупных банках весьма выборочно подходят к популярной в нынешнее время теме конфиденциальности пользовательских данных.
            Есть сервисы которые защищены по полной, а есть интернет банк и мобильное приложение(а в случае сбербанка ещё включённый по умолчанию мобильный банк на волшебном номере 900, через который трояны вполне могут тащить деньги)


            1. Cast_iron
              01.06.2017 12:58

              Можно поподробнее про кражи с «мобильного банка» Сбера? МБ пользуюсь, а приложение Сбера не ставлю из (своих параноидальных) соображений безопасности. Андроид.


              1. Chamie
                01.06.2017 13:09

                Можно поподробнее про кражи с «мобильного банка» Сбера?
                А там разве не достаточно отправить СМС (без паролей) на номер Сбера, чтобы перевести деньги куда угодно? Была, вроде, история, когда пенсионерке подключили мобильный банк на номер, который она указала как контактный (номер внука), а когда тот его сменил, номер вернулся обратно в пул оператора, и его присвоили какой-то новой симке. С которой новый владелец и отправил что-то вроде «перевести ХХХ денег на счёт YYY».
                Но за достоверность истории не ручаюсь (а гуглить лень).


                1. Velibekov
                  01.06.2017 13:14

                  Украли мою мобилу. Сразу заблокировал симку, на следующий день восстановил номер.
                  И при попытке активировать приложение на новом телефоне, получил от Сбера СМС с просьбой верифицировать новую симку.
                  Позвонил в банк, ответил на кучу вопросов оператора, после чего они верифицировали мою новую симку.
                  После этого смог продолжить пользоваться Сбером.
                  То же было и с Ситибаном.
                  Ноябрь 2015 года.


                  1. zikasak
                    01.06.2017 13:18
                    +1

                    блокировка смс при смене сим работает не всегда.
                    у меня один раз заблокировало через несколько месяцев…


                    1. YMA
                      01.06.2017 17:05
                      +1

                      У меня ни разу не блокировало. Один раз после замены симки (микро на нано) пришло СМС — «мы заметили, что вы поменяли симку, позвоните в колл-центр, иначе мы всё вам отключим». Не позвонил — хотел проверить. Ничего не отключили.


      1. kostus1974
        30.05.2017 11:25
        +1

        из каких это постов вы поняли, что «истерят» именно «вместо»? я пользуюсь и сбером, и резалками. теперь буду ещё осторожнее. по возможности — через кассу с тётечкой.
        просто заметка хороша и по изложению, и по детализации. вот и реакции достаточно бурные.
        не волнуйтесь: все всё поняли правильно.


        1. rustavelli
          30.05.2017 12:32

          «через кассу с тётечкой.» это совковое убожество берет еще больше комиссий, чем обычно.


          1. kostus1974
            30.05.2017 14:06

            я про отделения сбербанка говорил. (разве там берут комиссию?)


            1. rustavelli
              30.05.2017 14:49

              в кассе сбера:
              1,5% мин. 30 руб. макс. 1000 руб. перевод на дебетовую карту другого клиента сбера за пределами одного города (онлайн за ту же операцию дерут 1%)

              4% за обналичку карты другого банка.


              1. Velibekov
                31.05.2017 13:26

                Если вам надо регулярно переводить в другой город — откройте ещё одну карту, в том городе.
                Далее, через Сбербанк-онлайн, переводите со своей карты на свою другую (без комиссии) и со своей другой переводите нужному человеку (опять же, без комиссии).


                1. dewil
                  31.05.2017 13:38

                  я могу ошибаться, но без комиссии в другой город это будет только в пределах макро-региона.


                  1. Velibekov
                    31.05.2017 22:53

                    Читайте внимательнее!
                    Если вы переводите деньги внутри своего аккаунта, с одной карты на другую, то нет никакой комиссии!


                    1. ploop
                      01.06.2017 08:25

                      Да, такой хак вроде работает, но проблема одна: откройте ещё одну карту, в том городе. То есть хоть раз физически надо сгонять в другой регион (внутри одного смысла нет, и так без комиссий).


                      1. Velibekov
                        01.06.2017 13:18

                        Живу в Москве.
                        Родители в другом регионе.
                        При очередном посещении родителей, открыл карту.
                        Как минимум, годовое обслуживание окупается за счёт экономий на комиссиях при переводах.
                        В дополнение получил дополнительный инструмент: держу на ней 3-5 тыс руб и использую для интернет-платежей. И если не взломают, то не много потеряю.
                        Основные средства держу на другой карте, которую кроме как в банкоматы и терминалы Сбера (внимательно убедившись в отсутствии дополнительного левого оборудования), больше никуда не сую.


                        1. Velibekov
                          01.06.2017 13:19

                          *и если взломают


                1. rustavelli
                  31.05.2017 14:52

                  Проблема решилась двумя тиньковыми. Совет у вас так себе. Во-первых надо поехать в другой город, во-вторых если с картой что-то случилось, надо снова ехать в другой город. И вообще если хоть что-то от банка нужно, надо идти в офис в другом городе.
                  А я не знаю, зачем мне куда-то ехать, если есть интернет.
                  При этом при всем терпеть худший сервис и никакущие условия по этим двум картам.


                1. alcr
                  31.05.2017 16:13

                  Курган — Тюмень Тюмень-Екб Курган-Екб комиссия есть. В топку этот сбер, больше ни на что не годится


                  1. vlivyur
                    01.06.2017 17:27

                    Потому что области разные.


                    1. alcr
                      02.06.2017 12:18

                      а что тогда у сбера является «макро-регионом»? dewil


                      1. dewil
                        02.06.2017 12:32

                        Питер в Северо-Западном находится.
                        Москва — Центральный.
                        Ростов н/д — Южный.

                        Вот между этими регионами комиссия есть, а внутри них нет.


                        1. YMA
                          02.06.2017 12:52

                          Сибирский банк Сбера — Новосибирск, в его ведении находятся Кемеровская область и Алтайский край (и еще ряд регионов), между ними переводы карта-карта идут с комиссией.

                          PS: Но есть лайфхак — можно в Кемерово на алтайскую карту внести в Сбере деньги по номеру банковского счета, платеж будет идти дольше, но без комиссии ;)


                          1. dewil
                            02.06.2017 13:03

                            лайфхак, это ножками в отделение топать?


                            1. token
                              02.06.2017 13:04

                              Ага, в кемерово


                              1. dewil
                                02.06.2017 13:33

                                Спасибо, я за хайтек, пусть даже с комиссией.


                                1. YMA
                                  02.06.2017 13:47
                                  +1

                                  Чтобы топать в отделение, нужно:
                                  — остаться без счета/карты в банке с дешевым межбанком;
                                  — увидеть комиссию больше, чем стоит ваше время. Ладно, если 1000 перевести надо, а если 1000000? Меня жаба задавит отдавать 1500 комиссии ;)
                                  — иметь отделение сбера на расстоянии 100 метров.


                                  1. YMA
                                    02.06.2017 13:52
                                    +1

                                    PS: Пропустил время на редактирование комментария ;)

                                    А вообще я про регионы писал, чтобы показать структуру сбера — платежи карта-карта идут с комиссией, если регионы выдачи карт отличаются, даже если они относятся к одному тербанку. Платежи по номеру счета идут без комиссии в пределах тербанка (несколько регионов).
                                    Между тербанками переводы без комиссии идут со своего счета на свой (я так друзьям транзит устраивал — у меня карты разных регионов есть, и они через меня деньги на нужный регион переводили бесплатно).


                                    1. alcr
                                      05.06.2017 08:45

                                      Клиент, сломай себе мозг пытаясь понять за какие переводы будет комиссия, а за какие нет. И вообще, комиссия за переводы внутри «федерального» банка — это показатель отношения к клиенту (и да, я знаю что это кучка мелких банков под одной вывеской, только накойхрен они такие нужны?)


                                  1. dewil
                                    02.06.2017 17:13

                                    Тут уже кому что важней и удобней.


    1. olegon-ru
      29.05.2017 17:56
      +1

      К сожалению или счастью, баннерорезки тоже делают люди. Я предпочитаю видеть сайт так, как его задумал автор. Было много неприятных ошибок вмешательства резаков в процедуры регистраций и отправки данных. Но и это всего лишь мое мнение. У Вас оно может быть совсем другим. Думаю, что до поры, до времени.


      1. dom1n1k
        29.05.2017 18:09
        +3

        Глюки действительно иногда бывают. Но в сравнении с количеством г-на, которое они вычищают, это примерно как муравей против стада слонов. Гораздо лучше держать включенными всегда и изредка добавлять исключения.


        1. olegon-ru
          29.05.2017 18:16

          Не спорю, я просто практически не посещаю, например, новостники, которые вот этим всем загажены.
          Тут уже особенности и привычки. У меня список посещаемых ресурсов достаточно невелик, все они с историей и с уважением относятся к посетителям. В результате муравьев становилось гораздо больше в пропорциях к одному слону, а, главное, эти муравьи возникали очень неожиданно, когда забывал отключать резак и про него вообще забывал.


      1. Radjah
        29.05.2017 19:50
        -1

        Если только сайт не завязал свои скрипты на рекламную начинку, или его авторы не нагадили в список фильтров. Я и такое видел.


    1. Daar
      31.05.2017 17:37

      А зря, как раз там можно много чего порезать лишнего. Бывает у некоторых на компах заходишь на сайты и становиться страшно от количества рекламы, хотя у меня на этих же сайтах её нет вообще или по минимуму.


  1. Markscheider
    29.05.2017 14:56
    -5

    Итить…
    А вкладка «инкогнито» в браузере ситуацию не улучшит? Просто я, как и вы, баннерорезками не пользуюсь…


    1. Markscheider
      29.05.2017 15:07
      -3

      Поясню чуть подробнее. В силу некоторых ограничений на ноуте можно ходить в инет либо из хрома, либо через ТОР. Вот я и прикидываю возможные варианты. Если все это напрасно — то тогда вообще не буду в ЛК заходить с этой машины…


      1. olegon-ru
        29.05.2017 18:10
        +4

        Все это напрасно, поскольку данные отображаются на самом сайте СберОнлайна. И заберутся оттуда, независимо от того, какой IP будет у Вас. Баннерорезак в данном случае лишь попытка простым способом отключить скрипты, которые пользователю не нужны.


      1. Markscheider
        30.05.2017 10:27
        -3

        О, мощные минуса. На ГТ теперь стало неуместно задавать вопросы по теме?

        «Пропал дом!», (с) проф. Преображенский


    1. welcomerooot
      29.05.2017 15:07
      +1

      Не улучшит.


    1. Anarions
      29.05.2017 15:12
      +2

      Вообще никак не повлияет. Режим «инкогнито» — это режим в котором ваш браузер не оставляет следов в вашей истории. На всё остальное это никак не влияет. Его правильнее было бы назвать «режим с выключенной историей», потому-что люди, порой, неверно понимают его назначение.


      1. NaHCO3
        29.05.2017 15:57
        +2

        «режим с выключенной историей»

        Если одним словом, то это называется «режим амнезии».


        1. redmanmale
          29.05.2017 18:52
          +6

          Порномод же.


      1. ploop
        29.05.2017 16:04
        +2

        потому-что люди, порой, неверно понимают его назначение.
        Именно. Хотя браузеры при открытии приватного окна пытаются объяснить, что оно из себя представляет, но кто это читает?


      1. inkvizitor68sl
        29.05.2017 16:05
        +1

        Не совсем. Изначально оно позиционировалось как режим «без старых кук и истории». То есть в головах у создателей этого режима вы приходили на сайт «инкогнито» (с точки зрения владельца сайта). Понятно, что оставалось сочетание UA/IP, но добросовестные сайты и не используют эти данные для идентификации.
        Это потом уже появились flash-куки, идентификация по рендерингу canvas и прочие хитрости, из-за которых идентифицировать реального пользователя с почищенными включением инкогнито куками стало не проблемой.

        Так что теперь все называют этот режим «порно-режимом».

        (впрочем, с ситуацией на видео не поможет, но это надо семь пядей во лбу иметь, чтобы эти счетчики перехватить и вставить свои скрипты — как минимум нужно свой корневой CA в систему жертве протащить). Хотя всё это не отменяет того, что гугл в один прекрасный день решит использовать свою метрику как всеобщий кейлоггер.


        1. olegon-ru
          29.05.2017 18:25
          +1

          как минимум нужно свой корневой CA в систему жертве протащить

          К сожалению, если рассматривать вирус или админа домена, то задача становится очень просто реализуемой и при этом снаружи не будет никаких симптомов вмешательства.

          А так, да, суть статьи была в том, что те, кому доверяют, ничем не обязаны Сбербанку, как и все их сотрудники. Не вижу причины, почему бы Google не заинтересовался таким подарком, позволяющим мониторить (в сугубо внутренних целях и без огласки наружу) платежи крупнейшего банка России. Вторая часть — это то, что кое-кому внутри, возможно, хотелось бы у Google эту инициативу перехватить. Если уж совсем дальше двигаться, то кое-кто может и сам себе сертификаты выписывать. Уже были прецеденты.


          1. mayorovp
            30.05.2017 13:03

            Админ домена может и сам сайт интернет-банка подменить. Да и гуглу устраивать атаку на банки опасно для репутации.


            Куда реальнее другой вариант, когда одну из этих метрик попросту взламывают.


            1. nikolayv81
              31.05.2017 21:22

              Почему вы считаете что данные странички не могут учитываться гуглом в метрике "состоятельный клиент" которую он в обезличенном виде продаёт рекламодателям, ведь устанавливая на сайт его службы вы соглашаетесь с тем что анонимизированные ваших клиентов могут использоваться на усмотрение крупнейшей рекламно-поисковой площадки?


      1. Cryvage
        29.05.2017 16:19
        +1

        В Firefox в приватном режиме есть защита от отслеживания. Об этом написано прямо на начальной странице приватного режима:

        Некоторые веб-сайты используют трекеры, которые могут следить за вашими действиями в Интернете. С Защитой от отслеживания, Firefox будет блокировать множество трекеров, которые могут собирать информацию о вашем поведении в Интернете.

        Насколько хорошо это работает не знаю. Большая часть всякой аналитики у меня и так вырезана.


        1. Anarions
          29.05.2017 17:06

          Скорее всего обламывается отслеживание одного конкретного юзера по кукам. Сами скрипты не вырезаются.


          1. a1ien_n3t
            29.05.2017 18:17
            +2

            Неправда. В инкогнито Firefox блочит гугловскую аналитик. Возможно что-то еще.


            1. Anarions
              29.05.2017 20:25
              +2

              Зря минусуете человека — у ФФ и вправду есть такая фишка. Блокирует адреса известных трекеров.
              https://support.mozilla.org/en-US/kb/tracking-protection-pbm


      1. vlivyur
        30.05.2017 11:54

        Не только в вашей, но ещё при этом он не делится с серверами вашей имеющейся историей. Примерно как очистить куки и историю посещений и зайти на сайт, а при закрытии вкладки повторить.


    1. sevikl
      29.05.2017 15:30
      +2

      как будто в «инкогнито» вы не будете авторизоваться для операций в сбербанк-онлайн.


    1. mayorovp
      30.05.2017 13:01

      Вкладка инкогнито никак не защищает вас от отслеживания в на том сайте, где вы сами ввели логин и пароль.


      Этот механизм может помешать сопоставить ваши профили на разных сайтах, если вы перезапускали режим инкогнито между заходами туда, но в пределах одного сайта механизм "анонимных" вкладок не работает никак.


  1. swelf
    29.05.2017 15:01
    +3

    Странно что сторонние скрипты вставляют в такую интимную вещь как ЛК, я понимаю ТП которая не понимает что почем, отписалась, но вставляли то скрипты программеры.


  1. gibson_dev
    29.05.2017 15:08
    +1

    Ghostery — и нет проблем) Ну а баннеры смотерь — на свой вкус


    1. Ryav
      29.05.2017 15:44
      +1

      Почему не uMatrix, который советуют ниже? Вроде функциональнее же.


    1. AmberSP
      29.05.2017 21:27

      с ним онлайн-банк Промсвязьбанка не может.
      Да и вообще в какой-то момент Ghostery стал больше проблем доставлять, чем пользы


      1. Vilgelm
        30.05.2017 03:02

        disconnect.me есть еще, с ним Промсвязь работает. Правда Яндекс.Карты придется руками разрешить, а в целом проблем не доставляет, просто режет всю телеметрию.


  1. izzholtik
    29.05.2017 15:13
    +2

    Каким образом вы перехватываете ввод?


    1. Mnemonik
      29.05.2017 15:26
      +1

      подмена одного из того списка с которого сайт грузит скрипты где-то между вами и интернетом на свой хост, и раздача с него скрипта типа
      object.addEventListener(«keydown», function(event) { console.log(event.keyCode) });
      ну или любой друго вариации того же кода.
      мест которые подменяют что-то между вами и интернетом — полно. тот же самый провайдер для показа страницы «сайт заблокирован роскомнадзором» вмешивается в ваш трафик.


      1. Losted
        29.05.2017 15:28
        +4

        Хм, а как подмену сертификата оранизовать? Они же по https раздаваться должны


        1. Mnemonik
          29.05.2017 16:32

          Именно за этим они и придуманы, сертификаты, чтобы не подменяться, но кого это останавливало? Ну будет источник недоверенный с какого-нибудь rutarget.ru, большое дело…


          1. Losted
            29.05.2017 19:39
            +1

            И чем это будет отличаться от полной подмены сайта в таком случае?


        1. olegon-ru
          29.05.2017 19:00

          Подмену никакой делать не надо. Нужно просто внедрить доверенный сертификат на машине жертвы, либо обладать возможностью подписывать сертификаты у доверенного центра. Тогда все браузеры будут верить, что любой HTTPS-сайт может лежать на вашем сервере.


          1. Apathetic
            29.05.2017 22:14
            +6

            Тогда какое вообще имеет значение, откуда грузятся скрипты? С внедренным сертификатам можно подменять хоть собственные скрипты сайта. Нужно разделять проблему возможности подмены скритов и проблему слива данных сторонним сервисам.


            1. norlin
              30.05.2017 15:49

              Проблема в том, что "сторонние сервисы" по собственной воле могут взять и начать записывать данные. Без какой-либо подмены.


              1. Apathetic
                30.05.2017 16:18

                Да. Я и говорю, что это две разные проблемы.


                1. norlin
                  30.05.2017 16:23

                  Да, но в данном случае подмена была использована лишь чтобы продемонстрировать "основную" проблему.


      1. Zavtramen
        29.05.2017 17:50
        +4

        подмена одного из того списка с которого сайт грузит скрипты где-то между вами и интернетом на свой хост, и раздача с него скрипта типа


        А что в таком случае помешает перехватить сам сайт сбера и выдавать фишинговую страницу? К чему тогда вообще сложности со сторонними сервисами? Я не особо разбираюсь в этой теме, но подозреваю что если кто-то может получить доступ такого рода, то сделать он может что угодно и с чем угодно. Сбер не защищаю, сторонние счетчики не должны жить на страницах с приватной инфой.


        1. a1ien_n3t
          29.05.2017 18:19
          -1

          Ну у сбера EV сертификат. И его очень сложно подделать.


          1. a1ien_n3t
            30.05.2017 11:44
            +1

            А можно узнать что не так с комментарием? Может вы знаете как легко получить EV сертификат на любой домен?


            1. mayorovp
              30.05.2017 13:09
              -1

              Так же, как и обычный. Добавить в хранилище трояном, политиками домена, взломать любой центр сертификации, купить у коррумпированного сотрудника или надавить со стороны государства.


              Прецеденты же уже были.


              1. a1ien_n3t
                30.05.2017 14:57
                +1

                Как я уже писал ниже. Добавление в хранилище не дает возможости получить EV серт. Чтобы была зеленая плашка от EV серта нужно непросто добавить свой сертефикат в доверенные. Нужно также изменения в самом браузере.
                Понимаете что EV гораздо труднее подделать.

                зломать любой центр сертификации, купить у коррумпированного сотрудника или надавить со стороны государства.

                Очень мало реальные сценарии.


                1. mayorovp
                  30.05.2017 15:14

                  Спасибо, не знал что там в EV дополнительная проверка. Но последние три варианта остаются осуществимыми.


                  Прецеденты же уже были.


                  1. a1ien_n3t
                    30.05.2017 15:38
                    +1

                    Ну это не совсем прецеденты. Если разобрать все ситуации мозиллы и почитать официальные ответы от startssl, то становится ясно, что да они накосячили(конкретно startssl). Но совсем немного. Там только пару нюансов с косячной выдачей DV сертов. Но на то они и DV.
                    Еще не было вроде ни одного прецедент с EV сертами. Так-как за это такое можно очень сильно отхватить поэтому EV всегда и выдается вручную. И наверняка там требуется согласование не одного сотрудника.

                    Да 100% защиты нету. Но все таки EV подделать на порядок сложнее, что я и говорил в своем первом коментарии.


        1. olegon-ru
          29.05.2017 19:05

          К сожалению, не было возможности снять видео о действительно неприятных вещах, т.е. том, что можно забрать изнутри личного кабинета. У многих сложилось впечатление, что речь идет только о воровстве пароля. Фишинговая страница сбера украдет пароль, который все равно надо будет подтвердить через СМС.

          Подменой чужих скриптов можно будет видеть все, что будет видеть пользователь и забирать весь его ввод.

          На фишинговой странице пользовательских данных не будет.


          1. WraithOW
            30.05.2017 11:21
            +3

            Если есть доступ к сертификатам на машине — можно сделать полноценный mitm, проксируя запросы через себя, сохраняя ответы (в том числе токены), подменяя любые скрипты и далее по пунктам. ИМХО это даже проще, чем мастерить фишинговую страницу. Говорить в таком контексте об «уязвимых сторонних скриптах» — всё равно что затыкать течи в разломившемся пополам корабле.


      1. anatolix
        31.05.2017 12:37
        -1

        А можете раскрыть тему, куда нибудь выложить как это делается, вы точно подменили внешний скрипт, а не кусочек страницы сбербанка? Просто есть такая штука same origin policy, которая запрещает элементам странички с разных доменов ровно такие штуки делать. С одного домена можно.


        1. anatolix
          31.05.2017 13:25
          +2

          Если минусуете, комментируйте pls, что не понравилось


          1. olegon-ru
            31.05.2017 14:33
            -5

            Я не минусовал, но ниже уже писал, что не могу выложить суть проделанного, чтобы не привлекать внимание злоумышленников. В свете того, что Сбербанк сейчас занимается мной вместо того, чтобы хотя бы на время разбирательств убрать скрипты, кто-нибудь может действительно поснимать данные, которые ему не предназначались.


          1. mayorovp
            01.06.2017 14:27
            +1

            Не вполне понятно как SOP защищает от этой атаки. Если на странице есть тэг <script src="..."> — то он будет загружен и выполнен независимо от домена.


            От добавления левого внешнего скрипта может спасти CSP — но от подмены существующего скрипта не спасает ничего.


            Впрочем, все это ерунда, потому что вместо подмены скрипта можно с тем же успехом подменять саму страницу сайта.


    1. olegon-ru
      29.05.2017 18:58
      -1

      Если говорить о конкретно случае на видео, то пользовался

      $(document).keypress(function(e)
      

      кстати, еще не проверил откуда jquery грузят…
      Мне не жалко было бы рассказать все в подробностях, но как бы кто-нибудь за взлом не привлек. Дураков-то хватает…


      1. buggykey
        30.05.2017 13:22

        Ну, я думаю, что если закрасить на видео всю инфу, позволяющую идентифицировать Вас как пользователя сбера и как личность — никто Вас не привлек бы, а видео получилось бы просто отличное!


  1. Hellsy22
    29.05.2017 15:16
    +1

    Как временное средство может помочь Privacy Badger — он регулирует работу с ресурсами третьих сторон, позволяя на лету их разрешать, ограниченно разрешать (только куки) или запрещать.


  1. x893
    29.05.2017 15:19
    +3

    Не только сбер этим занимается, 99.9% других тоже не брезгуют, Потом правда начинают говорить, что они тут не виноваты. Я давно уже все подобные сайты прописываю в hosts
    0.0.0.0 doubleclick.net
    и прочие
    Года два назад на хабре подымалась эта тема, но видиму сберу зачем то это надо.


    1. Woit
      29.05.2017 18:53
      +2

      реквестирую ваш hosts для запиливания оного на своем компьютере


      1. x893
        29.05.2017 19:36
        +12

        Такой у меня hosts

        Заголовок спойлера
        0.0.0.0 player.kmpmedia.net
        0.0.0.0 mc.yandex.ru
        0.0.0.0 an.yandex.ru
        0.0.0.0 banerator.net
        0.0.0.0 ads.electronix.ru

        0.0.0.0 counter.yadro.ru
        0.0.0.0 mg.yadro.ru
        0.0.0.0 adriver.ru
        0.0.0.0 ad.adriver.ru
        0.0.0.0 partner.googleadservices.com
        0.0.0.0 imgg.marketgid.com
        0.0.0.0 marketgid.com
        0.0.0.0 c.marketgid.com
        0.0.0.0 st3.recreativ.ru
        0.0.0.0 c.imrk.net
        0.0.0.0 w1010.am15.net
        0.0.0.0 jsc.marketgid.com
        0.0.0.0 counter.marketgid.com
        0.0.0.0 yandex.st
        0.0.0.0 recreativ.ru
        0.0.0.0 w1120.am15.net
        0.0.0.0 am15.net
        0.0.0.0 c.100im.info
        0.0.0.0 content.rbc.medialand.ru
        0.0.0.0 engine.rbc.medialand.ru
        0.0.0.0 www.tns-counter.ru
        0.0.0.0 hgads.ru
        0.0.0.0 googleads.g.doubleclick.net

        0.0.0.0 www.googleadservices.com
        0.0.0.0 pagead2.googlesyndication.com

        0.0.0.0 kimus.ru
        0.0.0.0 st.ladycash.ru
        0.0.0.0 ad.smaclick.com

        0.0.0.0 adsunflower.com
        0.0.0.0 adfuture.cn
        0.0.0.0 mayitek.com
        0.0.0.0 cs7050.vk.me
        # 0.0.0.0 ssl.gstatic.com
        0.0.0.0 psv4.vk.me
        0.0.0.0 h2.msn.com
        0.0.0.0 sO.2mdn.net

        0.0.0.0 graph.facebook.com

        0.0.0.0 tracker.convead.io

        0.0.0.0 mscrl.microsoft.com
        # 0.0.0.0 crl.microsoft.com

        0.0.0.0 spynet2.microsoft.com
        0.0.0.0 spynetalt.microsoft.com

        0.0.0.0 logc181.xiti.com

        0.0.0.0 advertising.cadsoft.de
        0.0.0.0 adservone.com
        0.0.0.0 meofur.ru
        0.0.0.0 www.marketgid.com

        0.0.0.0 a.ads1.msn.com
        0.0.0.0 a.ads2.msads.net
        0.0.0.0 a.ads2.msn.com
        0.0.0.0 a.rad.msn.com
        0.0.0.0 a-0001.a-msedge.net
        0.0.0.0 a-0002.a-msedge.net
        0.0.0.0 a-0003.a-msedge.net
        0.0.0.0 a-0004.a-msedge.net
        0.0.0.0 a-0005.a-msedge.net
        0.0.0.0 a-0006.a-msedge.net
        0.0.0.0 a-0007.a-msedge.net
        0.0.0.0 a-0008.a-msedge.net
        0.0.0.0 a-0009.a-msedge.net
        0.0.0.0 ac3.msn.com
        0.0.0.0 ad.doubleclick.net
        0.0.0.0 adnexus.net
        0.0.0.0 adnxs.com
        0.0.0.0 ads.msn.com
        0.0.0.0 ads1.msads.net
        0.0.0.0 ads1.msn.com
        0.0.0.0 aidps.atdmt.com
        0.0.0.0 aka-cdn-ns.adtech.de
        0.0.0.0 a-msedge.net
        0.0.0.0 az361816.vo.msecnd.net
        0.0.0.0 az512334.vo.msecnd.net
        0.0.0.0 b.ads1.msn.com
        0.0.0.0 b.ads2.msads.net
        0.0.0.0 b.rad.msn.com
        0.0.0.0 bs.serving-sys.com
        0.0.0.0 c.atdmt.com
        0.0.0.0 c.msn.com
        0.0.0.0 cdn.atdmt.com
        0.0.0.0 cds26.ams9.msecn.net
        0.0.0.0 choice.microsoft.com
        0.0.0.0 choice.microsoft.com.nsatc.net
        0.0.0.0 compatexchange.cloudapp.net
        0.0.0.0 corp.sts.microsoft.com
        0.0.0.0 corpext.msitadfs.glbdns2.microsoft.com
        0.0.0.0 cs1.wpc.v0cdn.net
        0.0.0.0 db3aqu.atdmt.com
        0.0.0.0 df.telemetry.microsoft.com
        0.0.0.0 diagnostics.support.microsoft.com
        0.0.0.0 ec.atdmt.com
        0.0.0.0 feedback.microsoft-hohm.com
        0.0.0.0 feedback.search.microsoft.com
        0.0.0.0 feedback.windows.com
        0.0.0.0 flex.msn.com
        0.0.0.0 g.msn.com
        0.0.0.0 h1.msn.com
        0.0.0.0 i1.services.social.microsoft.com
        0.0.0.0 i1.services.social.microsoft.com.nsatc.net
        0.0.0.0 lb1.www.ms.akadns.net
        0.0.0.0 live.rads.msn.com
        0.0.0.0 m.adnxs.com
        0.0.0.0 msedge.net
        0.0.0.0 msftncsi.com
        0.0.0.0 msnbot-65-55-108-23.search.msn.com
        0.0.0.0 msntest.serving-sys.com
        0.0.0.0 oca.telemetry.microsoft.com
        0.0.0.0 oca.telemetry.microsoft.com.nsatc.net
        0.0.0.0 pre.footprintpredict.com
        0.0.0.0 preview.msn.com
        0.0.0.0 rad.live.com
        0.0.0.0 rad.msn.com
        0.0.0.0 redir.metaservices.microsoft.com
        0.0.0.0 schemas.microsoft.akadns.net
        0.0.0.0 secure.adnxs.com
        0.0.0.0 secure.flashtalking.com
        0.0.0.0 settings-sandbox.data.microsoft.com
        127.0.0.1 settings-win.data.microsoft.com
        0.0.0.0 sls.update.microsoft.com.akadns.net
        0.0.0.0 sqm.df.telemetry.microsoft.com
        0.0.0.0 sqm.telemetry.microsoft.com
        0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net
        0.0.0.0 ssw.live.com
        0.0.0.0 static.2mdn.net
        0.0.0.0 statsfe1.ws.microsoft.com
        0.0.0.0 statsfe2.ws.microsoft.com
        0.0.0.0 telecommand.telemetry.microsoft.com
        0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net
        0.0.0.0 telemetry.appex.bing.net
        0.0.0.0 telemetry.microsoft.com
        0.0.0.0 telemetry.urs.microsoft.com
        127.0.0.1 vortex.data.microsoft.com
        127.0.0.1 vortex-bn2.metron.live.com.nsatc.net
        127.0.0.1 vortex-cy2.metron.live.com.nsatc.net
        127.0.0.1 vortex-sandbox.data.microsoft.com
        127.0.0.1 vortex-win.data.microsoft.com
        0.0.0.0 watson.live.com
        0.0.0.0 www.msftncsi.com
        0.0.0.0 fe2.update.microsoft.com.akadns.net
        0.0.0.0 m.hotmail.com
        0.0.0.0 reports.wes.df.telemetry.microsoft.com
        0.0.0.0 s.gateway.messenger.live.com
        0.0.0.0 s0.2mdn.net
        0.0.0.0 services.wes.df.telemetry.microsoft.com
        0.0.0.0 statsfe2.update.microsoft.com.akadns.net
        0.0.0.0 survey.watson.microsoft.com
        0.0.0.0 view.atdmt.com
        0.0.0.0 watson.microsoft.com
        0.0.0.0 watson.ppe.telemetry.microsoft.com
        0.0.0.0 watson.telemetry.microsoft.com
        0.0.0.0 watson.telemetry.microsoft.com.nsatc.net
        0.0.0.0 wes.df.telemetry.microsoft.com0.0.0.0 mpa.one.microsoft.com

        0.0.0.0 api.skype.com
        0.0.0.0 static.skypeassets.com
        0.0.0.0 apps.skype.com
        0.0.0.0 pricelist.skype.com
        0.0.0.0 ui.skype.com

        # 0.0.0.0 yastatic.net
        0.0.0.0 www.googletagmanager.com
        0.0.0.0 l.sharethis.com
        0.0.0.0 w.sharethis.com
        0.0.0.0 edge.sharethis.com
        0.0.0.0 et-code.ru
        0.0.0.0 wsp.marketgid.com
        0.0.0.0 cat.fr.eu.criteo.com
        0.0.0.0 csm.nl.eu.criteo.net
        0.0.0.0 cstatic.weborama.fr
        0.0.0.0 tpc.googlesyndication.com
        0.0.0.0 www.googletagservices.com
        0.0.0.0 cas.criteo.com
        0.0.0.0 target.smi2.ru
        0.0.0.0 cdn.onthe.io
        0.0.0.0 www.google-analytics.com
        0.0.0.0 tt.onthe.io
        0.0.0.0 target.smi2.net
        0.0.0.0 pipki.r.worldssl.net
        0.0.0.0 cdn.onthe.io
        0.0.0.0 img.chipfind.ru
        0.0.0.0 r.rbc.ru


        1. sergey-b
          29.05.2017 21:21

          Вот спасибо. У меня список гораздо скромнее.


        1. darkfrei
          31.05.2017 11:12

          Почему некоторые нули, некоторые локальные, а некоторые закомментированы?


          1. x893
            31.05.2017 11:28

            Я думаю что 0.0.0.0 правильнее чем 127.0.0.1
            Хотя в других источниках используется 127…
            Закоментированы — значит понадобились наверное.


            1. Aelliari
              01.06.2017 13:25

              А меня и нули смущают, 127.0.0.1 и остальные loopback адреса — запрос будет завёрнут на локальную машину. А вот как поведёт себя 0.0.0.0 — для меня загадка, будет ли попытка соединения отброшена или как будет разруливать встроенный в ОС маршрутизатор, адрес же корректный и в зависимости от реализации или местоположения может означать разные вещи.
              А вот заведомо не верный адрес, скажем, вида(взят с потолка) 431.12.117.526 не корректен с точки зрения протокола и вроде как не должен как либо участвовать в маршрутизации. Такие адреса должны сразу отбрасываться без обработки. Но чёрт его знает что начудили в конкретных реализациях и какие там баги.


              1. x893
                01.06.2017 13:48

                Да — когда указан 127 клиент делает соединение и отваливается по таймоуту (хотя можно поставить логгер и посмтреть что он пытается отправить или загрузить). Когда 0.0.0.0 — то соединения не происходит.


          1. Kyoki
            31.05.2017 12:43

            Можно использовать и нули, и локальный. Но т.к. ноль это не реальный адрес, а как бы ответ, что не существует, то и таймаута на установку соединения скореевсего не будет.


      1. chupasaurus
        29.05.2017 22:10
        +7

        Курируемый hosts файл с бонусными ништяками и на github.


    1. dsp25no
      31.05.2017 06:53

      Ну все не настолько плохо, хотя проблема действительно есть. Больше 10% банков подключают сторонние скрипты там, где это делать не надо


      1. x893
        31.05.2017 08:05

        По моим наблюдениям меньше 0,0001% сайтов не используют сторонние ресурсы.
        Просто для банков это может более критично, чем например для первого канала или сайта гос.услуг.
        Чем больше сторонних ресурсов, тем легче найти дырку и немного подправить скрипт.
        А потом кто знает, что завтра вставит фейсбук в свой счетчик для сайта гос.услуг когда его нагнёт АНБ или ФСБ нагнет яндекс (это пример).


        1. dsp25no
          31.05.2017 13:32

          Я собирал статистику по использованию счетчиков на страницах входа в интернет-банки. Поэтому могу сказать, что если опустить облачные банки (фактрура, handybank), то 10-15% подключают счетчики.


  1. InteractiveTechnology
    29.05.2017 15:24
    +1

    Ну для объективности не так-то просто в современном браузере подменить скрипт по SSL :)
    А ещё там есть скрипт group-ib, который мониторит поведение юзеров и подгружаемые скрипты на изменения.


    1. lega
      29.05.2017 15:36
      +5

      не так-то просто в современном браузере подменить скрипт по SSL
      И не надо, достаточно быть админом «дабл-клика» или «рутаргета», что бы иметь возможность получить доступ к любому аккаунту Сбера.


      1. wholeman
        29.05.2017 15:53
        -1

        К счастью, недостаточно — ещё SMS перехватить надо. Без них только переводы между своими счетами/картами. Утешение, конечно, слабое.


        1. InteractiveTechnology
          29.05.2017 15:54

          Я так предполагаю, что мысль автора всё же про «автозалив», который не осуществим в данных условиях.


        1. LexB
          29.05.2017 16:39
          +4

          Вы ведь код из смс на клавиатуре набираете? А занчит его можно так-же перехватить и использовать как логин и пароль.
          В случае атаки вам напишут «код уже использован», а в это добрый админ гипотетического даблклика будет хозяйничать в вашем лично кабинете.


          1. InteractiveTechnology
            29.05.2017 16:45
            -2

            Я вам больше того скажу, формграббер даже скриншоты кликов нужного радиуса виртуальных клавиатур делают, собирают в одну картинку горизонтальную и распознают на антикапче. Но сути инжекта со стороны mitm-атаки это не меняет. А владельцем сервисов компрометация подобная не выгодна, они зарабатывают больше, чем возможно будет украсть таким объемом платежей. Я уже промолчу, что обнал такого кол-во платежей и вообще с юридической стороны ответственность, уж лучше один раз миллиард украсть у банка даже если поймают, чем миллион томов то потерпевших потом в деле иметь.
            Всё, о чём вы рассуждаете в реальности глупости на том же уровне преступников, которых ловят.


            1. LexB
              29.05.2017 17:38

              Как вы хитро связали участников этого обсуждения с преступниками. Или показалось?
              Допустим по какой-то причине ключи от вашей квартиры дают, ну например, управдому, который получает прилично, и скорее всего вас грабить не будет. Странно? Как по мне, лучше-бы они не давали мои ключи. Тем более клиент сбербанка от того, что статистику собирает яндекс и гугл, — ничего не получает.


              1. InteractiveTechnology
                29.05.2017 18:02

                1. Показалось, перечитайте последнее предложения моего комментария, там совершенно без каких либо намёков и скрытых смыслов передана мысль.
                2. Вы переводите ветку разговора в другую тему. Я против действий Сбербанка в личном кабинете и вообще во всём, что связанно с безопасностью моих финансовых операций, которые Сбербанк не может гарантировать и снимет с себя любую ответственность при первом же инциденте.


        1. 23d
          29.05.2017 19:09

          Этого может быть достаточно, учитывая ещё то, что у людей могут быть пароли одинаковые. А у даблклика/гугла и доступ к твоему телефону есть :-)


          1. wholeman
            29.05.2017 20:41

            Полагаю, что большинство пользователей не меняют пароль, который им банкомат выдал.
            У гугла, конечно, доступ к СМС есть (но не у всех Android). У даблклика — вряд ли. Всё же, думаю, что «телефонными» сервисами и аналитикой занимаются разные команды, и вероятность того, что они скооперируются, чтобы меня ограбить, очень мала.


        1. n1nj4p0w3r
          29.05.2017 19:09

          Зачем? Скрипт с рутаргета грузится на странице где пользователь авторизован, соответственно он может манипулировать формами от его лица.


          1. wholeman
            29.05.2017 20:35

            Как он может ввести код, который пришёл ко мне на телефон в СМСке?


            1. n1nj4p0w3r
              29.05.2017 21:15

              Код нужен только для авторизации, для проведения операций со счетом его никто не просит.


              1. pudovMaxim
                29.05.2017 22:39
                +1

                Нужен, либо смс-пароль, либо распечатанный через банкомат код.


                1. n1nj4p0w3r
                  29.05.2017 23:11

                  Код все-таки просит для всего, можно спрятать оригинальную форму заполнив ее данными злоумышленника и отображать введенные пользователем данные в фиктивной, этакий фишинг поверх оригинального клиента, вряд-ли многие будут вчитываться в содержимое смс в поисках кода подтверждения


                  1. pudovMaxim
                    29.05.2017 23:46

                    Это слишком сложно и легко заметить. На мелких платежах много не заработать, но зато легко засветить уязвимость один из ста точно просмотрит смс. А крупные платежи люди будут сверять более тщательно.


                    1. n1nj4p0w3r
                      30.05.2017 00:18

                      Фишинг тем временем недостаточно сложен.
                      Ситуация получилась такая что online.sberbank.ru уязвим ровно настолько насколько уязвимы все провайдеры метрик что обильно туда понапиханы


            1. olegon-ru
              29.05.2017 22:47

              Вы его сами введете же в сайтовую форму. Только она может быть уже совсем не той, что была раньше.


              1. wholeman
                29.05.2017 23:40
                -1

                В СМСке с кодом указано, за что платёж и сколько, поэтому сильно форма отличаться не может.


        1. buggykey
          30.05.2017 13:28

          Да при таком раздолье и дубликат симки в каком-нибудь замухосранском офисе билайна-мэтээса-мегафона-теледва за сто баксов выпустить можно. Прецеденты, к сожалению, были. :(


          1. ploop
            30.05.2017 13:34

            за сто баксов

            Какие там сто баксов, ксерокопию фотошоп паспорта и милые глаза прокатывают…


          1. Fandir
            30.05.2017 16:13
            -1

            При смене симкарты автоматом блочится получение СМС на этот номер.


            1. wholeman
              30.05.2017 16:32

              Вовсе нет. Несколько раз менял карту — ничего не блокировалось.


              1. Velibekov
                01.06.2017 06:15

                После смены симки пришлось звонить в Сбер, чтобы они авторизовали новую симку.


            1. vlivyur
              30.05.2017 17:50

              Это зависит от региона/времени суток/положения звёзд на небе. Уже не раз это выясняли.


            1. ploop
              31.05.2017 08:21

              Не везде и не всегда. За время пользования онлайн-банком 3 раза менял симку — никаких блокировок.


      1. InteractiveTechnology
        29.05.2017 15:53
        -1

        Пример вектора?


  1. dmitry_dvm
    29.05.2017 15:24
    +3

    Одни дебилы придумывают трафик внутри страны закольцевать, другие — всякую шваль в ЛК крупнейшего банка страны засовывают. Вот лучше бы первые на вторых сначала внимание обратили.


    1. trojan218
      29.05.2017 16:22

      тогда они зациклят "*валь" внутри страны и засунут его в трафик… *сарказм*


    1. playnet
      29.05.2017 19:09

      А что плохого в закольцовке трафа? Или это норма, когда траф спб-мск ходит через тот же Амстердам? Безопасности это точно не добавит.


      1. sumanai
        30.05.2017 05:15
        +1

        Плохи методы, а не сама идея. В итоге они сделают так, что трафик вообще ходить не будет. Хотя этого они и добиваются.


      1. zuwr2t
        30.05.2017 08:27

        То что трафик идет не по прямой вообще на безопасность не влияет. В отличии от уменьшения связности.


      1. Kyoki
        30.05.2017 13:20
        +1

        Хотел много написать о теории, но решил ограничиться простым примером:
        «Что плохого в закрытии объездных дорог? Или это норма, когда машина вместо 10 км делает крюк в 20? Безопасности это точно не добавит.»


        1. playnet
          31.05.2017 19:09
          +1

          > Или это норма, когда машина вместо 10 км делает крюк в 20?
          В том и дело, что обычно не норма. Когда есть дорога 10 км, зачем всех отправлять в объезд на дорогу в 100 км? Лучше и быстрее ехать по прямой. Объезд это хорошо, когда он резерв.
          А теперь посчитаем, когда траф так бегает между уралом и уралом. Через германию/амстердам/…

          Понимаю причины — каналы через тот же амстердам шире и дешевле, чем прямые.


          1. Kyoki
            31.05.2017 20:42
            +1

            Так обычно и ездят эти 10 км. А вот когда затор, пробка, быстрее/надежнее/дешевле/… в обход, то и объезжают. Это вы в пробке можете час простоять, а если у пользователя пинг будет в полчаса…
            Вы хотя бы ознакомьтесь как роутинг происходит и сколько там всякого, тот же BGP. Вроде технический ресурс, а рассуждения на уровне: я вижу, что по прямой на карте быстрее. А если там нет связности и только резервный dsl канал на 100 мб/с, как вы собрались 1 Гб/с протолкнуть?


  1. token
    29.05.2017 15:26
    +4

    Не удивлен, этож сбер, у них же бигдата и все такое.


    1. theWaR_13
      29.05.2017 15:39
      +16

      Т - Технологии
      image


    1. Delics
      29.05.2017 16:49
      +3

      Получается, там работает толпа программистов (крупнейшая IT-компания России за 2016 год), но всё, что они придумали для сбора данных — это насовать чужих счетчиков.


      1. hardegor
        29.05.2017 18:42

        Ну да, а рекламу как продавать? Рекламодатели не верят личным счетчикам, им стороннего наблюдателя подавай. Вот и приходится пихать как минимум Яндекс и Гугл.


        1. vlivyur
          30.05.2017 12:24
          +1

          А где у них чужая реклама в СБОЛе?


  1. TionRus
    29.05.2017 15:29
    +2

    Вроде же все скрипты идут через https и кто угодно по пути подменить скрипт не сможет. Или все таки есть возможность подмены?


    1. token
      29.05.2017 15:34

      Представим себе ситуацию когда злоумышленник просто пошаманит над корпоративным DNS, в пределах одного офиса, и сделает так чтобы запросы к tag.rutarget.ru — шли к нему домой.


      1. InteractiveTechnology
        29.05.2017 15:47
        +3

        Попробуйте повторить и удивитесь, что ответит браузер :)


        1. swelf
          29.05.2017 15:52

          Наверно если ДНС корпоративный, то и машины могут быть в домене, то и сертификаты корневые можно добавить? это вопросы, сам винду не админю. С другой стороны, если есть возможность добавить корневые сертификаты на компьютер, то и сторонние скрипты не сильно нужны в ЛК, можно и весь трафик до сбера поснифать.


          1. webkumo
            29.05.2017 17:55
            -2

            FireFox по умолчанию не пользуется системным хранилищем сертификатов для валидации (можно ли настроить, что пользовался — не знаю).


            1. a1ien_n3t
              29.05.2017 18:25

              Через доменные политики можно добавить и в firefox'овское хранилище сертефикатов.
              Единственное как я писал выше саму страничку сбера лучше не подменять так-как там EV серт и вот его просто так не подделаешь.


              1. BigW
                29.05.2017 22:02

                я где-то не так давно читал, что EV-превратились в тыкву и уже ничего не значат, т.е. ничем от обычных не отличаются… могу ошибаться....


                1. a1ien_n3t
                  29.05.2017 23:10
                  +1

                  Вся фишка в том что неполучится сделать самоподписанный EV сертефикат, тоесть получить заветную зеленую плашку с названием фирмы. Так-как списко корневыхс сертефикатов с возможностью выдавать EV жестко прописывается в коде.
                  Таким образом вам недостаточно добавить корневой сертефикат в доверенные вам также нужно еще изменения в коде браузера внести(чтобы получить плашку), что напорядок сложнеею


        1. token
          29.05.2017 15:54
          +1

          Нет спасибо товарищ полковник, пробуйте вы это сами )


        1. olegon-ru
          29.05.2017 19:13

          Я же на видео без монтажа и фотошопа показал, что работает :)


          1. grieverrr
            01.06.2017 17:10
            +2

            Что именно работает? Яваскрипт? Открываем страничку сбербанка, инжектим свой скрипт-кейлоггер, видим свои нажатия, ок. Дальше то что?


      1. lostpassword
        29.05.2017 18:56
        +1

        Если так, то что мешает сразу сайт «Сбербанка» подменить? Зачем возиться со сторонними скриптами?


        1. olegon-ru
          29.05.2017 19:15

          А данные о пользовательских картах откуда взять? Речь о том, что внутри ЛК может быть очень много, чем заинтересуются отдельные люди. Я писал об этом выше.


          1. lostpassword
            29.05.2017 21:06
            +1

            Ну так подменить, получить необходимые данные — и потом уже переслать дальше на сервер, а ответ от сервера переслать клиенту.


        1. token
          30.05.2017 00:09
          -1

          А смысл? Подменять целый банк если можно просто поменять номер карты при переводе денег другому клиенту на левый — сторонним скриптом. Это одна строчка кода.


          1. lostpassword
            30.05.2017 08:32
            +1

            Но ведь точно так же можно подменить любой скрипт, который подгружается непосредственно с сайта Сбербанка. Никакой разницы.


            1. eisaev
              31.05.2017 15:31

              Речь же идёт не о локальной подмене скрипта, а о возможности подмены его со стороны "метрик", не принадлежащих сбербанку. Эта ситуация не может быть проконтролирована ни пользователем, ни Сбербанком без глубокого анализа, т.к. сертификат Сбербанка фактически здесь не участвует, а данные (скрипты) со стороны "метрик" будут выглядеть вполне легитимными, будучи подтвержденными их (метрик) сертификатами. Вот и получается ситуация, когда без особого привлечения внимания можно поменять скрипт на пару дней для сбора "нужных данных".


              1. lostpassword
                31.05.2017 16:29

                Представим себе ситуацию когда злоумышленник просто пошаманит над корпоративным DNS, в пределах одного офиса, и сделает так чтобы запросы к tag.rutarget.ru — шли к нему домой.
                Я подумал, что речь идёт о ситуации, когда такое делает администратор какой-то организации, пользователи которой используют «Сбербанк Онл@йн».

                Если здесь имелся в виду именно администратор «Рутаргета» — тогда да, всё правильно, просто я неверно понял контекст.


  1. slavius
    29.05.2017 15:31
    +1

    Править скрипты и говорить что оригинальные скрипты данные сливают — не совсем правильно, как мне кажется.
    Но ghostery — это да, должен быть включен:) Да и noscript по умолчанию должен запрещать все, а по необходимости включать нужные. Но это не спасет если сбер или еще кто включит все эти метрики в свои скрипты и будет раздавать как свои — и без них работать не будет.


    1. olegon-ru
      29.05.2017 19:44

      Я пробовал серфить с Noscript, если честно, это даже нечто большее, чем пытка.


      1. Skerrigan
        31.05.2017 09:51
        +2

        За месяц-два в whitelist вносится все, что нужно и дальше уже перестаешь замечать.
        P.S. Живу с ним уже много лет к ряду.


    1. 9uvwyuwo6pqt
      30.05.2017 00:06

      >ghostery
      Проприетарное расширение от рекламной компании, которое само предлагает последить за вами?


      1. slavius
        30.05.2017 08:50

        Одна централизированная следящая контора вместо кучи разных :)


        1. dimm_ddr
          30.05.2017 10:27

          Не вижу принципиальной разницы.


  1. svosin
    29.05.2017 15:33
    +2

    Вот для таких случаев есть uMatrix.


    1. olegon-ru
      29.05.2017 19:45

      Есть более щадящая комбинация: uBlock Origin + DevTools в браузере.


      1. BMS
        31.05.2017 06:55

        В uBlock достаточно включить доп фильтры и будет тот же Ghostery :)


  1. Ryav
    29.05.2017 15:38
    +1

    Ага, а при этом обрезать функционал приложения из-за рута — это же безопасность, вы что. Ох уж эти двойные стандарты.


  1. briskly
    29.05.2017 15:40
    +2

    Мир спасен, так делает не только Сбербанк.
    image
    Прошелся по топам, у многих инсторанных банков аналитика на login-pge от google.

    К сожалению google и yandex метрики свершившийся зло.

    doubleclick это тот же Google.
    А rutarget дочка Сбербанка.


    1. token
      29.05.2017 16:04

      Что — то мне подсказывает, что самый большой трэшоган можно найти в «Почта Банке» )


      1. LexB
        29.05.2017 16:43
        +6

        Сайт на обед закрывается?


        1. Fagot63
          29.05.2017 21:54
          +2

          Нет, переводы денег идут с той же скоростью что и бумажные письма/посылки.


          1. Psychosynthesis
            30.05.2017 00:23

            Вы смеётесь, но иногда у них действительно перевод на карту зачисляется три-четыре дня.


            1. Fagot63
              30.05.2017 15:32

              Я не смеюсь, это горький опыт. И не только в этом банке.


            1. pavlick
              31.05.2017 11:59

              формально межбанк может идти до 6 дней


              1. Psychosynthesis
                31.05.2017 14:10

                Ну знаете… Формально, я когда начинаю пользоваться платёжными картами, я ожидаю от сервиса скорости работы, соответствующей скоростям современных технологий. Я, конечно, понимаю, что в офертах у абсолютного большинства банков написано про три рабочих дня и т.д. но на практике большинство банков делает всё максимально быстро. И вот когда я этого не получаю, у меня возникают вопросы — за что я плачу вообще комиссию и всё остальное?

                За шесть дней я и сам могу бабки куда угодно отвезти ногами.


                1. nikolayv81
                  31.05.2017 21:53

                  С картами не всё так просто, бывали случаи когда после перечисления иб вам показывает остаток на карте, вы снимаете деньги(переводите) и попадание на проценты за овердрафт на 1 день, т.е. по факту то что отображено в иб мгновенно, может быть совсем не тем чем кажется


                1. pavlick
                  01.06.2017 12:16

                  я могу ошибаться или что-то могло измениться, но по крайней мере раньше процедура была следующая, упрощенно:
                  1. вы инициируете межбанковский перевод
                  2. деньги с вашего счета уходят на кор счет банка
                  3. происходит всякая магия с взаиморасчетами между банками
                  4. деньги попадают на кор счет банка получателя
                  5. деньги переводятся непосредственно на счет получателя.

                  Шесть дней появляются из того правила, что деньги могут лежать на кор счету не более трех дней. Соответственно, максимально возможные 6 дней — это три дня на кор счету вашего банка плюс три дня на кор счету банка получателя.

                  Если я ошибаюсь или что-то изменилось, кто-нибудь знающий может меня поправить.


                  1. Psychosynthesis
                    01.06.2017 16:06
                    +1

                    Это я всё знаю.

                    Вы мне скажите другое лучше — с какого хрена меня, как потребителя, должны вообще волновать все эти внутренние процедуры?


                  1. Zigfrid_n
                    01.06.2017 23:25
                    -1

                    Если отправлять по банковским реквизитам карты — да. Схема такая. И при ней вроде не берется комиссия в процентах, а фиксированная и небольшая. Деньги могут идти несколько дней. А вот если по номеру карты — там через процессинговый центр и зачисление почти моментальное. Но в этом случае чаще всего берут комиссию от суммы.


  1. brzsmg
    29.05.2017 15:41
    +1

    Они подключают сторонние JS уже давно, тоже пару лет назад писал об этом.
    Но тогда был только google насколько помню, а теперь целый зоопарк.


    1. bopoh13
      02.06.2017 21:10
      +1

      Зоопарк постепенно пополняется
      image


  1. 5oclock
    29.05.2017 15:55

    Я при оплате квитанций за квартиру в Сбербанк-онлайн, по-ошибке ввёл не свой лицевой счёт (ошибся на 1): увидел ФИО соседа и его задолженность по квартплате. Тоже наверное персональные данные.


    1. Markscheider
      29.05.2017 16:07

      (ошибся на 1): увидел ФИО соседа и его задолженность по квартплате
      Нет повода вам не верить, но если ошибиться на 1 цифру — система будет выдавать сообщение «Ошибочный код плательщика». Поскольку там контрольная сумма запилена. А про фамилию — тут я ХЗ как проверить. Но если пробивать номер плательщика ЖКУ на сайте bm.ru — там выдают только сумму к оплате (с разбивкой по статьям затрат). Ну и информацию «оплачено/неоплачено».Фамилий нет.


      1. 5oclock
        29.05.2017 16:08
        +3

        Какой там «ошибочный код».
        Лицевые счета заканчиваются на номера квартир.
        Можно хоть весь подъезд «обшарить».


        1. Markscheider
          29.05.2017 16:13

          Лицевые счета заканчиваются на номера квартир.
          Точно нет.
          Мы ведь говорим о десятизначных счетах для ЖКУ Москвы?
          http://www.bm.ru/ru/personal/platezhi-i-perevody/oplata-uslug/kvartplata/


          1. 5oclock
            29.05.2017 16:20
            +6

            Нет. Я не из Москвы.
            И у меня л/с ТОЧНО заканчивается на номер квартиры.


            1. arandomic
              30.05.2017 15:49

              Это, скорее всего, у вас одна из УК, у которой договор со Сбером об оплате и выставлении счетов.
              Они тупо отдают Сберу список ЛС-ФИО. Сбер позволяет вам платить по любому ЛС (Было бы странно, если бы вам запретили заплатить К/П за маму)
              Почему они при этом показывают вам ФИО, привязанное к ЛС? Ну это вопрос. Но данные слил не Сбер — данные слила УК, передав третьему лицу.
              Возможно у вас с УК в договоре есть какой-то хитрый пункт, которые позволяет ей это делать.
              Ну и у УК со Сбером — такой же пункт, прикрывающий уже Сбер.
              Но это уже домыслы.
              Аналогично плачу через сбер К/П и тоже интересовался подобным вопросом.


              1. 5oclock
                31.05.2017 15:40

                ТСЖ у меня.
                Договора с ТСЖ никакого нет.
                Как, думаю, и у всех тех, кто покупал квартиры не у застройщика (который собственно ТСЖ и организовал и людей туда «вступил»).

                Технически наверное это произошло так как Вы и описываете.
                Сбер видимо это не считает разглашением личных данных — иначе мог бы поправить ТСЖ, указать ему на ошибку.
                У меня отношение к этой ситуации — нейтральное.


          1. OrangeCrusty
            31.05.2017 06:49

            ВНЕЗАПНО есть города кроме Москвы, какая неожиданность.


      1. ploop
        29.05.2017 16:20

        ЛС и ФИО передают сберу поставщики услуг, сам сбер тут не при кухне — что дали, то и вывел. Редко у кого ЛС содержит контрольную сумму (даже не знаю примеров), некоторые более ответственные в ФИО скрывают фамилию (собственно, как и сам сбер), и ФИО будет вида «Иван Иванович И.»


      1. vlivyur
        30.05.2017 12:35

        Можно разными способами кодировать плательщика. Кто-то заморочивается, кто-то не хочет. Аналогично и с фамилиями — на кого-то наехали и они лицевой счёт теперь пишут вместо фамилии, а на кого-то ещё не наехали и они передают полностью ФИО. Но это целиком и полностью лежит на том, кто эти реестры сливает в СБ и сам СБ тут вообще ни при чём — показывает лишь то, что он получил.


      1. Fandir
        30.05.2017 16:17

        Гораздо более печально, что любой сосед может увидеть Ваш долг, а вот ФИО владельца можно узнать и без Сбера на вполне законных основаниях через рос реестр.


        1. ksil
          31.05.2017 10:33

          А в чем может быть печаль от этого знания?


          1. dewil
            31.05.2017 10:45

            имхо стыдно перед соседом :)


          1. Fandir
            31.05.2017 16:03

            Чем меньше данных для соц. инженерии тем лучше) Это как один из примеров того, что видно по данным автоплатежей… Скорее всего если покопать то можно найти ещё что-то интересное


    1. tandzan
      29.05.2017 18:43

      Через банкомат сбера можно посмотреть ФИО и долг по интернету просто по номеру договора, не засвечивая карту, анонимно, выбрав оплату наличными.


    1. lostpassword
      29.05.2017 18:59

      А как можно отличить «вас» от «не вас»? Требовать паспорт с пропиской и разрешать платить за квартиру только одному человеку?


    1. TRIMER
      30.05.2017 08:28

      С одной стороны кого-то смущает. Но это удобно. Точно видишь свою фамилию (ИО у меня не показывает, на сколько помню, я про банкомат) и знаешь, что не ошибся.


    1. mno
      01.06.2017 12:20

      В госуслугах Москвы (веб или приложение — разницы нет) можно ввести ЛЮБОЙ АДРЕС и код плательщика и без какой-либо дополнительной верификации вводить показания чужих водосчетчиков. Очень легко кому-нибудь устроить ненужный геморрой.


  1. vics001
    29.05.2017 16:09
    +1

    Что за паника? Ну переслал данные, для google analytics, Сбер может отключить и пересылать google analytics через свои сервера, это вообще не проблема.
    Хватит истерить. То что накликали на странице Сбербанка является данными доступными Сбербанку для обработки, а он уже как хочет так эти данные и обрабатывает, через google, rutarget…


    1. kmeaw
      30.05.2017 11:11
      +3

      Проблема не в том, что Сбер обрабатывает данные, а в том, что он доверяет целостности скриптов, запускаемых в контексте его страницы на компьютере пользователя, загружаемых с серверов сторонних организаций. Если возникнет гипотетическая ситуация, что злоумышленник сможет подменить скрипт google analytics/rutarget/… (например, если он администрирует те сервера, где он лежит), то станет возможным, например, редактирование полей формы платежа перед тем, как она будет отправлена из браузера на сервера Сбера.


    1. vlivyur
      30.05.2017 12:31

      Накликали тебе — сам отправляй, обрабатывай. А не так: вот тебе рабочее место, сам смотри что тут пользователь кликает.


      1. vics001
        30.05.2017 19:15

        Согласен, с одной стороны, google-api не такой удобный, а с другой стороны, банки должны обрабатывать это секьюрно на своей стороне, а не доверять 3-им компаниям.


  1. vanxant
    29.05.2017 16:13
    +8

    Поясню для тех, кто не очень в теме.
    Та же метрика пишет в логи всё, до чего может дотянуться — нажатия клавиш, движения и клики мыши, введённые значения полей по onblur, прокрутку и т.д. Потом всё посещение можно посмотреть в вебвизоре просто как видеозапись визита.
    У гугла функционал чуть слабее, но принцип похожий.
    Что там в остальных счётчиках понатыкано или теоретически может быть понатыкано — вообще не понятно.
    Сбер, Яндекс, Гугл — большие конторы с большим штатом в техподдержке. Теоретически туда может пробраться мальчиш-плохиш, или просто бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом, и получить доступ к ЛК всяких интересных личностей (бизнесменов, политиков, активистов и т.п.). При этом если обычно при входе в ЛК прилетает SMS-ка, то здесь не будет даже этого, т.к. они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет. Украсть деньги таким образом не получится (нужно подтверждение операций по SMS, а для этого нужно выкрасть телефон или сделать дубликат симки), но сам список операций может оказаться уже достаточно жареным, особенно если про политиков речь.
    Также не забываем такой вариант, что пароли от яндекс.метрики можно украсть или подобрать.
    Ну и самое плохое это всякие рутаргеты и даблклики — там значительно более низкий уровень работы безопасников просто в силу масштабов.


    1. NaHCO3
      29.05.2017 17:00

      > Бармалеи возьмут действующего сотрудника за тестикулы и вынудят поделиться доступом,

      И не надо забывать, что эти бармалеи могут иметь корочки и даже постановление суда, заставляющее этого сотрудника заткнуться навечно, сделав вид, что ничего не было.


      1. vanxant
        30.05.2017 00:55

        С постановлением суда (зачем, кстати? постановления прокурора или вождя УФСБ достаточно) всё можно сделать официально, причем без шума и пыли.


    1. lega
      29.05.2017 17:37

      Украсть деньги таким образом не получится (нужно подтверждение операций по SMS
      Пользователь сам и введет код из смс, скрипт только подменит получателя и сумму.


    1. zloddey
      29.05.2017 20:20

      Подтверждение по SMS при достаточном желании и умении перехватить тоже не проблема.


    1. evocatus
      29.05.2017 23:49
      -1

      На самом деле от этого очень просто защититься — отключить JS в браузере. Только вот Сбербанк.Онлайн работать так не будет.


      1. nikolayv81
        31.05.2017 22:43

        Со всеми отключенными внешними аналитиками работает


    1. maxpsyhos
      30.05.2017 04:13
      +3

      они будут смотреть «кино», где человек сам зайдёт в историю операций и всё нужное им покажет

      Простите, а вы сами-то Метрикой пользовались хоть раз? Это не видеозапись, это именно что как бы запись. Вебвизор покажет движения мышкой по странице, но не покажет, что было на самой странице. Такое возможно только в том случае, если страница, на которой регистрируются действия, есть в публичном доступе.


      1. vanxant
        30.05.2017 13:25
        +1

        Да, действительно, упустил этот момент. В публичном доступе только страница логина, чего, в общем, достаточно, чтобы получить пароль от сбер онлайна.


      1. LDZ
        30.05.2017 14:18
        +1

        image

        Вебвизор может и отправить все содержимое страницы при включенной настройке


    1. springimport
      30.05.2017 19:57

      Рекомендую ставить для полей и форм флаги типа -metrika-nokeys и -visor-no-click. Это решит проблему записи данных карт.
      https://yandex.ru/support/metrika/general/counter-webvisor.xml


      1. nikolayv81
        31.05.2017 22:49

        И как вы определитель что метрика эти данные именно "не собрала" а не неотобразила владельцу домена?
        Вопрос то не в том что там реально собирается и анализируется, а в том как оно может быть использовано не только сбербанком?
        Наличие бесплатного сервиса метрики как-бы намекает что его владелец заинтересован в использовании данных собранных изнутри сайта.


        1. springimport
          31.05.2017 22:55
          -1

          Как можно определить? Открыть любую страницу с метрикой и ключами, посмотреть запросы на сервер после действий.


  1. pudovMaxim
    29.05.2017 16:23
    +1

    Глянул в devtools, а сбербанк дергает localhost по разным портам по https. Это норма или у меня завелись гости? :)


    1. token
      29.05.2017 16:25

      Посмотрел, у меня тоже ))))


    1. sumanai
      29.05.2017 17:14

      Судя по портам, они определяют наличие веб-сервера. Видимо, защита от ботов.


      1. InteractiveTechnology
        29.05.2017 18:05
        +1

        теории заговора прям) Проверяет запущен ли клиентский софт на компе, чтобы взаимодействовать по API.


        1. token
          29.05.2017 18:30

          А откуда вы знаете? ;)


          1. InteractiveTechnology
            30.05.2017 00:32
            +1

            потому, что уже давно это изучал, с банк-клиентом для юр.лиц это обратная связь =\


        1. sumanai
          31.05.2017 05:23

          А зачем тогда стучатся по такому числу портов?


      1. KrD
        31.05.2017 08:47

        Судя по портам, это rdp/vnc/teamviewer/etc, но вот зачем туда ломиться?

        тыц
        image


        1. dewil
          31.05.2017 10:07

          я думаю тут ответ очевиден.
          они пытаются убедиться, что сейчас компом управляет человек перед монитором, а не кто-то удаленно.

          но почему я не могу удаленно подключиться к домашнему компу и там запустить банк-клиент? выходит по версии банка, я так не могу.


          1. dimm_ddr
            31.05.2017 10:23

            Ну сам факт проверки не говорит о том, что вы так не можете. Вполне вероятно, что при обнаружении удаленного доступа выскочит предупреждение чтобы предупредить пользователя на случай если он об этом не знает, но с возможностью продолжить. Или там по коду явно блокировку видно?


            1. dewil
              31.05.2017 10:25

              код не изучал.
              это было предположение.
              а анализ может происходить и на серверной стороне.


          1. montonero
            31.05.2017 13:39

            Опрашивая порты rdp или vnc нельзя никаким образом определить, что к ним кто-то подключен. Можно только определить, что на них запущен какой-то сервис.


            1. dewil
              31.05.2017 14:01

              верное замечание


    1. Panfilov
      29.05.2017 19:48

      Сбер сам себя через прокси на localhost дергает.
      То, что это штатная функция сбера — да, насколько это норма — каждый решает для себя…


  1. YMA
    29.05.2017 16:30
    +2

    Это еще цветочки, недавно было обсуждение на banki.ru про то, что приложение сберовское всю телефонную книгу (а возможно и не только ее) — сливает на сервер.

    http://www.banki.ru/forum/?PAGE_NAME=read&FID=61&TID=298381

    Я проверить не смог, у меня Сбербанк.Онлайну все разрешения на iOS зарезаны, ибо нечего ему лазить где не надо…


    1. ksil
      29.05.2017 16:57

      Они дают возможность отсылать деньги на карту по номеру телефона.


      1. YMA
        29.05.2017 17:21
        +4

        А еще строить социальные графы, вести работу по взысканию задолженности, предлагать клиенту таргетированную рекламу в зависимости от его контактов, продавать мою телефонную книгу партнерам и т.д.

        Применений этим данным можно найти очень много, я понимаю.

        Но закон о защите ПД 152-ФЗ (статью 6) тоже нарушать не стоит, ни под один из пунктов обработка ФИО и телефонов третьих лиц (а у меня в телефонной книге еще и дни рождения и адреса записаны) не подходит.


        1. ksil
          29.05.2017 17:29
          -1

          Да я их нисколько не оправдываю.


      1. Ezhyg
        29.05.2017 21:44

        Это распрекрасно делается и без телефонной книги и, даже, без телефона, иначе это была бы уникальная фишка телефонных приложений, но ведь через сайт это как-то работает.


    1. ainoneko
      30.05.2017 12:39

      «Рокетбанковское» тоже сливает, но об этом я узнал ещё при установке приложения, там это сразу написано.


      1. dewil
        31.05.2017 10:09

        у Тинькова как с этим, интересно?


  1. zte189
    29.05.2017 16:41
    -3

    Да с вашими рутированными андроидами гемора больше, чем с этой проблемой Сбера. Очередная псевдоистерия, не более.


    1. ploop
      29.05.2017 16:59

      И какой гемор вам от наших рутированных андроидов?


      1. snnrman
        29.05.2017 18:26

        Такой, что потом весь интернет наводнен воплями о том что у вас что-то не работает, потому что безопасники предусмотрительно и абсолютно справедливо ограничивают использование критических приложений на системах с дырой.


        1. Squoworode
          29.05.2017 19:09

          Какая беда безопасникам до нашей дыры? Наша дыра — наши проблемы. Мы самостоятельно приняли решение жить с дырой!


          1. Radjah
            29.05.2017 22:03

            А потом приходят такие со сборками Циана от Васяна и жалуются, что очередной троян обнулил баланс на карте, счете и сберкнижке, потому что очередные 100500 «следильщиков за безопасностью» проморгали очередную дыру.


        1. ValdikSS
          31.05.2017 21:58

          Всегда странно читать подобные высказывания. Вы хотя бы раз устанавливали программы, предоставляющие su на Android? Они все спрашивают разрешение на выполнение конкретной команды, причем сразу нажать кнопку подтверждения нельзя, нужно выждать небольшой таймаут, несколько секунд. Просто так произвольная программа не может выполнить какую-либо команду от root без ведома пользователя.

          Root на Android — механизм, подобный UAC на Windows, только еще и видно выполняемую команду, в отличие от Windows.

          Где здесь дыра? Мнений, подобных вашему, очень много, я что-то упускаю?


          1. Valle
            31.05.2017 22:05

            Единственных два метода прочитать файлы приложения которые не зашарены — это простое чтение этих файлов если приложение установлено на SD карту и чтение их с помощью рута. Ошибки безопасности типа открытого контентпровайдера который разрешает читать все бе разбору не рассматриваем. Очевидно, что если приложение хранит, к примеру, пароль или другие секретные данные то разработчики не хотят чтоб эти файлы кто-нибудь читал, поэтому запрещают оба этих метода. А SU для рутованного телефона можно и без попапа написать, проблем никаких.

            Еще один популярный метод защиты — проверка подписи приложения. Она гарантирует что приложение не было изменено атакующим. К сожалению, это можно подделать на рутованных телефонах. Так что да, рут — это большая дыра в безопасности.


            1. ValdikSS
              31.05.2017 22:15

              А SU для рутованного телефона можно и без попапа написать, проблем никаких.
              Написать можно, безусловно, и они есть, но как вы их установите на устройство из, скажем, вредоносного приложения? Чтобы установить свой suid-бинарник, нужно воспользоваться уже существующим su, который будет запрашивать действие пользователя.

              На компьютерах любое приложение может читать данные и настройки любого другого приложения пользователя, что, по вашей логике, должно являться просто вопиющей дырой в безопасности. Тем не менее, почему-то все считают администраторский доступ именно на Android чем-то плохим, а на компьютерах — нет.

              Разъясните, пожалуйста, я на полном серьезе не понимаю.


              1. nikolayv81
                31.05.2017 23:02

                Тут формально 2 проблемы:
                1.root на многих устройствах можно получить без участия пользователя.


                1. Телефон в себе совмещает 2 функции — вроде платёжного поручения и безусловного акцепта(3ds через смс)

                Другое дело что права root у приложенич могут быть и без su, поэтому смысла большого в его детектировании особо нет, т.е. по факту это защита для тех кто поставил root ради взлома игрушек, у таких по мнению безопасников как раз вирусы и живут.


                1. ValdikSS
                  31.05.2017 23:12
                  +1

                  1.root на многих устройствах можно получить без участия пользователя.
                  Вы подразумеваете различные уязвимости ядра? Действительно, можно. И ни антивирус, ни встроенные в банковское приложение проверки от такого не защитят.
                  Это справедливо и для десктопных систем, да и вообще для компьютеров в целом.

                  Телефон в себе совмещает 2 функции — вроде платёжного поручения и безусловного акцепта(3ds через смс)
                  Ничего не понял. А банковская программа здесь причем?


                  1. nikolayv81
                    01.06.2017 08:47

                    1. Я про это и написал, это никак не обойти.
                    2. Рутовое приложение в теории может накликать в клиенте операцию по шаблону интерфейса, а потом втихую подтвердить её через смс затерев следы, если "рута нет" вы даже print screen в приложения банка не сделаете (что кстати прикрывает ещё и от некоторых социально-инженерных видов мошенничества, но это другая тема)
                      p.s. я против текущего подхода к безопасности в приложении сбербанка, поэтому у меня его нет, по мне им надо было делать две версии, для всех и для тех кому не всё равно.


          1. Nerten
            01.06.2017 10:34
            -1

            В руте ничего плохого нет. Но наличие его очень часто подразумевает открытый загрузчик и кастомное рекавери. А вот это уже огромная дыра в безопасности.


            1. sumanai
              01.06.2017 17:41
              +2

              А так же наличие рута может подразумевать кастомную прошивку с новой версией андроида, в которой, по сравнению с доисторической от производителя, пофиксили 100500 уязвимостей.


    1. Jogger
      29.05.2017 18:49
      +3

      Ага, конечно, пусть только вирусы используют уязвимости андроида, а самому пользователю — ни-ни! Меня всегда умиляют подобные выпады на рутованые андроиды.


  1. esudnik
    29.05.2017 17:35

    Я уже как несколько лет пользуюсь вот таким решением, которое можно добавить в /etc/hosts

    127.0.0.1 tpc.googlesyndication.com googleads.g.doubleclick.net doubleclick.net googleadservices.com www.googleadservices.com pagead2.googlesyndication.com www.google-analytics.com google-analytics.com


    1. kirillaristov
      29.05.2017 22:52

      Когда-то тоже так делал, но тут есть ограничения — нельзя использовать wildcard и регулярные выражения, да и список постепенно распух до сотен пунктов. Понадобилось менять резалку.


      1. KorDen32
        30.05.2017 02:27

        У меня издавна стоит Unbound на роутере, в нем можно сделать например так:
        local-zone: "doubleclick.net" redirect
        local-data: "doubleclick.net A 0.0.0.0"

        Таким образом все поддомены будут отдаваться с нулями.
        Делал парсер hosts для преобразования под Unbound и выпиливания из него некоторых доменов с последующим полным баном вышеуказанным способом


    1. vanxant
      30.05.2017 00:57
      -1

      Особенно совет полезен тем, кому по работе надо лазить в гуглоаналитику и т.п.


  1. RigelNM
    29.05.2017 17:50

    А может кто-то? из тех кто негативно относится к «слежке» сказать, что именно не нравится? Спрашиваю не спора ради, никому свою точку зрения не навязываю, просто я лично не понимаю негатива вызванного подобными статьями и мне любопытно, в чем соль?


    1. Shaz
      29.05.2017 18:05
      +1

      Им не нравится просто сам факт того, что кто-то возможно что-то узнает про них. При этом учитывая неплохую осведомленность о работе этих сервисов, и ресурс на котором идет обсуждение, более чем уверен что в своих проектах они эту самую аналитику прикручивают только в путь.


    1. YMA
      29.05.2017 18:05

      Мне лично не нравится то, что я этот процесс никак не контролирую по-умолчанию и ничего взамен не получаю.

      Представьте, что за вами круглосуточно ходит человек с камерой и блокнотом, заходит с вами в магазин, в гости к друзьям, в туалете пристраивается рядом, что-то записывает, снимает… Неприятно?

      PS: Да, я знаю про Ghostery, NoScript, и т.д.


      1. Honeyman
        29.05.2017 19:40
        -4

        и ничего взамен не получаю

        Неправда, получаете.
        Маркетинговые данные, которые собирает (например, с помощью этих инструментов) и которыми пользуется Сбербанк, приводят к повышению эффективности его работы (иначе этих счётчиков там и не стояло бы).
        Повышение эффективности его работы приводит к повышению качества услуг и/или снижению их себестоимости.
        В конечном итоге всё отражается на цифрах в годовом отчёте банка.

        Утрированно: не будь этих счётчиков — процент по депозиту в Сбербанке был бы самую чуточку выше.


        1. YMA
          29.05.2017 21:04

          В банках я лет 15 отработал, из них в Сбере 11, работал в казначейских подразделениях. К сожалению, или к радости — но процентная ставка по вкладам от затрат банка зависит далеко не в первую очередь. Куда больше учитываются тенденции по процентным ставкам в экономике, состояние ликвидности и открытой валютной позиции банка, конкурентная среда и т.д.

          Вы кстати, в последнем предложении попутали — или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)


          1. ainoneko
            30.05.2017 12:32

            Да вроде всё правильно: зарплата «человеку с камерой и блокнотом» идёт в том числе и из неповышения процентов по депозитам.


          1. Honeyman
            30.05.2017 20:44

            > или вместо депозитов надо кредиты написать, или вместо выше — ниже. :)

            Да, вы правы, спасибо.


        1. token
          30.05.2017 00:15

          Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег )) про проценты при переводе на карту открытую в другом регионе слышали? Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу? Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.


          1. DistortNeo
            30.05.2017 00:32

            > про проценты при переводе на карту открытую в другом регионе слышали?

            Нет, не слышал. Можете предъявить пруф?

            > Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?

            Если есть другая полноценная карта Сбера, то лимиты будут сильно больше. Переводите на неё деньги и снимаете чере банкомат.

            > Повышение качества услуг в последнее время что то не наблюдаю, вероятно это мне одному так не везёт.

            Мне везёт. И в очередях стоять не приходится, и даже не было проблемы с получением выписки с карты в другом регионе.


            1. ksil
              30.05.2017 10:18
              +2

              Комиссия есть. Ее нет, если переводить на свою же карту, открытую в другом регионе. Если на карту другого человека, то да.


            1. rustavelli
              30.05.2017 12:38

              Про комиссию в 1% на сайте написано. Когда надо было переводить десятки тысяч в месяц, дешевле и проще оказалось открыть всем карты тинькова.

              Как-то я зашел в сбер и захотел снять 150к без комиссий. ТРОЕ сотрудников рассказывали, как это сделать. Сначала в кассе с очередью, потом в банкомате… В итоге я сделал, все как они сказали и попал на 500р.

              «выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?

              " есть другая полноценная карта" -таких сбер еще не придумал.


              1. Fandir
                30.05.2017 16:20

                Комиссии по картам это ограничения платежной системы. Хотите снимать без комисси больше открывайте более дорогие карты. Именно лимитами и отличаются Gold и Platinum


                1. token
                  30.05.2017 17:07

                  Хочу просто снимать свои деньги (хотя бы в кассе) в сбербанке, без комиссии и ограничений по количеству снятого в день.


                  1. Fandir
                    31.05.2017 16:10

                    Откройте счет… Карты это другой инструмент и регулируется платежными системами у них вообщем-то примерно одинаковые правила в любой точке мира… Возможно есть банки, которые не дают лимита на снятие наличных с карты, но я таких не знаю. Ещё раз повторюсь цвет карт как раз определяет лимиты снятия все остальное это доп. плюшки.


                  1. Zigfrid_n
                    01.06.2017 23:52

                    Имею дебетовую карту Сбера, с бесплатным годовым обслуживанием. Снимаю без комиссии, ни разу не платил за это, что в кассе снимал по 250к разово, что через банкоматы. Ограничения — 500к в сутки. Я думаю, если кому-то мало полмиллиона в сутки, наверно у него будут деньги заплатить несколько тысяч рублей в год за какой-нить Platinum…


                1. rustavelli
                  30.05.2017 17:39

                  У меня сейчас есть gold от сбера. Где мои 7% на остаток и 1% кешбека? Где курьер, который привезет потерянную карту? Где поддержка онлайн в чате?
                  Захочу подключить несчастные смс — буду стоять с бабульками в очереди на кассу.
                  И за все это вы предлагаете еще и платить больше? Это сбер должен солидно доплачивать своим клиентам за страдания.


                  1. vlivyur
                    30.05.2017 17:54

                    У меня сейчас есть Gold не от сбера. Где мои 7% на остаток и 1% кешбэка? Где курьер, который привезёт потерянную карту? Где поддержка онлайн в чате?
                    А смс в сбере подключается в любом ихнем банкомате / терминале, один фиг договор на ДБО вы скорее всего уже ранее подписали.


                    1. rustavelli
                      30.05.2017 19:10

                      Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера. Иногда кажется, что там индусы всё пишут, настолько много багов.
                      Или «ой, этот номер мы не знаем, на него смс подключить можно только в офисе».


                      1. DistortNeo
                        30.05.2017 22:03

                        > Подключается, до тех пор, пока они не начинают терять карты в личном кабинете и телефонные номера.

                        Ага. Перевод с карты на карту у жены выглядел так: подойти к банкомату, получить деньги, переложить их в купюроприёмник, скормив обратно. Проблема решилась только перечислением зарплаты на другую карту.


                1. nikolayv81
                  31.05.2017 23:12
                  +1

                  Нет, карты внутри банка за пределы его процессинга не выходят, оправдывать их можно чем угодно но не МПС.


                1. ploop
                  01.06.2017 09:07

                  Хотите снимать без комисси больше открывайте более дорогие карты. Именно лимитами и отличаются Gold и Platinum

                  Все эти Gold и Platinum давно себя дискредитировали, тот же Gold чуть ли не бомжам бесплатно впаривают. Это раньше было круто — повышенные лимиты, персональные менеджеры прилетающие на вертолёте по любому чиху...


                  1. DistortNeo
                    01.06.2017 09:48

                    > Все эти Gold и Platinum давно себя дискредитировали

                    А разве это не закономерное следствие перехода платёжных систем на онлайн-транзакции? Для нас это может показаться дикостью, но в США, на родине кредитных карт, массовый переход на онлайн-транзакции с использованием кредитных карт происходит только сейчас.

                    Собственно, высокий статус карты означал, что её владелец имеет большой кредитный лимит, и магазин мог быть уверен, что в случае оффлайн-транзакции не получит проблем. Сейчас же, с высоким проникновением интернета, и наличие средств и владение картой (онлайн пин-код) проверяется прямо в момент совершения покупки.


              1. DistortNeo
                30.05.2017 22:01

                > «выписки с карты в другом регионе.» — неужели, сбер, как приличный банк, отправил выписку по почте и не заставлял своего клиента работать курьером бесплатно?

                Представьте себе, он её выдал прямо на месте.

                > " есть другая полноценная карта" -таких сбер еще не придумал.

                У меня Visa Gold с бесплатным обслуживанием валяется.


                1. danyaShep
                  30.05.2017 22:35

                  На месте, это около вашего дивана, где вы с ноутбуком валялись?


            1. token
              30.05.2017 17:06

              http://www.sberbank.ru/ru/person/paymentsandremittances/remittance/in/beznal_rus/beznal_cc_rus


            1. constXife
              30.05.2017 22:53

              > про проценты при переводе на карту открытую в другом регионе слышали?
              > Нет, не слышал. Можете предъявить пруф?

              Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.


              1. DistortNeo
                30.05.2017 23:03

                Понятно. Просто удивительно тогда, почему нет комиссии за снятие через банкомат в другом регионе?


                1. vlivyur
                  31.05.2017 09:54

                  Есть. Но в зависимости от типа карты и удалённости этого региона (на территории другого тербанка будет комиссия). Мне, к примеру, снятия на территории С-З будут без комиссии, а выезд в Москву добавляет её.


          1. WraithOW
            30.05.2017 11:36

            Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег ))

            Меньше денег — нет. Удобство — да. Чтобы сделать удобно — надо выбить под это дело бюджет, а где бюджет — там премии, бонусы и прочие приятные менеджерскому сердцу вещи.

            А выбивать бюджет (и премии потом) гораздо легче, когда у тебя есть аналитика, собранная с десятков тысяч человек.


          1. Honeyman
            30.05.2017 20:49

            Ну точно, там такие альтруисты сидят, которые размышляют над тем, чтобы им ещё такого сделать чтобы сдирать с клиентов поменьше денег ))


            Не-а.

            Там, как и везде, сидят такие же лентяи, которые думают, как им бы работать поменьше, а результат получать получше.

            Простой вопрос: как по-вашему, добавление счётчиков на сайт банку экономически выгодно или экономически невыгодно?


          1. Velibekov
            01.06.2017 06:35

            "Про проценты при снятии своих денег в размере свыше 50т.р. в день через кассу?"


            Нет. Не слышал. Могу снимать по 300.000 в сутки, в любом регионе России, без комиссии.
            MasterCard Gold.


            1. token
              01.06.2017 11:14

              Круто, а я вот что — то не хочу, последний раз когда ходил в сбер, операторша на кассе забыла провести платеж (перевод между счетами), бумажку о переводе дала, а деньги не списала. Потом она меня нашла как то в вотзапе, звонит мне и говорит, типа я не могу закрыть смену, потому что у меня висит не проведенный платеж, давайте вы мне кинете денег на сберовскую карту, а я за вас уже у себя проведу платеж )


              1. Velibekov
                01.06.2017 12:41
                -1

                Интересно очень, чем это в итоге закончилось?) вы её послали или перевели деньги?) а может вы встретили и вы ей ещё и палку кинули?)


                Вот честно, я бы не стал делать это через кассу, потому что вопрос стоимости моего времени. Пойти в Сбер, встать в очередь, затем к кассиру, затем обратно до точки отправления.
                И да, ещё проверить работу кассира. По моим наблюдениям, количество их косяков — примерно 1:150, а это очень много.


                1. token
                  01.06.2017 12:52

                  В итоге я ее послал конечно, на следующий день сделал перевод в другом отделении. Я бы тоже не стал это делать через кассу, но к сожалению у сбербанка есть свои представления об удобстве. У меня просто кончилась кредитка, ее нужно было погасить, но как только она кончилась она исчезла из сбер — онлайна, и Усе ))) Приплыли, теперь денег на нее можно кинуть только через кассу.
                  <офтоп>Да, я ей кинул палку, а она как побежит за ней</офтоп> image


                  1. Velibekov
                    01.06.2017 13:11

                    Вынужденно держу 4 карты.


                    1. Кредитная.
                    2. Голдовая (для крупных оборотов, так как плачу программистам, юристам и иным подрядчикам) + она даёт небольшой приоритет мне как клиенту.
                    3. Старая зарплатная (с прошлой работы). Держу на ней запасные деньги. На всякий случай.
                    4. Карта другого региона. Обычно на ней 3-5 тыс. Использую её для интернет-платежей, ну и чтобы родителям периодически отправлять деньги, в другой регион, без комиссии.

                    Ежемесячно у меня по 30-100 платежей и 1-3 временные блокировки автоматизированным антифродом и проблема решается 3-4-х минутным звонком в Сбер.
                    В отделения хожу чисто ради терминалов и банкоматов, с сотрудниками их не общаюсь, поскольку об услугах и продуктах банка знаю лучше их самих.


                1. rustavelli
                  01.06.2017 20:57

                  вопрос стоимости моего времени
                  — говорит человек, который сам ходил за карточкой в банк.


                  1. Velibekov
                    01.06.2017 21:23
                    +1

                    Который находится в 70 метрах от моего подъезда, рядом с продуктовым супермаркетом?
                    Ну да, есть такое дело, потратил 15 минут на заявку и 10 минут чтобы не забрать.
                    И в последующий год сэкономил около ?70 тыс на комиссиях (столько заплатил бы комиссий Тинькову).
                    ?70 тыс за 25 минут… Считаю это очень хорошим заработком.


                    1. Velibekov
                      01.06.2017 21:23

                      *10 минут, чтобы забрать.


                    1. rustavelli
                      02.06.2017 13:36

                      Что за 70к? Даже если слать межбанком во всякие сберы и альфы, комиссий все равно не будет.
                      Когда надо было открыть расчетный счет ИП, тиньков облажался — аж 5 дней на заявку на сайте не отвечал. Точка прислала курьера с документами на следующий день. Сбер вообще не рассматривался — обслуживание дорогое, поддержки нет, ходить куда-то надо.


    1. NaHCO3
      29.05.2017 18:39
      +3

      > А может кто-то? из тех кто негативно относится к «слежке» сказать, что именно не нравится?

      Дело в технических деталях. Любой скрипт — это возможность преобразовать всю страницу целиком, её внешний вид или поведение. Это идеальный способ MITM атаки. Это только на первый взгляд кажется, что скрипт добавляет одну кнопочку — веб технологии не имеют средств по ограничению функционирования скрипта одним элементом, он работает со всей страницей.

      То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.

      Может произойти какая-нибудь трагическая случайность, программистская ошибка или атака хакеров. Тут работает чисто закон больших чисел и теория вероятности. В общем и целом можно рассчитывать на правильное поведение сайтов.

      Второе опасение — это намеренное вредительство. Здесь уже вопрос не в теории вероятности, а в теории игр. Можно сказать, что монетизация такой уязвимости может не перекрыть репутационных потерь и прочего геморроя. Но на надо заметить, что часть из этих третьих лиц находится по ту стороны границы, вне нашей юрисдикции и привлечь к ответу их невозможно. Так что и бояться им нечего.

      Плюс нельзя забывать о том, что всё это большие компании, и в них может завестись крыса, которой плевать на репутацию компании, а хочется набить свой кошелёк. Такое регулярно, например, случается у нас в стране, отчего по ней гуляют разнообразные базы данных — банков, телефонных операторов, даже МВД. А ещё нельзя исключать целенаправленную атаку спецслужб недружественной нам страны.

      Судя по откровения сноудена, викиликс и другим слитым документам (WannaCry тоже в NSA разработан) совести у них нет от слова совсем.


      1. Shaz
        29.05.2017 18:56
        -2

        Откровение Сноудена и Евангелие от Ассанжа… Еще немного и можно регистрировать церковь параноиков.


        1. Ezhyg
          29.05.2017 21:56
          +2

          «Реалисты двойного дна»


      1. WraithOW
        30.05.2017 11:28

        То есть это большой потенциал для злоупотреблений со стороны владельцев включённых скриптов. Дальше включаются опасения, что этот потенциал будет реализован. Чем больше разных скриптов задействовано — тем соответственно больше шансов.

        Так а какие альтернативы? Писать банковские сайты на чистом HTML?


        1. vlivyur
          30.05.2017 12:48
          +2

          Свои скрипты держать, а не чужие подключать.


  1. snnrman
    29.05.2017 18:20
    -7

    Очередная порция белок-истеричек. Пользуйтесь кэшем и биткоином, если у вас такая нежная психика.


  1. Wannaasbird
    29.05.2017 18:30

    Смените банк. У моего отца закреплена з/п карточка в этом банке. Почти неделю отображался неверный баланс на счёте и только спустя полторы недели исправили проблему и то со словами «там не нажимайте».


    1. olegon-ru
      29.05.2017 18:35

      К сожалению, не всегда есть возможность именно выбрать (зарплатный проект, как пример).

      Да и то, что я застукал и сбегу, никак не повлияет на других пользователей, которые, как и я раньше, даже не подозревают, что о них сообщают куда-то.


  1. Honeyman
    29.05.2017 19:36

    Как мило, что Сбербанку в вопросах обработки секретных данных вы доверяете больше, чем Гуглу и Яндексу.


    1. token
      29.05.2017 19:42

      А у гугла или Яндекса лежат все ваши деньги да?


      1. Wizard_of_light
        29.05.2017 22:16
        +1

        Ну, если Яндекс-деньги… Хотя постойте, это тоже Сбербанк.


        1. wholeman
          29.05.2017 23:43

          А почему они тогда карту Тинькоффа выдают?


          1. token
            30.05.2017 00:05

            Кто выдаёт карту Тинькоффа? Втб24???


          1. KorDen32
            30.05.2017 02:35
            +1

            Я.Д уже года полтора выдают свои карты. Даже больше — летом 2016 уведомили что все Тинькоффовские карты Я.Д. прекратят свою работу через пару месяцев вне зависимости от даты на карте и надо перевыпустить карту по льготной цене (10 рублей или даже 1 рубль, не помню).


      1. Honeyman
        30.05.2017 20:52

        У гугла и яндекса намного больше моих денег, чем у Сбербанка (потому что конкретно в Сбербанке моих денег что-то около нуля). А лежащую у гугла мою личную информацию и архив почты я бы оценил дороже, чем мои депозиты во всех банках и стоимость всех принадлежащих мне акций.


    1. olegon-ru
      29.05.2017 20:05

      Тут маленький нюанс, что Google и Яндекс к тайне банковских вкладов вообще никак не относятся. Помните, как все смс Мегафона в Яндексе всплыли? Вот и тут такая же история может получиться. Возможно, что и с худшими последствиями, поскольку завязана на деньги и более точные данные.


      1. Honeyman
        30.05.2017 21:11
        -1

        Тут маленький нюанс, что Google и Яндекс к тайне банковских вкладов вообще никак не относятся.

        А что, Сбербанк к ней относится? И вообще, что, «тайна банковских вкладов» есть в России?

        Помните, как все смс Мегафона в Яндексе всплыли?

        Любопытен факт, что это была проблема Мегафона и при этом достижение Яндекса («все яндексовые механизмы работали отлично»).

        Вот и тут такая же история может получиться.

        А может не получиться. FUD-ом балуетесь?


  1. kartvladek
    29.05.2017 20:03
    +2

    Глянул в Приват24 (Украина) — лежат 2 (две) гугл аналитики.


    1. token
      30.05.2017 00:16
      +1

      Это на всякий случай, вдруг первая не сработает.


      1. Frankenstine
        01.06.2017 10:45
        +1

        Там разные идентификаторы, видимо анализируют два разных отдела. Кроме того, там интересно само построение страницы — вся страница рендерится скриптом


  1. darkpsy
    29.05.2017 20:04

    [Паранойя мод он]
    А различным адблокам вы доверяете? Этим маленьким и гордым компаниям. А ведь эти расширения имеют гораздо больший доступ к данным на всех вкладках вашего браузера, и они об этом пишут, но мамой клянутся что не собирают их и не хронят. Пока что… :)
    [/Паранойя мод офф]


    1. SinsI
      29.05.2017 20:52

      Так они же хранятся на компьютере пользователя — и их код не обновляется самостоятельно, плюс можно посмотреть исходные коды; они скачивают из сети только списки того, чего нужно блокировать.
      В таких условиях спрятать закладку достаточно сложно.


  1. DistortNeo
    29.05.2017 20:18

    Ну вот, а потом тех, у кого скрипты в браузере по умолчанию выключены, например, меня, называют параноиками.
    Я бы ещё накатал заяву, что онлайн-банк не работает с отключенными скриптами. Точнее, не так: он прекрасно работает, но из функциональных элементов зачем-то убрали href, оставив только переход на другие страницы по onclick.


  1. danisvalishin
    29.05.2017 20:21

    блин. а я то думал, что хотя-бы у них все серьезно(


  1. TheOleg
    29.05.2017 20:40
    +1

    В метрике, например, есть визор, который записывает все движения мыши и изменения на экране


  1. RSV
    29.05.2017 20:45
    +4

    Честно говоря, это какая то жесть, со стороны сбера. Подключать сторонние скрипты на своем домене. И подмена кода скриптов посередине тут совсем не причем. Сбер может поручиться за всех сотрудников всех тех компаний, чьи скрипты он подключает, что они не имеют возможности временно или постоянно поменять код подключаемых скриптов для каких то своих целей? По моему абсолютно любые скрипты сбер должен грузить только с серверов принадлежащих ему. Куда смотрят безопастники сбера, хз.


  1. DcFanoiD
    29.05.2017 20:59
    +10

    Зато у них много мелких фенек.
    image


  1. gshep
    29.05.2017 21:52

    так ведь ещё и flash висит


  1. avia07
    29.05.2017 23:12

    Не забывайте у Сбера рекордная прибыль и рекордные дивиденды.И это на фоне приличного кризиса в стране.
    http://www.rbc.ru/newspaper/2017/05/29/59286d7e9a79471ccc5f92a4


    1. Akon32
      30.05.2017 12:37

      Считаете, это всё через интернет наворовали?


    1. Nicks_TechSupport
      01.06.2017 13:42

      Сбербанк сотрудников планирует сокращать, а вы всё тут о своём.


  1. KorDen32
    30.05.2017 02:40
    +1

    Давеча писал в три разных компании — в местный расчетный центр для ЖКУ, в сбер и куда-то еще по поводу наличия метрики и прочей лабудени в личных кабинетах. РРЦ ответили что действительно, статистика иначально предполагалась только на основном сайте, в ЛК ее быть не должно, и с некоторой задержкой выпилили. Сбер и еще один сервис написали красивую отписку по аналогии вашей…

    А между тем я постоянно разрываюсь между удобством мобильного приложения вообще и идиотизмом сберовского приложения(привет, говноантивирус) в частности.


  1. jabr
    30.05.2017 05:10
    +2

    Жесть. Как жить без адблоков и скрипторезалок?
    image


  1. UnknownQq
    30.05.2017 10:06
    +2

    … Сначала я начал пользоваться ghostery и просто банерорезками, но когда я себе поставмил uMatrix и посмотрел где эти метрики есть… в общем, начал осознавать, что либо у нас в некоторых структурах работают совершенно некомпетентные люди, причем, на управляющих должностях, либо они, мягко говоря плохие люди. Именно поэтому я теперь в интернеты хожу только с фильтрами загружаемых ресурсов, назовем их так. А любимым сбером онлайн пользуюсь на чистом от контактов и прочей лишней для банка информацией, по моему мнению, девайсе. Да, это несколько стесняет, зато это и более надежно.
    Кстати, обратите внимание, что на страницах, где Вы вводите карточные данные зачастую та же самая метрика есть, причем, почти везде.


  1. Varkus
    30.05.2017 11:41

    Карта привязана к мобильнику.

    Решил посмотреть баланс карты через номер 900.
    Но вместо БАЛАНС набрал цифру 900, хз почему затупил, отправил.
    Сбер прислал: введите номер хххх для подтверждения оплаты услуг сотовой связи с карты.
    Снова отправил БАЛАНС
    Пришел баланс.
    Отправил 300, чтобы на мобильнике пополнить баланс.

    И вот тут САМОЕ интересное:
    деньги улетели на мобильник БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!

    Это КАК ТАК?


    1. Markscheider
      30.05.2017 11:45
      +4

      Это КАК ТАК?
      Вроде бы главный привязанный телефон пополняют по упрощенной схеме. В других банках точно такая фишка есть, за сбербанк не скажу, но предполагаю…


    1. Voenniy
      30.05.2017 12:19

      У сбера до какой-то суммы свой номер можно пополнять «БЕЗ ПОДТВЕРЖДАЮЩЕГО КОДА!!!»


    1. Akon32
      30.05.2017 15:36

      Вы привели пример идеально сработавшей системы подтверждения — когда ввели что-то не то, банк запросил подтверждение; когда ввели что хотели — банк выполнил без лишних вопросов.


    1. Cast_iron
      02.06.2017 18:57

      Это всегда ТАК, когда инструкции к товару (услуге) не читаются.


  1. amarao
    30.05.2017 13:40
    +1

    Есть более крутые методы ограничения подобного. RequestPolicy или umatrix. Там можно явно сказать куда конкретному сайту надо ходить, а куда точно нет.


  1. SCST
    30.05.2017 17:45
    -3

    С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер. Очень странно видеть такого качества публикации на столь уважаемом ресурсе. Крупными большими буквами Сбербанк огульно обвиняется в сливе данных своих клиентов. При этом не приводится ни одного параметра или реквизита клиента, которые Сбербанк передаёт третьим лицам. По сути, в изрядно эмоциональной манере, но на слишком дилетантском техническом уровне Сбербанк обвинён в использовании сервисов сбора технических метрик от таких уважаемых компаний, как Google и «Яндекс».

    Использование сервисов Google Analitycs и «Я.Метрика» является де-факто стандартом для разработки и продвижения веб-сервисов. Для любого начинающего веб-программиста функционал, предоставляемый сервисами GA и «Я.М», — открытая книга, можно сказать, настольная. Функционал внедряемых скриптов настолько прозрачный и управляемый, что удивительно читать рассуждения про таящуюся в них опасность.

    Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов, но не для слива своей клиентской базы. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами.

    Как ранее было упомянуто, используемые скрипты настолько гибко конфигурируются, что собираемую ими информацию можно ограничить с точностью до одного байта. Сбербанк очень щепетильно и серьёзно относится к конфиденциальности и безопасности своих клиентов, поэтому на всех страницах наших ресурсов «деятельность» скриптов ограничена применением отдельных тегов и классов, которые предоставляют скриптам информацию только об открытой странице (но не её содержании) и возникающих технических ошибках при её отображении.

    Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.

    По тексту статьи автор пространно рассуждает про какие-то гипотетические угрозы подмены скрипта одного из счётчиков и возникающих при этом угрозах конфиденциальности клиентских данных. Даже представлено видео с доказательствами, которое указывает на наличие у автора навыков монтирования одного видеопотока из двух. Кино из разряда фокусов для школьников…
    Нам показывают перехват вводимых с клавиатуры символов, при этом не скрывают, что код страницы был модифицирован ЛОКАЛЬНО.

    Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.

    Написанные слова про возможность подмены скриптов — из того же разряда, что и кино. Если у злоумышленника появляется возможность исправить код страницы, то наличие на ней чужих скриптов не играет никакой роли. Можно вообще всю страницу заменить, но либо не будет зелёного замочка, либо будет не sberbank.ru, … либо я админ компьютера или домена.

    Смею заверить, что в Службе кибербезопасности Сбербанка (SCST) работают люди, которые умеют пользоваться не только видеоредактором. SCST постоянно мониторит деятельность и собираемую информацию скриптов, дабы пресечь даже теоретическую возможность недокументированного поведения одного из внедряемых скриптов. Процессы обслуживания клиентов и применяемые технические меры выстроены таким образом, чтобы устранить даже гипотетическую угрозу, именно поэтому при обслуживании в СБОЛ критичные и персональные данные наших клиентов всегда маскируются. Причём маскируются в защищённом периметре Банка и передаются на сторону клиента в виде всем хорошо знакомых ****1234. Это позволяет исключить утечку, даже если компьютер или мобильное устройство пользователя заражено «зловредом», но не мешает клиенту совершать необходимые ему операции.

    Осознавая риски, связанные с несовершенством технологий и бесконтрольностью среды, Сбербанк принимает дополнительные меры повышения безопасности клиентов и клиентских операций. Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка. Мы используем комплексную кросс-канальную систему защиты наших клиентов, которая учитывает такое количество факторов принятия решения, что мы их даже не считаем. Естественно, наша модель защиты учитывает все известные уязвимости и несовершенство используемых технологий и каналов.

    С уважением,
    Эксперт службы Кибербезопасности Сбербанка


    1. mayorovp
      30.05.2017 17:50
      +1

      Не переживайте, мы как-нибудь обойдемся без ссылки на пост в комментариях к этому самому посту.


      1. SCST
        30.05.2017 17:56

        Да писал, как отдельный пост, а в коммент вставляя не поправил. Со всяким случается :-)


        1. Boomburum
          30.05.2017 18:06

          Вижу с вашего аккаунта пост в песочницу, опубликовать его?


          1. SCST
            30.05.2017 18:08

            Пока не надо, спасибо. Я его всё равно уже сюда в коммент закину. Что-нибудь более развёрнутое напишу.


            1. imwode
              31.05.2017 22:17
              +2

              Я бы рекомендовал воздержаться от подобных выпадов (фигово получается):
              С некоторым удивлением я ознакомился с публикацией olegon-ru о том, что Сбербанк Онлайн сливает данные пользователей (ссылку приводить не буду, их уже достаточно). Описанные в посте факты и события носят эмоционально-публицистический характер.
              В пользу чего-нибуть такого:
              Кино было бы интереснее, если бы это можно было делать без доступа к клиентскому компьютеру, т. е. без установки корневого/доверенного сертификата, без установки кейлогера, без анализа дампа и т.п., то была бы тема для анализа. А тут даже не раскрыта тема вторжения в SSL-транк и способ реализации MIM- или XSS-атаки.


    1. NaHCO3
      30.05.2017 19:11
      +1

      > Отдельно стоит упомянуть про содержащиеся в пользовательских соглашениях и договорах с компаниями Google и «Яндекс» разделы, описывающие политику конфиденциальности этих компаний, в соответствии с которыми собранные агрегированные данные доступны только владельцу ресурса, где размещён скрипт, — в данном случае Сбербанку.

      Вы ведь понимаете, что гуглу пофиг все ваши соглашения, он в другой юрисдикции. Если местный суд или спецслужбы скажут, что надо отдать информацию, он отдаст. А штаты очень любят обвинять россиян по надуманным поводам.

      И вообще, зачем вам увеличивать поверхность атаки? Неужели нельзя было самим продублировать функциональность скриптов.

      Вы ведь уже не новички, которые сайт про котиков делают. Для них уровень безопасности «я никому не интересен» достаточен. Но не для банка, который с деньгами работает.


    1. YMA
      30.05.2017 21:59
      +2

      Раз пошла такая пьянка, подскажите, почему привязка нового устройства к существующей учетке Сбол'а производится только по отправленному в СМС пятизначному коду, без необходимости ввода пароля к этой учетке?
      При этом:
      — клиентам с простыми именами учеток по 3-4 раза в неделю прилетают уведомления о попытке регистрации устройства;
      — про перехват СМС злыднями нам СМИ регулярно рассказывают;
      — да и угадать этот код случайно есть вероятность ;)


    1. redskif
      31.05.2017 09:43
      +2

      а Фамилия, Имя, Отчество есть у эксперта?


    1. pacahon
      31.05.2017 12:46

      Не специалист, но разве нет бесконечно малой вероятности, что сам гугл может оказаться зловредом и подменить скрипт? Как бы вы ни мониторили скрипты, мгновенно вы не отреагируете, а значит возможна утечка части данных. Очевидно, что избавиться от этого довольно легко — достаточно загружать скрипты со своих серверов.


      1. ploop
        31.05.2017 12:57

        Не специалист, но разве нет бесконечно малой вероятности, что сам гугл может оказаться зловредом и подменить скрипт?

        Тоже не специалист, но как понял — статья именно об этом.


      1. SCST
        31.05.2017 13:01
        -3

        ))) все передаваемые данные до байта проверяются. Если вдруг скрипт изменится — он моментально вылетит.


        1. pacahon
          31.05.2017 14:02
          +4

          А вы можете вместо скобочек кратко написать, каким образом это происходит? Сэкономьте людям время, пожалуйста. Проверка идёт через клиент, раз сам скрипт грузится со стороннего сервера. Пока с ваших слов получается, что вы загружаете копию скрипта и делаете побайтовое сравнение. Как вы понимаете, это довольно абсурдно звучит.


          1. lamo4ok
            01.06.2017 08:04
            -1

            Бекенд СБОЛ при сборке страницы и перед отправкой ее клиенту запросто может запускать проверку подключенных скриптов, а точнее — проверять некий параметр конфигурации, куда с некоей частотой записывается результат проверки скриптов. В итоге клиенту будет отдана страница либо с той частью html-кода, где данные скрипты подключаются, либо нет. В чем проблема-то?


            1. pacahon
              01.06.2017 10:01

              Может, не спорю. Но в вашем подходе всё равно что-то вроде состояния гонки есть.


              1. lamo4ok
                01.06.2017 10:13

                Ради использования такого подхода стоит задаться тремя вопросами:

                1. Нужен ли функционал, который предоставляют подключенные скрипты, в СБОЛ?
                2. Что дешевле, разрабатывать решения, предоставляющие этот функционал, или же всего лишь проводить аудит этих решений и разработать модуль, контролирующий поведение бекенда в зависимости от результатов аудита?
                3. Удовлетворит ли секьюрность решения с аудитом внутренним требованиям безопасности разработчика и требованиям законов?

                Ответы, на мой взгляд, очевидны.


    1. olegon-ru
      31.05.2017 16:11
      +2

      Извините, анонимный Эксперт службы Кибербезопасности, но меня лично Вы совершенно зря задели… После того как Вы начали писать в комментариях ересь, можно было бы вообще проигнорировать это исчадие беллетристики, но многие читающие стали неправильно истолковывать мое молчание.

      Буду последователен.

      Про слив данных клиентов. Можете сказать, положа правую руку на левое сердце, что метрики Гугла и Яндекса не собирают данные клиентов? Что же они тогда собирают? Что они могут собирать, я показал на видео.

      Про то, что GA и Метрика — стандарт де-факто. Да, де-факто, просто шикарные сервисы, я тоже ими пользуюсь, но только не для тех мест, где находится конфиденциальная информация (см. выше).

      Про то, что информацию можно ограничить с точностью до одного байта Вы имели отвагу написать ниже и получили минусы. Смотрим видео и убеждаемся, что не то, что до байта, а вообще поменять скрипты можно. Причем, раздавать специалистам Сбера одно, а клиентам — другое. Вообще не проблема. И что отдается клиентам, судя, опять же, по видео, никак не регулируется.

      В связи с тем, что скрипты гибкие и динамические, лежат на других ресурсах, которые Сбербанк вообще никак не контролирует, результат их выполнения никак и никем, кроме владельцев ресурсов, не регулируется. Можно практически что угодно делать на странице, для чего скрипты и предназначены. Сегодня Вы их проверили, завтра они уже другие. Сегодня Вам с одного URI дали один скрипт, а мне другой в тот же момент времени. Мне опять видео снимать, Эксперт? Или хоть эти банальности понятны?

      Про политику конфиденциальности у Google. Допустим, я провел очень важный и очень личный для меня перевод. Например, перевел 100 руб. в Фонд Кибербезопасности Сбербанка. И тут сотрудник Google, умирая со смеху сливает это моим друзьям и знакомым в тот же Google. Я пишу жалобу, бегаю в суд, куча убитого времени, выплатили мне 50 руб., чтобы слезы вытер. Друзья не забыли, дали кличку Эксперта Кибербезопасности Сбербанка. И? Чего ради все это? Чтобы маркетолог график какой-то увидел?

      Про фокусы школьников и то, что я видео смонтировал… Я на видео, если присмотритесь, переходил со страницы на страницу, специально, чтобы показать, я НЕ модифицировал страницу, никак. URI страницы был виден. Вам не кажется, Эксперт, что Вы запутались, локально ли я что-то модифицировал или это видеомонтаж? Вы бы прежде, чем меня грязью поливать, нашли бы грамотных людей и расспросили бы, возможно ли такое и как этого избежать. Одного значка «Эксперт» не достаточно, чтобы аппелировать на мои замечания. Еще раз подчеркну. Видео НЕ смонтировано. Локально я НИЧЕГО не менял, кроме сертификата. Но, чтобы Вас опять не занесло. Суть в доверии третьим сторонам, которые, кстати, могут быть вообще не в курсе такого доверия и не уделять должного внимания конфиденциальности такой информации.

      Наконец, Эксперт, атака называется MITM, а не MIM. И то, что Вам интересно, как это сделано, подчеркивает уровень Вашей неосведомленности, что на фоне того, как Вы кидаетесь в меня грязью, выглядит более, чем странно. Вы быстренько разберитесь, что происходит при подмене скриптов и что они могут сделать, вдруг завтра в школе будут спрашивать, и приходите. Терминологию можете не использовать, чтобы такие дилетанты, как я, не позорили Кибербезопасность Сбербанка, разбирая Ваши ляпы.

      Ниже опять разбираете подмену страницы. Я уже отвечал много раз в комментариях, что страницу подменять нет никакого смысла, поскольку самый интерес для злоумышленника будут представлять данные, которые будут на оригинальной странице. Вы бы хоть пробежали комментарии, их на момент написания Вашего опуса было еще не так много. «Зеленый замочек» остался на месте, не переживайте.

      Я не думаю, я знаю, что в Сбербанке есть грамотные люди. Маскировка номеров кредиток — замечательная идея, однако ее недостаточно, есть масса другой, незамаскированной информации, Вы-то, анонимный Эксперт Кибербезопасности, зачем вылезли вперед с этим опусом и опозорили этих грамотных людей?

      Потрясает количество сотрудников Сбербанка, которые вместо того, чтобы схватиться за голову и поднять проблему выше, быстренько исправить эти скрипты и забыть историю, начали поливать грязью меня и даже пробовать как-то давить с намеками перейти «в правовое поле». Вот от того и проблемы, что лечатся симптомы, а не болезнь…


      1. Valle
        31.05.2017 19:14
        +3

        Вообще слова сбербанка более убедительны. «ничего не менял» и «поменял сертификат» это две разные вещи. Если атакующий имеет доступ к клиентскому устройству то совершенно ничего что происходит на этом устройстве уже не защищено. Ставь кейлоггеры, заменяй браузеры и страницы со скриптами целиком — защиты уже нет. Понятно, что гугл может изменить скрипт для создания бэкдора, но это крайне маловероятно.


      1. ValdikSS
        31.05.2017 21:50
        +4

        Зачем вы намеренно вводите людей в заблуждение, демонстрируя подобные видео без каких-либо пояснений того, что было сделано для осуществления подмены скриптов? Совершенно очевидно, что вы для этого добавили свой собственный центр сертификации в браузер или ОС, для чего нужен доступ к машине от имени администратора. Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.

        Нельзя же пользоваться неосведомленностью людей. Вы разом занижаете планку уважения к себе.


        1. SinsI
          31.05.2017 22:33

          > Эксплуатировать описанную «уязвимость» вне вашего компьютера не получится.
          Этот скрипт может подменить любой сотрудник Гугла или Яндекса, имеющий доступ к админке соответствующего их сервиса.
          Что совершенно не вяжется с даже минимальными требованиями безопасности — доступ к таким вещам должен быть строжайше ограничен, и уж точно ни в коем случае не должен свободно предоставляться сторонним организациям!


          1. ValdikSS
            31.05.2017 22:37
            +2

            Выпустить X.509-сертификат на sberbank.ru тоже может владелец любого удостоверяющего центра. Более того, это неоднократно случалось, в отличие от подмены метрик Яндекс и doubleclick.

            Я ни в коем случае на защищаю наличие метрик на сайте Сбербанка и не только, но это не повод для ввода людей, не разбирающихся в информационной безопасности, в заблуждение подобными видео без пояснений.


            1. SinsI
              01.06.2017 03:15

              Могу ошибаться, но ведь браузеру вроде бы должно быть достаточно один-единственный раз получить public key из подлинного источника, после чего поддельные удостоверяющие центры уже не страшны?
              Скрипты же заново качаются при каждом заходе…


              1. a5b
                01.06.2017 05:24
                +1

                один-единственный раз получить public key из подлинного источника

                При первом заходе — только если правильно настроен Public Key Pinning (HPKP), а он не настроен (лишь sberbank.ru отдает некий "equifax_sha256" от Equifax Secure CA, у поддоменов HPKP нет)


                Даже до первого захода будет защита если есть HSTS Preloading (https://hstspreload.org/) и preload HPKP / static Public Key Pinning (который есть лишь для крупнейших сайтов — https://security.stackexchange.com/questions/143500/are-there-any-mechanisms-to-preload-http-public-key-pinning "big vendors currently restrict the preloaded public key pins to their own properties and some high profile sites (Google, Facebook, Twitter, etc.)").


                Еще включенный на домене обычный HSTS не даст пользователю нажатием кнопки проигнорировать сертификат, не подписанный доверенным корневым центром.


                От подмены скриптов мог бы защитить атрибут integrity тега script (если ссылка идет на конкретную версию скрипта) — https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity (Chrome 45+, Firefox 43+); https://frederik-braun.com/using-subresource-integrity.html (A CDN that can not XSS you: Using Subresource Integrity, 2015)
                Настройки HSTS/HPKP по доменам:


                https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) Incomplete No pins matched pin-sha256="/1aAzXOlcD2gSBegdf1GJQanNQbEuBoVg+9UlHjSZHY="; max-age=1512000


                https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No (more info)


                https://www.ssllabs.com/ssltest/analyze.html?d=node2.online.sberbank.ru&latest
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No (more info)


                https://www.ssllabs.com/ssltest/analyze.html?d=stat.online.sberbank.ru&latest
                RC4 Yes INSECURE
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No


                https://www.ssllabs.com/ssltest/analyze.html?d=scr.online.sberbank.ru&s=77.244.212.55&latest
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No


                https://www.ssllabs.com/ssltest/analyze.html?d=mc.yandex.ru&s=93.158.134.119&latest
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No (more info)


                https://www.ssllabs.com/ssltest/analyze.html?d=tag.rutarget.ru
                POODLE (SSLv3) Vulnerable INSECURE
                RC4 Yes INSECURE
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No (more info)


                https://www.ssllabs.com/ssltest/analyze.html?d=google-analytics.com&s=216.58.194.196&latest
                Strict Transport Security (HSTS) Yes
                HSTS Preloading Chrome Edge Firefox IE
                Public Key Pinning (Static) Yes includeSubDomains: true pin-sha256: 7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y= pin-sha256: h6801m+z8v3zbgkRHpq6L29Esgfzhj89C1SyUCOQmqU=


                https://www.ssllabs.com/ssltest/analyze.html?d=mc.webvisor.org
                RC4 Yes
                Strict Transport Security (HSTS) No
                Public Key Pinning (HPKP) No


                Скрипты же заново качаются при каждом заходе…

                Скрипты могут кэшироваться (в теории)


    1. dmz9
      31.05.2017 18:08

      Для улучшения качества услуг можно просто устроить опрос пользователей, а не «втихушку» собирать данные.
      Сам факт наличия метрики третьей стороны (именно третьей стороны) на странице уже сам по себе возмутителен. И неважно какие соглашения о конфиденциальности существуют в ПС.

      Использование сторонних метрик, кроме прочего — для меня как признак «дешевизны» сервиса.
      Хотите делать правильно — разработайте собственную метрику. Или в сбере денег пожалели?


    1. shurricken
      02.06.2017 19:53

      " Все операции клиентов в удалённых каналах обслуживания проходят тотальный контроль системой антифрода Банка"
      не знаю что там с контролем, но пароль к ЛК можно получить, имея на руках украденный телефон и просто номер карты..., И отключить эту фичу нельзя, мне отказали по крайней мере.
      причем телефон может быть заблокирован, пароль приходит в первой-второй строке и высвечивается на экране, если включены предпросмотры СМС.


      1. Ezhyg
        02.06.2017 22:26

        пароль приходит в первой-второй строке

        Уже нет. Относительно недавно (пару месяцев точно) и само сообщение стало длиннее и пароль переместился сильно ближе к концу.


  1. motienko
    30.05.2017 17:51
    +1

    Ужас какой, я еще в сентябре 2015 отправлял в Сбербанк бумажное обращение на эту тему, за 1.5 года так и не пофиксили.


  1. Amanita
    30.05.2017 21:55

    Сделал репост вашей записи на FB, ответ пришел тут же, аналогичный.

    Здравствуйте, Максим!
    Сбербанк использует указанные службы веб-аналитики для постоянного улучшения своих сервисов, для углубления своего понимания поведения клиентов. Скрипты, расположенные на ресурсах Сбербанка, не собирают никакой персонифицированной информации о наших клиентах и посетителях, равно как и об их действиях со своими финансами. Собранные данные доступны исключительно Сбербанку.

    Гениальная реакция…


  1. montonero
    30.05.2017 21:55
    +1

    Недавно обнаружил очередной косяк в Сберонлайн. Началось все с того, что перестали приходить оповещения об операция на емейл. Пошел смотреть настройки оповещений — все ок. Пошел в личные данные — нету емейла. И добавить его не получается: после добавления все выглядит хорошо и даже приходит письмо на указанный адрес, но после выхода из лк емейл «забывается». Однако, сюрприз-сюрприз, настройки оповещения так и остаются настроенными на емейл.

    Таким образом, человек перестает получать какие-либо уведомления об операциях, потому что настроена отправка на емейл, но адреса — нет.

    Написал в поддержку, сначала они сказали, что, цитирую: «На данный момент, функционал изменения персональных данных в Сбербанк Онлайн полностью не реализован. Для корректного отражения информации и указания актуального адреса электронной почты, необходимо обратиться в любой офис банка и подать письменное заявление.» Нормально так. То, что раньше можно было указать емейл безо всяких визитов в офис, они, видимо, забыли.

    После того как я поинтересовался о том, куда же делся ранее указанный адрес, сказали, что ответят в течение 6 дней. Жду ответа с нетерпением.

    Короче, если у кого-то настроено оповещение на емейл — самое время проверить, что с ним все в порядке.


  1. iVNEi
    30.05.2017 21:55

    Банк гонится за прибылью и готов пойти на все.


  1. as_neo
    30.05.2017 21:55

    хотел по существу что то прочитать, один мусор и нытье про свои болячки, кому и как удобно/неудобно ходить к банкомату.


  1. strcpy
    30.05.2017 21:55

    У бинбанка тоже самое, написал им, жду реакции.


    1. dewil
      31.05.2017 10:28
      +1

      цепная реакция :)


  1. VitaliyII
    30.05.2017 21:56
    -3

    Привет, Олег!

    Ваши доводы, на мой вкус, выглядят убедительно. Ссылку на Вашу статью разослал коллегам. У меня у самого есть весомые личные причины для недоверия Сбербанку. Сердечно благодарю Вас за то, что не поленились опубликовать эти сведения о фактах.

    Олег, скажите, пожалуйста, планируете ли Вы донести эту инфу до правоохранительных органов? Ибо, если Вы правы, работники СБ совершили преступление. По меньшей мере, статья 137 «Нарушение неприкосновенности частной жизни».

    --


    1. nikolayv81
      01.06.2017 08:22

      Не волнуйтесь, подписав любой договор с большинством крупных банков вы подписали и допник, который прикрывает банк со всех сторон.


      1. VitaliyII
        01.06.2017 10:31

        Николай, насытьте этот свой довод конкретикой, пожалуйста: законодательство, условия договоров и судпрактика.


        1. nikolayv81
          02.06.2017 08:43

          Мне не пришлось пользоваться десятком банков, но вот в нескольких крупных в пакет документов входит согласие на обработку, причём там немало пунктов.
          При оформлении заявки на ипотеку, есть ещё и доп. пункты про родственников, семейное положение и т.п.(из личного опыта, можно отказаться но перспективы получить кредит после этого туманны).
          Из личного опыта, ещё была такая бумажка у работодателя, по которой пришлось очень со многим согласиться, в том числе и в интересах банка представлявшего зарплатный проект.
          Понятно что что-то из этого вполне может быть злоупотреблением права, что-то можно отменить через суд, чем-то не будут пользоваться, но юристы на всякий случай включают в такие бумаги всё что только можно туда вписать, причина думаю понятна.


  1. suicideme
    30.05.2017 22:01

    Сейчас погуглил, полно свободных решений по аналитике. Странно, что все крупные компании доверяют яндексу и гуглу.


  1. smirnov_anna
    30.05.2017 22:02

    из пальца высосанная чушь! такие скрипты есть у всех банков и они сами больше всего заинтересованы в безопасности, т.к. несут ответственность за бабосики и в случае чего будут возвращать


    1. susnake
      31.05.2017 17:32
      +1

      Альфа. Проверил скрипты в ЛК — ничего не лежит на сторонних серверах. Метрик и прочей чуши вроде тоже нет.
      На главной, да, есть. Но уже на click.alfabank.ru все чисто.


  1. rensaid
    30.05.2017 22:02

    Kaspersky Internet Security с безопасными платежами поможет?


    1. sumanai
      31.05.2017 15:28
      +1

      Разве что добавит себя в качестве ещё одной следилки.


  1. sql_id
    30.05.2017 22:02
    -2

    Печально видеть столько людей, озабоченных посягательством сберабанка на информацию об их переходах по страницам браузера. Почта, к примеру, не примет от Вас заявление, если Вы не укажете паспортные данные. На мой, субъективный взгляд это гораздо опаснее. По неподтвержденным данным, коллекторские (возможно и не только) конторы имеют доступ к данным Пенсионного фонда и налоговой, где полностью расписаны официальные выплаты еще с 90х. Ну и наверное ни для кого не секрет, что тайну переписки по SMS у нас не гарантирует ни один сотовый оператор. По поводу удобно/не удобно, хорошо/плохо: банков в РФ еще много и есть выбор.


    1. Oleg_Dolbik
      30.05.2017 23:23

      При всем богатстве выбора… У Газпрома, как минимум, сидит статистика гугла и яндекса.


  1. Bonio
    31.05.2017 01:04

    баннерорезаками не пользуюсь и брезгую в силу создаваемых ими глюков.

    Вот даже интересно, что за глюки такие, можно пример? Пользуюсь блокировщиками сколько себя помню, раньше adblock, сейчас ublock, никогда никаких глюков не замечал.


    1. olegon-ru
      31.05.2017 06:44

      Я уже нахватал минусов выше, хотя не заставляю никого отказываться от резаков, а в данном случае еще и предлагаю их использовать.

      Поскольку подавляющее большинство резаков выкидывают скрипты по шаблону названий, иногда по ошибке выкидывается что-то нужное. Сам лично на что налетал — невозможность создания событий в гугл-календаре, проблемы с навигацией в каком-то инет-магазине. После чего отключил, когда правил код своего форума в веб-интерфейсе и в итоге, при сохранении кода, получил вместо нового варианта удаление старого…


      1. dewil
        31.05.2017 10:27

        пользуюсь ghostery, в основном не для резки баннеров, а для резки трекеров


  1. fryday
    31.05.2017 12:01
    +1

    olegon-ru, а чем обоснован выбор гиктаймс в качестве ресурса для публикации, а не хабра? В аудитории среди которой можно запустить хайп?


    1. olegon-ru
      31.05.2017 12:20
      -1

      fryday, я хайпа вообще не ожидал, если честно. На хабре у меня учетки нет, как не было и здесь. Началось все вообще с моего форума (ссылка на который есть в статье), значительно раньше. Просто на форуме посоветовали написать, я и сделал это. Такого ажиотажа, если честно, не ожидал.


      1. fryday
        31.05.2017 12:27
        +1

        На Хабре такого бы не было, вам бы там сразу популярно объяснили почему это будет работать, а если предоставится возможность для реализации данной атаки, то такой способ это overkill ;)


        1. olegon-ru
          31.05.2017 14:41
          -1

          Вся тяжесть текущей ситуации в том, что я и так знаю, почему это будет работать. Но меня обвиняют в умении пользоваться видеоредакторами, хотя видеоредакторы — это, на самом деле, та область, в которой я мало что понимаю и даже ман по ffmpeg до конца не дочитал еще.


          1. fryday
            31.05.2017 14:54
            +2

            Я к сожалению опечатался, и там должно было быть не работать. Точнее не работать, как реалистичный вектора атаки. Если у меня есть возможность реализовать MITM, мне абсолютно без разницы, какие скрипты там подключаются.


          1. ValdikSS
            31.05.2017 21:29
            +1

            ман по ffmpeg до конца не дочитал еще
            Откройте man ffmpeg-all и ужаснитесь!


          1. ValdikSS
            31.05.2017 21:32
            +2

            Объясните, почему это будет работать, пожалуйста. Каким образом мне провести атаку, если я не Яндекс.Метрика и не doubleclick, без доступа к компьютеру пользователя с правами администратора, чтобы импортировать ему свой CA в ключницу?


            1. MrAloof
              06.06.2017 09:43
              -1

              Зачем свой CA внедрять? Валидные ssl щас не дорого. Владея трафиком (точкой wifi или еще чем) подменить скрипты не проблема.


              1. ValdikSS
                06.06.2017 10:07
                +2

                Сертификат на нужный вам домен, если вы не владелец этого домена, вам не выдадут, а сертификаты на другие домены будут отбрасываться браузером.?


  1. ZardoZAntony
    31.05.2017 12:16

    Просто надо уметь банерорезки настраивать на глючащих сайтах, вносить в исключения ненужные сайты и будет счастье. Всю жизнь ими пользуюсь, глюки на сайтах крайне редки, за последние пол года ни одного не припомню. В основном приходится вносить исключения для скрипта или банить сам скрипт проверки на установленный блокировщик.


  1. Salt_Of_The_Flame
    31.05.2017 13:21
    +2

    если так всего бояться — откуда у вас уверенность, что та самая баннерорезка не подселит тот самый скрипт-кейлоггер в один прекрасный день незаметно для вас. если так смотреть — это более вероятно, чем описанные варианты с кражей домена у гугла, и огласка намного меньше будет.

    к тому же, в наше время, если бы вы знали кухню регистраторов и защитников тоаврных знаков — домен слямзить у гугла уже будет нереально — затаскают и обложат так, что мало не покажется. к тому же, в описанном случае роскомнадор скорее всего сработает моментально


    1. olegon-ru
      31.05.2017 14:26
      -1

      Напомню, что совсем недавно домен гугла забыли продлить, хорошо, что его перехватил бывший сотрудник гугла, а не кто-то еще. Проблема еще в том, что домен воровать совершенно необязательно. Можно его перенаправить в локальных масштабах.

      Про баннерорезку могу так же напомнить, что существуют баннерорезки с открытым кодом. Но и это уход в сторону от сути вопроса и правильного пути его разрешения: убрать сторонние скрипты из личного кабинета.


      1. Salt_Of_The_Flame
        01.06.2017 16:27

        не все баннерорезки с открытым исходным кодом


        1. sumanai
          01.06.2017 17:46
          +1

          Никто не запрещает не пользоваться баннерорезками с закрытым исходным кодом.


  1. Kuznets78
    31.05.2017 15:36

    Новость на Рамблере: «Как отметил эксперт Олег Калабухин, в систему „Сбербанка Онлайн“ внедрены сторонние приложения и счетчики, которые имеют доступ к личной информации клиентов».
    https://news.rambler.ru/business/37020698-v-sberbanke-onlayn-naydena-uyazvimost/


  1. Aspire89
    31.05.2017 16:40

    Давайте напишем Герману Оскаровичу письмо, пусть своим специалистам по голове настучит.


    1. ntimofeev
      31.05.2017 17:27

      есть его прямые контакты? :)
      по обычным каналам не дойдет, только если открытое писать, но тогда где?


  1. WitcherGeralt
    31.05.2017 16:51

    Хранить деньги в помойке и удивляться, что она не безопасна, Л — логика.


  1. warpdiver
    31.05.2017 16:51

    зато у них 9к разрабов в сбертехе


    1. sumanai
      31.05.2017 17:01

      Винду разрабатывает 4к, куда им столько? Хотя ладно, вопрос был риторическим.


  1. ntimofeev
    31.05.2017 16:51

    Та же проблема и с другими Банками может быть.
    Сейчас проверил Тинькова, там скрипты аналитики Гугла грузятся со своего поддомена static.tinkoff.ru, походу есть такая возможность. На первый взгляд там не нашел ничего со сторонних доменов.

    Но, если я правильно понял суть проблемы, то не обязательно подменять скрипты и домены локально, из полей ввода можно данные тырить и плагинами к браузеру и еще чем-нибудь.

    Тут вопрос только слива персональных данных не задумываясь сторонним организациям.


    1. ded_Sergei
      01.06.2017 08:21

      Думаю что тут все же больше вопросов о том, что мы надеемся на безопасное приложение по последним стандартам безопасности, а по факту это сборная солянка продуктов сторонних организаций, которые возможно! не так тщательно относятся к данным пользователям.
      Ну если более научно: Надежность системы это произведение надежности всех компонент


      1. ntimofeev
        01.06.2017 08:37
        +1

        еще живы в памяти истории


  1. Vector_om
    31.05.2017 18:19

    А если запретить всё, кроме выхода на IP сбера и т.п.?


  1. Viacheslav01
    01.06.2017 00:52

    Много интересного написали, но я не могу понять, как можно в продукте который должен быть безопасным использовать не верифицированные внешние решения?

    Да конечно, вероятность атаки с этой стороны не велика, но она не равна нулю, а значит должна быть нивелированна.


    1. ntimofeev
      01.06.2017 08:49

      Согласен, вероятность не велика, потому о ней скорее и не думали.
      Если помните, как-то были популярны трояны, подменявшие в hosts ip ВК и пересылающие на страницу обманку для кражи пароля. Тут же достаточно подменить сторонний скрипт и пользователь может не заметить, в отличие от подмены полного сайта.



  1. zegupab
    01.06.2017 17:10
    +1

    А вот в корпоративном разделе сбера https://sbi.sberbank.ru:9443/ic/dcb скрипты гугла грузятся со сбера, а не гугла. Странно...


  1. mike_y_k
    01.06.2017 22:35
    +1

    Дыра на дыре и ничего не меняется.
    Слава б-гу стоят банерорезка и блокировка доступа ко всем этим аналитикам.
    А вот разница и существенная с приложением и сайтом уже много лет просто бесит.
    Недавно оказалось, что для получения ежемесячной выписки надо писать заявление в офисе!!! вместо галочки в личном кабинете.
    Софт написан в стиле курсовой или для демонстрации своих способностей.
    Похоже у них нет ни нормально проработанной постановки, ни нормального тестирирования, ни аналитиков,…


  1. HiVaccessdenied
    02.06.2017 14:39
    +1

    Интересно, а для чего делается вот это?
    Просто открыл главную страницу.
    image



  1. pavlick
    03.06.2017 07:49
    +2

    https://roem.ru/02-06-2017/251478/q-for-sber/
    А вы про потенциальную возможность слива данных рассуждаете.


    1. eisaev
      03.06.2017 10:38
      +1

      Сбербанк на конференциях, абсолютно не стесняясь, рекламирует себя как обработчика BigData, а "Data" у них ну прям очень "Big". В этой ситуации меня удивляет не сам факт слива статистических данных, а тот факт, что они позволяют зарабатывать на ней сторонним конторам вроде гугла.


    1. NaHCO3
      03.06.2017 13:25
      +1

      Что это мы, в самом деле. Рассказываем про ошибки и потенциальные уязвимости, и как всё может пойти не так. А у сбербанка и намерения не было хранить тайны своих клиентов.


  1. KMiNT21
    03.06.2017 09:59
    -1

    НЛПшный текст прям какой-то. :) Хайпо-заточенный.

    «не удалось связаться»
    «исправить утечку данных»
    «Обнаружил я эту гадость»
    «часть зловредов»

    «Я даже не обиделся, просто записал видео.»

    Короче, нет времени объяснять — плюсуй статью!

    Как-то так. :)


  1. bopoh13
    05.06.2017 17:43
    -1

    На почту приходят письма с адреса «Спасибо от Сбера» все в реферальных ссылках clientrix.cplsb.ru от компании RapidSoft. Кто-нибудь пробовал отписываться, также продолжают приходить письма?