меня больше всего удивило, насколько жестко их брали. словно они хакеры, переводившие миллионы с банковских счетов
на VDS OpenVZ, стоит gentoo
на счет исправленного на 180000 значения таймаута я ошибся. это мой собственный установочный скрипт, который правит конфиги, постарался. я запамятовал, что он это значение меняет
хостинг случаем не 1gb?
в свое время немало крови попортил
удивительно, но на свежезареганом vds к ExpireTimeout 180 уже пририсованы 3 дополнительных нуля. видимо, добили техподдержку
возможно дело в настройках таймаута
ExpireTimeout 180
в секции mpm_peruser_module
файла mpm.conf апача
Смотрите, порядок действий, каким я себе его представляю.
Пользователь формирует запрос на перевод средств, указывая номер кошелька и сумму. Выбирает подтверждение через enum. Кипер от сервера enum получает число-вопрос. Пользователь через приложение генерирует код подтверждения, вводит его и нажимает "Далее". В этот момент трой подменяет сумму перевода и на сервер enum на проверку уходит уже другая сумма, но код подтверждения остается прежним и при этом корректным (возникла коллизия), поэтому enum говорит, что всё ok.
К сожалению, я не знаю тонкостей реализации протокола обмена между кипером и enum. Если где-то в кипере или на самом сервере enum контролируется целостность данных, в частности, сумма перевода в рамках сессии, то реализация подобной операции выглядит сомнительной. Поэтому мои слова чистой воды теория)
пс. Хотя, если посмотреть API, который предоставляет enum http://service.enum.ru/ (для корпоративных клиентов?), видно, что при использовании запроса GetChallenge (получить то самое число-вопрос) данные о сумме перевода на сервер enum'a не отсылаются. И проверка выполняется только запросом CheckUserAnswerTransaction ☝
Так нам эти данные и не нужны) Коллизии в алгоритме генерации кода еще никто не отменял) Даже приватного ключа и кода активации знать не требуется.
Например, засылаем жертве трояна, который мониторит переводы с кипера. Под каким-либо предлогом заставляем жертву совершить перевод в размере 200 руб. 00 коп. на кошель R301329629286 и в нужный момент трой подменяет сумму на 10001 руб. 00 коп.
Код подтверждения при этом не меняется, можете проверить (всей семьей ночью сидели перебирали, пальцы в кровь, кнопки на телефоне облезли 😂)
это всё чисто теоретически 😂
woff добавил 12.03.2011 в 09:17
Да, верно, приложение уникально для каждого конкретного enum-аккаунта. Но алгоритм генерации кода всё же одинаков, различия лишь в приватном ключе и коде активации, которые действительно различаются для разных аккаунтов. И в процессе генерации возникают коллизии, когда для пары кошель-сумма существует другая пара кошель-сумма, дающая такой же код подтверждения.
Другое дело, что нельзя зарегать кошель с произвольным номером и тогда придется к существующему номеру кошеля подбирать сумму, а это может и не увенчаться успехом.
И есть причины полагать, что enum беспокоится из-за подобных особенностей алгоритма. Так, например, в java-мидлете версии 3 по сравнению с версией 2 был увеличен размер приватного ключа в 2 раза и, судя по всему, введена задержка при генерации кода подтверждения (чтобы затруднить перебор?)
чисто теоретически, если код подтверждения генерируется на основе номера кошелька получателя и суммы, то можно подобрать такую комбинацию кошелька вора и суммы перевода, для которых код подтверждения не изменится. конечно, если алгоритм генерации кода подтверждения допускает наличие коллизий и время на их поиск не слишком велико
смею предположить пару вариантов:
1. чтобы не получить недовольства среди тех, кто не стал избранным
2. либо из-за того, что любой, кто последует инструкции по смене способа вывода, становится участником тестирования вне зависимости от того, было ли прислано ему приглашение или нет, тем самым неконтролируемо изменяя состав целевой тестируемой группы
ага, стабильно около 20$ срезают. словно абонентская плата за печеньки 🤪
а что такого? может у него широкая агентская сеть и по сигналу агенты проверяют сайты, рапортуя "усё окей, саты индексе" :D
а если серьезно, YCCY через XML выдачу и быстрее могет )
