dobryak, не пойму как соотносится ваша позиция в этом топике и советы ТС отдать долги (т.к. все равно кредиторы достанут через суд) с тем что вы сами нихрена не гасите задолженность по CreditAM? Или вас кредиторы не достанут? Или ваша версия про какого-то кудрявцева лучше версии ТС про угон кипера? Вам не смешно? Какие-то двойные стандарты у вас. 🚬
Однако проблемы связаны не только с некомпетентными людьми, а и с недоработками системы. И грамотно организованная система должна делать шаги навстречу пользователям. Е-нум тому подтверждение.
Перечисленные выше недоработки вполне по силам системе и никто другой (в том числе и пользователи) тут ничего поделать не сможет.
Удаляюсь.
dobryak понимаю ваше негодование как владельца автокредитного автомата. Который кстати киданул своих кредиторов с переводом стрелок и руганью. Извините но с вами вести дискуссию желания нет. Надеюсь ответите взаимностью. 🚬
Проколы вебмани:
1. Не заблокировали своевременно кошелек. Смешно и маразматично для системы такого уровня иметь "выходные" для арбитража и т.д. Тут скорее не денег нет чтобы оплатить труд персонала, а на пользователей насрать... Грустно.
2. Не сообщается о взятии кредитов, открытии лимита доверия ни на почту ни на телефон... вообще никуда. Несерьезно.
3. Нельзя отказаться от использования кредитных сервисов. Вот я например вообще не брал кредиты и знаю что брать не буду. Так нафига мне иметь скрытые риски? Средства на кошелях не держу, а все равно спокойно спать при наличии заполненного на меня перса не получится. Бред.
Пусть улучшат поддержку, оперативность, работают в выходные, усилят ограничения при кредитовании и случаев таких значительно поубавится.
Я описывал подобный пример в другой ветке. Однозначно будут требовать возврата средств пострадавшему или как альтернатива - отказ в обслуживании.
В глазах арбитража все будет выглядеть так как-будто ворованные средства просто по цепочке перекочевали в ваш кошелек и при отсутствии доказательств об оказанной услуге они будут считать мошенником или пособником мошенника вас и вашего друга. Других вариантов получается нет - или не принимать средства ни от кого и держать кошелек только для трат или иметь четкие доказательства для каждой транзакции. На мой взгляд ни то ни другое невозможно - вот и балансируем по краю пропасти и наблюдаем за теми кому не повезло и думаем что нас уж это не коснется. 🤪
Интересный топик.
Если взглянуть глобально то соль в следующем - получая WM от частного лица за любую услугу/покупку оффлайн либо частный обмен вы рискуете получить грязь и вас поставят перед диллемой: вернуть средства и влететь на эту сумму либо отказ в обслуживании. Как избежать этого? Не иметь дел с незнакомыми корреспондентами? А что если друг заплатит вам за работу своими WM как раз когда он прохлопал и ему слили грязь? Не получать WM ни от кого вообще, а только пополнять свой кошелек в оффлайне как это советует Яндекс.Деньги?
Пора бы уже Вебманям решить кто несет ответственность: пользователь который не заботится о безопасности своего компьютера, хакер которого они поймать не могут или зачастую добросовестный пользователь aka "конечный выгодоприобретатель".
З.Ы. Приведенные примеры про плазму некорректны т.к. вм-знаки все-таки больше деньги, чем товары, которые можно идентифицировать. Если уж брать пример, то такой: у терпилы вытащили кошелек из кармана и расплатились в магазине за товар, допустим купили колбасы :) Далее терпила успел сообщить милицейскому патрулю и вора проследили до магазина и видели как он выбегал с колбасой. Теперь милиция заставляет продавца вернуть деньги терпиле под угрозой расстрела. Внимание вопрос: как определить что вор расплатился за колбасу чужими деньгами? Может у него были свои? В нашем случае может на кошельке были и другие средства?
ИМХО т.к. добросовестные пользователи системы не могут определить ворованными или нет деньгами с ними расплатились, логично ответственность оставить на жертве и воре: на воре криминальную а на жертве финансовую (если вора не поймали).
Короче на сервере для каждого вмид хранится хеш пароля, список хешей оборудования для активированных компов, маска доступа ip и public key.
Когда кипер логинится он передает хеш пароля, хеш текущего оборудования и машиннозависимый ключ из .init
Хеш пароля проверяется до коннекта поэтому можно сделать вывод, что существует его копия на клиенте. При помощи хеша оборудования из машиннозависимого ключа делается независимый ключ и сервер проверяет соответствие privat key и public key. Если соответствуют, проверяется хеш оборудования на вхождение в список. Если не входит - требует активацию. Далее проверяется вхождение айпи в подсеть блокировки.
З.Ы. ХА! Я понял откуда может возникать эффект доступа при смене ключей/пароля!
Если кипер не выключать он хранит в памяти все данные для удачного логина(и автоматом логинится хоть через минуту хоть через два дня при обновлении соединения). Если же войти со второго кипера и изменить пароль/ключи/блок айпи то первый кипер тоже будет авторизованным со старыми данными до момента утери соединения, а при перелогине его уже не пустит.
Поэтому если злоумышленник украл данные для входа и не разрывает соединение - его кипер будет работать даже если жертва сменит данные!
З.З.Ы. От такой схемы спасет принудительный периодический перелогин кипера. Возможно в последнем билде это добавили?
Slavomir, другого поста от вас я и не ждал. Вы опять не в теме к сожалению.
Опишу лично для вас подробнее.
Когда пользователь выбирает вмид и вводит пароль, внутренние переменные кипера инициализируются этими данными, далее ищется файл .init и формируется хеш аппаратного окружения (айпи, серийник, опрос шины). Все эти данные отсылаются на сервер при авторизации. Далее если соединение обрывается, кипер отсылает эти данные повторно, т.е. проводится полная авторизация. Об этом и писалось. Автор поста на который я отвечал утверждает, что существует "авторизованное состояние" которое можно своровать и после этого злоумышленник сможет контролировать вмид даже после смены пароля/ключей.
Читайте внимательнее.
З.Ы. Под словами "нужно будет логиниться заново" я имел ввиду, что серверу нужны все данные для полной авторизации. Кипер отсылает их автоматом при обновлении соединения. Поэтому и наблюдаются те эффекты про которые вы писали.
Обязательно проверим. Как будете готовы - пишите в личку.
Хочу верить, что вы сможете сотворить ЧУДО :)
З.Ы. Те, кто переходит на Enum не забывайте прибивать файл .init
660658, не хочу ставить под сомнение вашу компетенцию, но все же...
Обсуждаемый троян ворует состояние окружения кипера (машиннозависимый хэш и вмид/пароль/айпи) но никак не мифическое "авторизованное состояние". Перестаньте пугать людей. "Авторизованного состояния" в природе не существует, т.к. если обрывается соединение с сервером вебмани - процедура верификации проводится заново и полностью (форкается новый процесс сервера который слыхом не слыхивал о вашем "авторизованном состоянии"). Если не верите, попробуйте запустить кипер, залогиниться (т.е. перейти в ваше авторизованное состояние) и выдернуть сеть, а потом провести какую-либо операцию типа перевода. Уверяю вас, что нужно будет логиниться заново. То же самое и для злоумышленника.
Вышеупомянутый троян только помогает обойти активацию, и если бы он обладал теми возможностями о которых пишете вы, все наши потерпевшие из этой ветки отметились бы здесь уже не один раз :)
