Украли деньги с Яндекс-Кошелька (много)

Посмотрите на Вебмани - у них есть карточки, безопасность которых лежит на совести продавца и интерфейс, через который можно их потратить. Такие операции возможны, но не более того.

Почему ?

А вы не задумывались, что сегодня вы потратили 100 рублей и отдали пароль трояну, который сидит у вас в компе, а через 3 месяца вы положите туда месячную зарплату по всем правилам, через программу. А логин, пароль и платежный пароль засвечен уже до этого. вывод ?

1. Обязательно писать в каждом свободном месте веб интерфейса: "Такой способ работы небезопасен. Узнать почему."

2. В принудительном порядке заставлять ставить примочки для защиты паролей от перехвата,для отключения ремутадминов и прочей приблуды на время работы с системой, заставлять вводить пароли мышкой, выбирая из каждый раз генерируемой скриптом таблички с буквами алфавита, а не символами, давая возможность захавать их в буфер обмена и отправить кулхацкеру.

на полноту анализа не претендую, ибо времени на это надо много. Но шаги, в каком направлении копать - подсказал.

Яндекс деньги оптимизаторы использовали около года назад довольно активно. Сейчас их почти никто их не берет за оплату услуг (аналогия с поиском прослеживается. Яндекс роет себе яму одновременно во всех направлениях :) ). Выборка аудитории небольшая, но тенденция снижения числа активных юзеров видна.

Попыталась представить себе, как PayPal пишет такое. Не смогла.

Помимо вебманей и яденег, на свете существует множество систем. И работа через веб-интерфейс с защитой паролем - распространённый способ. Потому что это удобно, а пользователям нужны удобные способы. Можно, конечно, попробовать обсудить, "отстой ли PayPal", но я не думаю, что это будет конструктивно :)

Спасибо Вам. Правда спасибо. Мы, честное слово, копаем и в этом направлении тоже :) Как только до чего-то докопаем - сообщим широкой общественности :)

Уууу, как тут все запущено... :)

Уважаемые господа критики Яндекса, простите, но большая часть из написанного вами... эээ.... как бы это помягче сказать...

Некоторые из вас тут заявляли, что, де, в ЯД работают некомпетентные люди, которые ничего не понимают в интерент-платежах, поскольку не знают термина "код протекции". Так вот, если незнание термина "код протекции" (т.е. некой минорной фишечки одной из большого количества платежных систем) свидетельствует о некомпетентности в области интернет-платежей, то то, что вы пишите (а большей частью написанное показывает непонимание как основ бизнеса вообще, так и бизнеса платежных систем в частности), должно, следуя той же логике, свидетельствовать как минимум об об олигофрении в степени дебильности.

Ах, сделайте как в вебмани! Ах, броузер несекьюрно, "это уровень безопасности не для платежной системы". Ах, сделайте нам работу только через программу, блокировки по IP, ключи несимметричной криптографии, СМС-ки, аутентификацию по ИНН с онлайновой проверкой через www.nalog.ru, а еще лучше по скану сетчатки глаза через специальный аппаратно-программный комплекс клиента... И ориентируйтесь на нужды Билла Гейтса, или, на худой конец, Абрамовича...

Во-первых, у разных компаний могут быть разные модели бизнеса. Кто-то ориентируется на Абрамовичей, кто-то на Вась Пупкиных. И то, что лучше иметь в клиентах одного Абрамовича лучше, чем сто тысяч Вась - в корне неверно. Если не верите - попробуйте выяснить, сколько существует очень богатых и очень успешных компаний (равно как и их владельцев - миллиардеров), сделавших свои состояния на розничном бизнесе - на тех самых Васях Пупкиных.

Во-вторых, вы не понимаете разницы между этими моделями бизнеса. Бизнес, основанный на торговле спичами, строится иначе, нежели бизнес, основанный на торговле банками и замками. Если при торговле замками для Абрамовичей каждый отдельный клиент есть сверхценность, и его облизывают до зеркального блеска, то при торговле спичками индивидуум не важен в приципе, на него, грубо говоря, начхать - важны только статистические группы. Платежные системы - это "спичечный" бизнес. Лично вы Яндексу не интерсны ни разу, как бы обидно это не звучало. Разумеется, сотрудники Яндекса вам скажут, что они вас, именно вас, любят, ценят и слушают, но это не правда. И это не потому, что в Яндексе все такие злые и испорченные, а потому, что бизнес такой. Он ("спичечный" бизнес) везде и всегда такой. И успешен он только в том случае, если ориентирован на больщинство.

В-третьих, постоянно приводимая в пример "надежности" вебмани позиционируется совершенно иначе, нежели ЯД. ВМ пытается (с той или иной степенью успешности) создать инструмент для бизнеса. Т.е. для того, чтобы люди с помощью ВМ вели дела, совершали сделки, зарабатывали деньги. Отсюда все ее особенности в виде программы клиента, кодов протекции, всевозможных аттестаций, бизнес-левелов, доверенностей, кредитных бирж и инвестиционных фондов. ЯД же в основном является именно платежной системой. Т.е. средством, позволяющим "простым" пользователям - потребителям, оплачивать товары и услуги, предоставляемые "непростыми" пользователями - мерчантами (магизнами etc). Отсюда и разница как в отношении пользователей к системам, так и в отношении системы к пользователям.

В ВМ значительная (если не бОльшая) часть пользователй - это "Вебмани-бизнесмены". И доля оборота, создаваемая такими пользоваелями, очень велика. Поэтому и кипер-классик с его параноидальной секьюрностю там очень популярен, и все бизнес-фичи востребованы. Если человек использует какой-то инструмент как одно из основных средств зарабатывания денег, он готов мириться со сложностью его использования.

В ЯД бОльшинство пользователей - "простые". Они не ведут бизнеса, основанного на Яндекс.Деньгах. Они их не пускают в оборот, не дают в рост под проценты, не инвестируют в развивающиеся проекты. Они ими платят. И нахрен им не уперлись ни отдельные программы, ни ежедневные активации-преактивации, ни бизнес-левелы, ни прочая пурга. Больщинство из них просто не будет ставить отдельную программу для работы с ЯД! Не будет, и все. Увидят "скачайте нашу программу, установите ее, насройте ее - и будет вам счастье" и уйдут вон, ничего не скачав, не установив и не настроив.

Приоритетность задач определяется их ценностью для бизнеса. Если 0.01% пользователей недовольны, а 99.99% довольны, то задачи, позволяющие сделать этих 99.99% еще более довольными, будут иметь высший приоритет. Ибо эти 99.99% приносят основные деньги. А интересы 0.01% будут учтены по остаточному принципу, т.е. "когда совсем нечем будет заняться и руки дойдут". Уйдут к конкурентам? Ну и пусть уйдут. Потери будут невелики (в процентном отношении). Даже если среди них был Абрамович. В розничном бизнесе ценность Абрамовичей ниже.

Не следовать вашим рекомендациям - значит, потерять некоторое небольщое количество клиентов, у которых сопрут деньги. Следовать - значит потерять бОльшую часть клиентов, которым неудобны "принудительные установкиви примочек".

Очень надеюсь, что Яндекс вашим рекомендациям не будет следовать. Для этого ВМ есть... 😂

точно.

В первую очередь - да.

Вы совершенно правы.

Большое Вам спасибо за разумный и взвешенный комментарий.

То, что я тут сижу и даже вполне готова принимать в личку любые номера тикетов и смотреть, не обидел ли саппорт пользователей, доказывает, что на самом деле нам небезразличны наши пользователи и нам-таки не всё равно, обидятся ли они и уйдут ли. Мы, в общем, хотели бы общаться с каждым пользователем как с Абрамовичем. Не всегда получается - но стремиться к этому надо :)

Но в целом - Вы правы. И Ваш текст просто греет душу :) Спасибо!

Kot-II, в принципе, я с Вами согласен. Только одно "но": sperans, по Вашей логике, не должна была появляться в данном топике. Нагрели кого-то из сеошников - да и ..йенг с ним! Однако, она влезла и начала контр-пиарить Я-деньги.

Я не видел статистики, но подозреваю, что ВМ предпочитают не только СЕО, то все айтишники. Также, как они ищут на Гугле, а не на Яше. Можно сколько угодно пренебрегать ими, как сегментом рынка, но для остальных юзеров они выступают экспертами по интернет-технологиям, и это рано или поздно скажется.

Я сильно подозреваю (разумеется, утверждать не могу, но подозреваю), что это не часть глобальной маркетинговой стратегии Яндекса, а личное хобби. И проявление лчиной любви к лично любимой компании :)

Думаю, что вы сильно преувеличиваете влияние "репутации" у определенных групп пользователей и "репутации" в обпределенных узких сообществах на бизнес розничных компаний. Для того, чтобы существенно повлиять на успешность бизнеса, расчитанного на миллионы массовых клиентов, нужны куда более мощные рычаги, нежели мнение айтишников, передаваемое из уст в уста и путем интернет-форумов, блогов и т.д.

Примеров тому - масса (если хотите, могу озвучить :))

Ну, с учетом уровня безопасности компьютеров обычных пользователей (знаю, что говорю - опыт администрирования и техподдержки немалый), подскажу что не то, чтобы небольшое. Просто звезды так сложились, что таких обкраденых Шпаков сейчас мало.

А по моделям бизнеса - да, цинично, но похоже. Только вот вы забыли, что 80% клиентов приносит 20% дохода. А 20% клиентов, приносящих 80% дохода при таком подходе могут и не задержаться. Хотя, кто знает, может система на отмывке денег больше имеет, чем со всех юзеров вместе взятых.

да ладно - контр-пиарить :) Я просто веду диалог. Ну имею ведь право? Я классическая зануда, у меня привычка отвечать на всё, что под руку попадётся. И если Вы думаете, что я не записываю и не говорю потом руководству "нам нужно что-то сделать вот в этом направлении" - то Вы-таки ошибаетесь :)

Я не виртуал, я вполне реальный человек со вполне устоявшейся привычкой общаться на форумах и отвечать почти на всё :) Более того, с устоявшейся привычкой отвечать вежливо на хамство - это, в общем, у меня разновидность спорта :) Ну как я могла сюда не влезть, подумайте? :)

Я бы сказала, что Kot-II прав в первую очередь вот в чём: мы действительно не собираемся сужать сферу интересов до айтишников и СЕО. Мы действительно ориентированы на массового пользователя. И именно поэтому пугать нас тем, что "от нас все разбегутся" - неконструктивно. Гораздо конструктивнее было бы говорить "если вы сделаете то-то и то-то, нам, вашим пользователям, будет счастье". Поверьте, для нас это аргумент, и немаловажный. На многих людей вообще лучше действуют аргументы "если ты это сделаешь - будешь молодец", чем аргументы "если не сделаешь - ты козёл".