Знаю. Только известно ли Вам такое слово, как "деградация"?
Тут она в чистом виде. И если Вы считаете, что опускаться по лестнице безопасности СВЕРХУ ВНИЗ до уровня приведённых в пример систем - это нормально, то это печально.
Если все вокруг тупые - значит и нам надо стать тупыми? Так что ли?
Если все вокруг сдвинулись на "50 оттенков серого" и "матерном десигне", то надо и нам оформление перекроить?
Ребята из Tinkoff Bank похоже именно так посчитали и недавно родили стыдобу-стыдобушку. Зато в тренде! Зато новое, креативное!☝ "Миллионы мух не могут ошибаться", как сказали бы некоторые.
Я ещё как-нибудь помучаю саппорт по поводу того, что они не предоставили выключателя входа в Light без всякого подтверждения. Один в поле не воин, конечно, но вдруг осознают...
И да. Поосторожнее с фигнёй.
Те же Яндекс.Деньги можете из своего списка сравнения вычёркивать.
https://passport.yandex.ru/profile/access
Недавно из-за этого нововведения тоже недопонял на другом форуме мысль одного человека, что знание аварийных кодов ЯД вместе с логином и паролем ещё не полный финиш на пути проникновения.
Начал уточнять и даже почти спорить, после чего вдруг извилины проветрились, бац - самому пришло озарение, что несколькими днями ранее видел в комментариях прикольное сравнение того, как Мыло и Яндекс одновременно запускают нововведения:
https://roem.ru/04-02-2015/182781/mail-yndx-two-f-auth/
И тогда уже на фоне этой вспомнившейся новости мысль стала мне ясна, согласился с ней.
Только до сих пор руки не дошли включить эту доп.защиту, пойду-ка займусь этим, пока снова не забыл
Теперь яснее некуда. Будем знать.
Скорее всего это из-за недавнего редизайна login-сервиса и мерчанта, после этого у многих E-num подтверждение, например, не предлагалось, помогало переподключение через саппорт. Тут возможно тоже надо выключить и включить снова, чтобы электронные мозги встряхнуть.
Либо есть какие-то хитропопые секретные критерии безопасности, благодаря которым эту кнопку выдают не всем. :( При восстановлении доступа, например, на финальном шаге может всплыть официально не прописанная в документации надобность слать документы в Москву, а всё благодаря крупной сумме на балансе кошельков
No problem.
Изучите страницу входа - https://light.webmoney.ru
Нет, как раз тут изначально Вы были правы, callidus не въехал в Вашу историю, не понял, что отправка SMS была заблокирована в связи со сменой идентификатора SIM-карты. Поэтому не имеет значения, где ставить приложение, коли код активации всё равно получить нельзя, а больше он нигде у Вас не сохранился. В следующий раз записывать на бумажку надо.;) Кстати, а почему СМС с кодом, полученная в старом телефоне, там не сохранилась? Была специально удалена? Или тот телефон - простая звонилка с малой памятью, которую приходится чистить? Или сам телефон утерян/сломался?
Но только всё это не имеет значения, если проблему можно было решить малой кровью.
Сразу скажу, что WMID находится под управлением WebPro (то бишь Light), могу и это подтвердить художественными образами, если есть причины мне не верить, а так - не вижу в этом смысла, ведь с WinPro (Classic) всё точно так же ведь будет.
Только про Standard (Mini) без наличия основного типа управления (без Классика/Лайта то есть, чисто Мини) точно сказать не могу, потому что такого сейчас не имею, но Мини с входом через соц.сеть входит сразу, без подтверждений (SMS-подтверждение включено, и оно у Мини включено изначально и неотключаемое), так что небось и для реги не через соц.сети будет аналогично сразу залетать внутрь.
Несмотря на то, что в login.wmtransfer.com/UserSettings.aspx у меня не стоят галочки в столбце "Online" - при попытке входа на Security-сайт без открытого параллельно Лайта не пускало внутрь даже с прохождением подтверждения (Your WebMoney Keeepr is not logged in. Please login and try again).
Первый скриншот - при включенных обоих вариантах подтверждения.
Второй - когда только E-num, как и было у Вас.
Как видим, кнопка предлагается всё равно. Кнопку, на которую стрелка указывает, хорошо видно? 🍿
И вот уже потом внутри после входа должна была быть зелёная кнопка сброса привязки.
Вот так всё на удивление просто...
PS: перечитал ещё раз слова
Или в них хотите сказать то, что вход удавалось завершить, а вот внутри кнопки зелёной-то с надписью "Перерегистрировать" и НЕ БЫЛО?!🤪🤪🤪 И что тогда вместо неё было? Фраза "Для изменения настроек безопасности необходимо авторизоваться с подтверждением"?
Тогда это гадский косяк WM, потому что относительно недавно и та кнопка тоже была доступна для нажатия, без всяких подтверждалок.😡 Тогда то, почему в саппорте не стали ничего объяснять, а просто подключили СМСки, становится понятным. Но всё же не верится мне в такую подлянку.:(
Не горю желанием сейчас менять SIM ради эксперимента, чтоб увидеть своими глазами, что именно после входа без подтверждения там кажет секьюрити и что именно просит при нажатии, но если не забуду - обязательно проверю
KrutE, а я и не отрицаю, что было много громких историй, и статья Криса Касперски с потрошением оранжевого муравья в Хакере тоже была и до сих пор доступна для прочтения. Но всё меняется, ориентироваться на устаревшие данные, не задумываясь о том, что с тех пор наоборот, там, где были дыры, их закрыли, а понаделали новых там, где их до этого не было - это не лучшая точка зрения. Можно прогадать, о чём сейчас и напишу ниже.
Лайт лучше с точки зрения универсальности, можно логиниться с Маков, Линуксов, смартфонов-планшетов, со всего, где есть браузер с поддержкой сертификатов. Ещё в нём вроде бы без ограничения срока давности доступна история операций и переписки?
Но с точки зрения безопасности - с недавнего времени подложена свинья, достаточно только знания WMID и пароля. чтобы заглянуть внутрь и увидеть все балансы, операции, контакты, переписки, написать что-то в них...
KrutE, зачем мне гуглить, когда в этом разделе форума закреплены темы на эту тему (пардон за тавтологию) пятилетней давности? С тех пор испытавшие стресс-тест программисты переписали код и закрыли дыры, более таких историй про троянов не видел.
Есть свежие примеры? Чтоб нагло обходились блокировки по IP-адресу, активация Классика на новом железе и, самое главное, даже подтверждения операций? В студию! :)
Кстати, в прошлом году я случайно обнаружил дырищу-возможность активации кипера (причём НЕ со стороны программы). Пока только случая не подвернулось проверить, исправили или нет, надеюсь что да
dutan, я в том посте конечно ужасно исказил слово "Классик" (ох уж эти сенсорные гаджеты), но адрес ссылки и её текст, особенно слова БЕЗ ПОДТВЕРЖДЕНИЯ, я вроде написал верно, чи не так?
После такого глубоко обидно за себя, вроде уж прямо носом ткнул в такой же точно свежайший пример наступания на грабли из-за того, что их всего-то надо было обойти - а всё равно не видят этого, наверное перестарался, наверное дальнозоркость и надо было за километр к простой истине приближаться, чтоб глаза и мозг сфокусировались, а лучше ещё в дополнение к скриншоту по ссылке ещё и скриншот с видимой на нём волшебной кнопкой запузырить, если из текста про неё настолько непонятно...
Да и за невнимательных людей тоже обидно, когда в очередной раз вспоминаешь присказку "все беды от невнимательности". Или это уже деградация населения и поздно что-то менять?
Ах да. В этом случае ещё обидно за саппорт WM. Впрочем, переписку не видел, может он тоже про кнопку пытался донести мысль, а может ему проще и быстрее оказалось СМСки подрубить, чем учить человека правильному алгоритму действий по их самостоятельному включению в на самом деле НЕ тупиковой ситуации
KrutE, конкретнее критикуйте, плиз, описывайте процесс осуществления грабежа в деталях. А то вроде как открыли народу глаза, но по факту даже веки не приподнимали.
Чем именно небезопасен Классик? Нежеланием его владельца подрубить инам?!:D
Какая именно связь между захватом номера телефона и Лайтом? Не только преступник, а опять же владелец виноват, что профукал ещё мыло и сертификат (или инам)?
Не канает.
Во-первых, мне интересны именно случаИ, чтобы преслеживалась система-логика амнистий, а не какое-то одиночное исключение.
Во-вторых, по мхосту саппорт признал ошибку, а не осознанное изменение решения вследствие пересмотра точки зрения, что есть большая разница. Так что тем более нужно видеть несколько примеров, а то может везде "ошибки".
В-третьих, qapoz написал "после долгого общения с саппортом". Мхоста реабилитировали за 3-4 дня, кто хоть немного имеет представление о саппорте ВМ, а особенно арбитражном, да ещё и тех лет, тот улыбнётся, если кто-то посмеет назвать такой срок долгим.
qapoz, WMIDы возвращунов привести можете, или это строго секретная информация, за разглашение которой влепят отказ снова?
Несколько раз перечитал стартовый пост, но так и не понял - где автор признавался, что у него нет доступа к киперу?
Если доступ к Ковссику/Лайту есть, то всего лишь надо уметь правильно входить им без подтверждения
