[ Сообщений: 43 ] 
Начать новую тему Ответить на тему На страницу Пред.  1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: 20 ноя 2009, 16:49 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
В принципе - вопрос-то "риторический" :)
Абсолютной защиты не существует.
Если надо - взломают все что угодно.
Почему все-таки не обратить свое "внимание" на отправку подтверждения смены кипера по СМС?
Ввести в аккаунте юзера дополнительное поле - номер телефона и птицу "Подтверждение по СМС".
Если юзер хочет - активирует эту возможность, если не хочет - не активирует.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 20 ноя 2009, 16:53 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
ivanov писал(а):
andrewnnov писал(а):
Второй этап отправка кода SMS сообщением. Как в банках делают.

С SMS видится следующая проблема: по ощущениям больше половины партнеров не заполнили телефон; кроме того, у многих указан не мобильный телефон. То есть для ввода SMS-этапа нам придется:

(а) заставить кучу партнеров ввести телефон (что, вообще говоря, непросто: единственный реальный способ — «зажимать» деньги, пока не будет введен нормальный телефон)
и
(б) выработать политику «переходного периода» (то есть по сути некоторое время обходиться без SMS).

Короче, мне думается, что SMS — это лишняя морока.

Временной промежуток возникает автоматически из-за того, что я, к примеру, не смогу круглосуточно одобрять смены кошельков. Но это получается задержка не до, а после. Считаете, это принципиально?


Защита денег, думаю, личное дело каждого и не надо "принуждать" всех!
Вполне достаточно поставить в известность, что такая возможность появилась.
Временной промежуток для вывода при смене кипера считаю достоинством, а не недостатком!
1. Лишний раз "просто так" менять не будут.
2. При действительной смене злоумышленником будет время на его "поимку", что снизит уровень краж.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 23 ноя 2009, 17:54 
Аватара пользователя

Сообщения: 1
Поблагодарили: 0 раз.
ivanov писал(а):
Собственно, вопросы, которые я хочу выставить на обсуждение, следующие:

1. Нет ли у вас идей по поводу других вариантов защиты?

2. Готовы ли вы пойти на такие неудобства ради бóльшей безопасности?


У меня идея использовать ключевой вопрос типа "Девичья фамилия матери".
Соответственно любое изменение требует ответа на такой вопрос.

В качестве защиты от потери - необходимо заполнить номер паспорта.
И соответственно, когда забыл ответ на такой вопрос - либо едешь в офис с паспортом - доказывая что это ты, либо отправляешь скан паспорта по почте - опять же доказывая.

А практика контрольных вопросов по моему достаточно работоспособна и много где применяется.

Отвечая на второй вопрос - я согласен. :)

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 23 ноя 2009, 18:00 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
Toughbooks писал(а):
А практика контрольных вопросов по моему достаточно работоспособна и много где применяется.

Много где применяется — да. А вот взломостойкость ее весьма сомнительна. Такие вещи вполне могут оказаться в открытом доступе.
Toughbooks писал(а):
В качестве защиты от потери - необходимо заполнить номер паспорта.
И соответственно, когда забыл ответ на такой вопрос - либо едешь в офис с паспортом - доказывая что это ты, либо отправляешь скан паспорта по почте - опять же доказывая.

Связываться с почтой — не дело. Заставлять партнеров мотаться в офис — тоже. Особенно если они, например, в Израиле или в Канаде. 8)

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 24 ноя 2009, 08:32 
Аватара пользователя

Сообщения: 6
Поблагодарили: 0 раз.
Выше обсуждалась блокировка по IP. Так вот это тоже нереально, т.к. у многих IP может быть динамическим, и сменяться каждый раз при подключении нета.

Можно продумать вариант с "контрольным вопросом". То есть пользователю предлагается ввести какой-нибудь ответ на какой-нибудь вопрос (например, номер паспорта). Эти данные будут известны только Миксу, и не будут видны из аккаунта, а пользователь должен будет запомнить или записать (или в случае с номером паспорта, не выкидывать паспорт :))) ).
Ну а в дальнейшем, при смене платёжных реквизитов пользователь должен будет вводить эти данные в поле. И если всё верно, то через сутки, или больше (время, за которое модераторы проверят, например, сколько раз пользователь ошибался при вводе контрольного ответа, и убедятся что это не авто-подбор был) кошель меняется.

Ну в общем что-то в этом роде. :D

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 24 ноя 2009, 12:52 
Аватара пользователя

Сообщения: 8
Поблагодарили: 0 раз.
Можно просто ввести ограничение - данные кошелька будут изменены через 14 дней. Этого времени вполне достаточно, чтобы пользователю стало известно и о смене кошелька и о взломе почты. Смену кошелька, правильно, нужно показывать красным жирным шрифтом на главной. За 14 дней можно кипишь поднять и разобраться что к чему.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 15:45 
Аватара пользователя

Сообщения: 18
Поблагодарили: 0 раз.
Например, ввести разовый пароль необходимый для смены кошелька. Пароль на вход в аккаунт он не отменяет. Пароль для смены кошелька рассылается адм-ией заблоговременно, до того как возникает необходимость сменить кошелек, в этом случае автоматом деньги увести будет возможно только если злоумыленник помимо обладания емейлом добыл еще и разовый пароль. Если честный юзер потерял этот пароль, то замена кошелька возможна только после прямого контакта с адм-ей, тут уж ей карты в руки.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 15:56 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
godvin, ну вы же понимаете, что рассылать разовый пароль по почте нельзя, потому что вместе со взломом почты злоумышленник получает доступ к ее архиву.

То есть, единственный вариант с паролями — чтобы пользователь сам задавал пароль. И тут новая кучка проблем: (а) пользователи будут ставить тот же пароль или (б) регулярно терять его.

Короче, мы решили сделать пока что ручную модерацию смены важных данных. Посмотрим, как оно будет работать.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:02 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
А что значит "ручная модерация"? В любом случае, если злоумышленник завладел эл.почтой хозяина аккаунта - администрация об этом не сможет узнать сразу.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:06 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
urikor, эта схема примерно описана в первом сообщении темы.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:12 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
Для смены кошелька, емейла или телефона необходимо дождаться одобрения от сотрудника МиксМаркета, который предварительно обязуется почитать логи действий, совершенных в аккаунте, и при малейшем сомнении связаться с партнером и убедиться в том, что это действительно партнер заказал смену кошелька. То есть фактически подтверждение будет двойное — сначала партнер подтверждает, потом сотрудник МиксМаркета проверяет.

Хорошо было бы иметь другой канал для связи с партнером, ведь, связываясь по (возможно) взломанной эл.почте - где гарантия что не связываетесь со злоумышленником? :)

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:18 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
urikor, телефоны, емейлы в хуизах и т. п.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:20 
Аватара пользователя

Сообщения: 18
Поблагодарили: 0 раз.
ivanov писал(а):
godvin, ну вы же понимаете, что рассылать разовый пароль по почте нельзя, потому что вместе со взломом почты злоумышленник получает доступ к ее архиву.

Потому в моем предложении говорится что пароль должен быть выслан заблаговременно, т.е. сейчас всем разослать, а не по запросу. Еще до того как злоумышленник надумает взламывать чью-либо почту.
Письмо от вас лежит у меня на локальном компьютере, о каком архиве речь? Вы же его не через аккаунт будете пересылать. Он может получить этот пароль только если получил доступ к моему компьютеру.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:23 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
godvin писал(а):
Письмо от вас лежит у меня на локальном компьютере, о каком архиве речь? Вы же его не через аккаунт будете пересылать. Он может получить этот пароль только если получил доступ к моему компьютеру.

Письмо с паролем также с большой долей вероятности может находиться в папке «Входящие» почтового сервиса типа Мейл.ру. Ломают-то, в основном, бесплатные онлайн-почты. 8)

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 07 дек 2009, 09:56 
Аватара пользователя

Сообщения: 15
Поблагодарили: 0 раз.
На выходных столкнулся с трояном GET Accelerator. Пришлось срочно менять все пароли и пришла мысль - введите возможность экстренной блокировки аккаунта с мобильного телефона. Пришлите заранее код цифр 10-16 для отправки на сотовый и блокировки всех операций по аккаунту.

Вот пример, нашел вирус, он мог спереть все пароли и удалить файрфокс и блокировать другие браузеры. Если была бы возможность экстренной блокировки хозяином аккаунта всех операций, а то вот сейчас думаю скоро выплаты, успею ли я добежать до банкомата и снять деньги и не дать перехватить их в аккаунте яндекс денег.

А этот ..... вирус (оч хочется ругнуться) так и не могу вывести с основного компа, касперский его пропустил как воду через решето.

Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему На страницу Пред.  1, 2, 3  След.
 [ Сообщений: 43 ] 

   Похожие темы   Ответы   Автор   Просмотры   Последнее сообщение 
В этой теме нет новых непрочитанных сообщений. Обновлен способ вывода денег из Микс-Товаров

в форуме Миксмаркет в развитии

10

ivanov

19439

08 июл 2008, 19:55

ivanov Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Изменения в работе Яндекс.Денег для анонимных пользователей

в форуме Микс-Товары

0

mixb

10147

20 май 2014, 10:25

mixb Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Как быстро проходит зачисление денег за регистрацию в играх?

в форуме Микс-Юни

1

slaru

6322

09 июл 2013, 14:53

Odaria Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Заказ денег больше существующей суммы.

в форуме Микс-Товары

4

tipntricks

11879

03 окт 2006, 17:10

tipntricks Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Очень хочу потратить денег, а вы не даете!

в форуме Миксмаркет в развитии

1

maytech

11396

22 июл 2013, 15:53

Odaria Перейти к последнему сообщению



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения


О проекте Новости Пресса о нас Сотрудничество Вакансии Контакты
2005–2011 Партнерская сеть Миксмаркет
Разработка сайта — iji-design / AdLabs
Powered by phpBB Group