Ну, с учетом уровня безопасности компьютеров обычных пользователей (знаю, что говорю - опыт администрирования и техподдержки немалый), подскажу что не то, чтобы небольшое. Просто звезды так сложились, что таких обкраденых Шпаков сейчас мало.
А по моделям бизнеса - да, цинично, но похоже. Только вот вы забыли, что 80% клиентов приносит 20% дохода. А 20% клиентов, приносящих 80% дохода при таком подходе могут и не задержаться. Хотя, кто знает, может система на отмывке денег больше имеет, чем со всех юзеров вместе взятых.
Посмотрите на Вебмани - у них есть карточки, безопасность которых лежит на совести продавца и интерфейс, через который можно их потратить. Такие операции возможны, но не более того.
Почему ?
А вы не задумывались, что сегодня вы потратили 100 рублей и отдали пароль трояну, который сидит у вас в компе, а через 3 месяца вы положите туда месячную зарплату по всем правилам, через программу. А логин, пароль и платежный пароль засвечен уже до этого. вывод ?
1. Обязательно писать в каждом свободном месте веб интерфейса: "Такой способ работы небезопасен. Узнать почему."
2. В принудительном порядке заставлять ставить примочки для защиты паролей от перехвата,для отключения ремутадминов и прочей приблуды на время работы с системой, заставлять вводить пароли мышкой, выбирая из каждый раз генерируемой скриптом таблички с буквами алфавита, а не символами, давая возможность захавать их в буфер обмена и отправить кулхацкеру.
на полноту анализа не претендую, ибо времени на это надо много. Но шаги, в каком направлении копать - подсказал.
Яндекс деньги оптимизаторы использовали около года назад довольно активно. Сейчас их почти никто их не берет за оплату услуг (аналогия с поиском прослеживается. Яндекс роет себе яму одновременно во всех направлениях :) ). Выборка аудитории небольшая, но тенденция снижения числа активных юзеров видна.
В целом согласен, но не совсем.
Согласитесь, что сама работа с платежной системой через браузер не может быть безопасной в принципе, а проверка подлинности только с помощью пароля, который вводится в форму - это уровень безопасности не для платежной системы.
Кстати, с учетом того,что 65% пользователей используют IE для серфинга (с учетом его дырявости и сложности диагностики зараженности, так как он всеми корнями врос в систему и путь избавиться от подкорректированного модуля IE - вырезать его нафиг из системы).
Повторюсь, любой специалист по безопасности вам скажет, что подход "у нас все безопасно - защищайте свой компьютер" не катит для платежной системы.
Так что, толкуете вы правильно, но вот своей платежной системе вы репутацию подмочите хотя бы за счет таких школьников, у которых украли "большие деньги", так как "админы яндекса в доле". Уже после 2-го или 3-го случая, как минимум, Яндекс должен был постараться заткнуть. Как ?
- отключение возможности проведения операций с деньгами через браузер и работа только из программы, имеющей встроенную взаимную аутентификацию и идентификацию клиент-сервер (и, лучше, не только с помощью логина и пароля).
- возможно написание аддонов, отключающих работу сторонних программ и модулей во время работы программы кошелька (так называемая тормозилка).
и.т.д. и.т.п.
- возможно при аутентификации пользователя заставлять его вводить что-то из данных анкеты - постоянно разное (прибавьте к году рождения цифру random).
Думайте и будет счастье.
Старожилы сателлиты прокачивают ?
Это прямо Садовского на работу берите. Но, предупреждаю, он только алгоритм Яндекса и Mail знает отлично :-)
+1 по моим запросам у трех контор в топе по 2 сайта и еще на второй странице парочка. И ничего, нормально. не первый год как такая ситуация.
а статьями для людей в читабельной части сайта меняетесь ?
Получил тестовую статью от Сергея.
Я не ставил задач по обьему статьи - ее смысл был "раскрыть тему". (Нет, не тему фоток, как может подумать пытливый читатель :) )
Тему называл тоже такую, по которой статьи можно было написать с разным смыслом и целью повествования...
Итак, "бочка меда":
Статья написана понятно, материал для нее подобран правильно, "воды" нету, грамматических ошибок в статье ни ворд ни я не нашел.
По "ложке дегтя".
- нашел невыделение запятыми вводных слов и оборотов ("однако","в первую очередь");
К статье есть пару мелких замечаний (все субьективно, но, возможно, кому-то тоже так покажется):
- недостаточно проработано "вступление". Тема достаточно злободневная (безопасность подьемной техники) и, раз уж автор решил начать статью с последствий недостаточного внимания: "Аварии ... случаются очень часто!", на мой взгляд, стоило бы начать с примера какой-либо аварии, случившейся недавно.
Мое утверждение подтвердит тот факт, что статья оканчивается словами: "Поэтому в первую очередь не стоит экономить на ... жизнях других людей!" То есть, начать, таки, стоило со злободневного ЧП.
И немного общих слов. Как статью, конечно, этот материал публиковать как статью не выйдет из-за малого обьема и отсутствия подробностей, так что подходит она, скорее, если учесть написанное выше, для того, чтобы подписать снизу: "Обязательно покупайте технику только у официального поставщика - компании БЛА, которая .... телефон..." и отправить на сателлит. Что, пожалуй, и сделаю. Спасибо за внимание :-)
Заказывал у Annette рерайтинг большой статьи. Рерайтинг выполнен "для людей" - написано своими словами с сохранением смысла. Ошибок и каких-либо стилистических ляпов не нашел. По срокам - вечером отправил задание, а утром получил готовую работу. Спасибо, обратимся еще.
Живой пример - капча, из-за которой часть пошли искать в мейл, часть в гугл.
переубеждали и юзеры и оптимизаторы - бесполезно.
Линк и анкор - высказали 3 представителя форума за сосисками с пивом свою позицию, высказали недовольство пиарщики и прочие. В итоге, пиарщики пошли в Яху, Вебальта получит аудиторию оптимизаторов целиком без каких-либо усилий, а Яше только хуже.
Колдунщика отменили - сейчас пойдет торговля сграббленными базами весов, причем без каких-либо весомых потерь для оптимизаторов - ежели что свинью подложить.
Ореол таинственности и молчание. Про линк с анкором предупредили хоть, чужими устами, правда.
С кешом проблему починить не могут уже который АП. Зачем пионеров нервничать заставлять - он волнуются, скупают ссылки в xap.
Все эти действия Яши напоминают мне предсмертные конвульсии и заставляют пользователей задуматься о том, что "поисковик сдулся", "яндекс не работает" (админ знакомый жаловался - задолбали пользователи. Говорят, почини обратно Яндекс :-).)
Сервисы Яндекса - вообще песня. Те же яндекс-деньги не идут в сравнение по надежности даже с "храните деньги в сберегательной кассе", отдающие легкую добычу продвинутым школьникам, которые легко тырят пароли из браузеров и уводят себе на пиво с сигаретами деньги честных лузеров.
Яша не то, что на чужих, он на своих ошибках не очень то учится. И слушать бесплатные совеы толпы "ремесленников" с форума, конечно, вряд ли кто-то будет. А профсоюз, в лице Вульфа и Каширина, яндексоиды выбрали сами.
