[ Сообщений: 43 ] 
Начать новую тему Ответить на тему На страницу Пред.  1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: 20 ноя 2009, 16:49 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
В принципе - вопрос-то "риторический" :)
Абсолютной защиты не существует.
Если надо - взломают все что угодно.
Почему все-таки не обратить свое "внимание" на отправку подтверждения смены кипера по СМС?
Ввести в аккаунте юзера дополнительное поле - номер телефона и птицу "Подтверждение по СМС".
Если юзер хочет - активирует эту возможность, если не хочет - не активирует.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 20 ноя 2009, 16:53 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
ivanov писал(а):
andrewnnov писал(а):
Второй этап отправка кода SMS сообщением. Как в банках делают.

С SMS видится следующая проблема: по ощущениям больше половины партнеров не заполнили телефон; кроме того, у многих указан не мобильный телефон. То есть для ввода SMS-этапа нам придется:

(а) заставить кучу партнеров ввести телефон (что, вообще говоря, непросто: единственный реальный способ — «зажимать» деньги, пока не будет введен нормальный телефон)
и
(б) выработать политику «переходного периода» (то есть по сути некоторое время обходиться без SMS).

Короче, мне думается, что SMS — это лишняя морока.

Временной промежуток возникает автоматически из-за того, что я, к примеру, не смогу круглосуточно одобрять смены кошельков. Но это получается задержка не до, а после. Считаете, это принципиально?


Защита денег, думаю, личное дело каждого и не надо "принуждать" всех!
Вполне достаточно поставить в известность, что такая возможность появилась.
Временной промежуток для вывода при смене кипера считаю достоинством, а не недостатком!
1. Лишний раз "просто так" менять не будут.
2. При действительной смене злоумышленником будет время на его "поимку", что снизит уровень краж.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 23 ноя 2009, 17:54 
Аватара пользователя

Сообщения: 1
Поблагодарили: 0 раз.
ivanov писал(а):
Собственно, вопросы, которые я хочу выставить на обсуждение, следующие:

1. Нет ли у вас идей по поводу других вариантов защиты?

2. Готовы ли вы пойти на такие неудобства ради бóльшей безопасности?


У меня идея использовать ключевой вопрос типа "Девичья фамилия матери".
Соответственно любое изменение требует ответа на такой вопрос.

В качестве защиты от потери - необходимо заполнить номер паспорта.
И соответственно, когда забыл ответ на такой вопрос - либо едешь в офис с паспортом - доказывая что это ты, либо отправляешь скан паспорта по почте - опять же доказывая.

А практика контрольных вопросов по моему достаточно работоспособна и много где применяется.

Отвечая на второй вопрос - я согласен. :)

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 23 ноя 2009, 18:00 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
Toughbooks писал(а):
А практика контрольных вопросов по моему достаточно работоспособна и много где применяется.

Много где применяется — да. А вот взломостойкость ее весьма сомнительна. Такие вещи вполне могут оказаться в открытом доступе.
Toughbooks писал(а):
В качестве защиты от потери - необходимо заполнить номер паспорта.
И соответственно, когда забыл ответ на такой вопрос - либо едешь в офис с паспортом - доказывая что это ты, либо отправляешь скан паспорта по почте - опять же доказывая.

Связываться с почтой — не дело. Заставлять партнеров мотаться в офис — тоже. Особенно если они, например, в Израиле или в Канаде. 8)

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 24 ноя 2009, 08:32 
Аватара пользователя

Сообщения: 6
Поблагодарили: 0 раз.
Выше обсуждалась блокировка по IP. Так вот это тоже нереально, т.к. у многих IP может быть динамическим, и сменяться каждый раз при подключении нета.

Можно продумать вариант с "контрольным вопросом". То есть пользователю предлагается ввести какой-нибудь ответ на какой-нибудь вопрос (например, номер паспорта). Эти данные будут известны только Миксу, и не будут видны из аккаунта, а пользователь должен будет запомнить или записать (или в случае с номером паспорта, не выкидывать паспорт :))) ).
Ну а в дальнейшем, при смене платёжных реквизитов пользователь должен будет вводить эти данные в поле. И если всё верно, то через сутки, или больше (время, за которое модераторы проверят, например, сколько раз пользователь ошибался при вводе контрольного ответа, и убедятся что это не авто-подбор был) кошель меняется.

Ну в общем что-то в этом роде. :D

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 24 ноя 2009, 12:52 
Аватара пользователя

Сообщения: 8
Поблагодарили: 0 раз.
Можно просто ввести ограничение - данные кошелька будут изменены через 14 дней. Этого времени вполне достаточно, чтобы пользователю стало известно и о смене кошелька и о взломе почты. Смену кошелька, правильно, нужно показывать красным жирным шрифтом на главной. За 14 дней можно кипишь поднять и разобраться что к чему.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 15:45 
Аватара пользователя

Сообщения: 18
Поблагодарили: 0 раз.
Например, ввести разовый пароль необходимый для смены кошелька. Пароль на вход в аккаунт он не отменяет. Пароль для смены кошелька рассылается адм-ией заблоговременно, до того как возникает необходимость сменить кошелек, в этом случае автоматом деньги увести будет возможно только если злоумыленник помимо обладания емейлом добыл еще и разовый пароль. Если честный юзер потерял этот пароль, то замена кошелька возможна только после прямого контакта с адм-ей, тут уж ей карты в руки.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 15:56 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
godvin, ну вы же понимаете, что рассылать разовый пароль по почте нельзя, потому что вместе со взломом почты злоумышленник получает доступ к ее архиву.

То есть, единственный вариант с паролями — чтобы пользователь сам задавал пароль. И тут новая кучка проблем: (а) пользователи будут ставить тот же пароль или (б) регулярно терять его.

Короче, мы решили сделать пока что ручную модерацию смены важных данных. Посмотрим, как оно будет работать.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:02 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
А что значит "ручная модерация"? В любом случае, если злоумышленник завладел эл.почтой хозяина аккаунта - администрация об этом не сможет узнать сразу.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:06 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
urikor, эта схема примерно описана в первом сообщении темы.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:12 
Аватара пользователя

Сообщения: 30
Поблагодарили: 1 раз.
Для смены кошелька, емейла или телефона необходимо дождаться одобрения от сотрудника МиксМаркета, который предварительно обязуется почитать логи действий, совершенных в аккаунте, и при малейшем сомнении связаться с партнером и убедиться в том, что это действительно партнер заказал смену кошелька. То есть фактически подтверждение будет двойное — сначала партнер подтверждает, потом сотрудник МиксМаркета проверяет.

Хорошо было бы иметь другой канал для связи с партнером, ведь, связываясь по (возможно) взломанной эл.почте - где гарантия что не связываетесь со злоумышленником? :)

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:18 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
urikor, телефоны, емейлы в хуизах и т. п.

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:20 
Аватара пользователя

Сообщения: 18
Поблагодарили: 0 раз.
ivanov писал(а):
godvin, ну вы же понимаете, что рассылать разовый пароль по почте нельзя, потому что вместе со взломом почты злоумышленник получает доступ к ее архиву.

Потому в моем предложении говорится что пароль должен быть выслан заблаговременно, т.е. сейчас всем разослать, а не по запросу. Еще до того как злоумышленник надумает взламывать чью-либо почту.
Письмо от вас лежит у меня на локальном компьютере, о каком архиве речь? Вы же его не через аккаунт будете пересылать. Он может получить этот пароль только если получил доступ к моему компьютеру.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 26 ноя 2009, 16:23 
Эксперт
Аватара пользователя

Сообщения: 2192
Поблагодарили: 2 раз.
godvin писал(а):
Письмо от вас лежит у меня на локальном компьютере, о каком архиве речь? Вы же его не через аккаунт будете пересылать. Он может получить этот пароль только если получил доступ к моему компьютеру.

Письмо с паролем также с большой долей вероятности может находиться в папке «Входящие» почтового сервиса типа Мейл.ру. Ломают-то, в основном, бесплатные онлайн-почты. 8)

_________________
Денис Иванов, экс-Миксмаркет
upyrj@ya.ru

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 07 дек 2009, 09:56 
Аватара пользователя

Сообщения: 15
Поблагодарили: 0 раз.
На выходных столкнулся с трояном GET Accelerator. Пришлось срочно менять все пароли и пришла мысль - введите возможность экстренной блокировки аккаунта с мобильного телефона. Пришлите заранее код цифр 10-16 для отправки на сотовый и блокировки всех операций по аккаунту.

Вот пример, нашел вирус, он мог спереть все пароли и удалить файрфокс и блокировать другие браузеры. Если была бы возможность экстренной блокировки хозяином аккаунта всех операций, а то вот сейчас думаю скоро выплаты, успею ли я добежать до банкомата и снять деньги и не дать перехватить их в аккаунте яндекс денег.

А этот ..... вирус (оч хочется ругнуться) так и не могу вывести с основного компа, касперский его пропустил как воду через решето.

Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему На страницу Пред.  1, 2, 3  След.
 [ Сообщений: 43 ] 

   Похожие темы   Ответы   Автор   Просмотры   Последнее сообщение 
В этой теме нет новых непрочитанных сообщений. Обновлен способ вывода денег из Микс-Товаров

в форуме Миксмаркет в развитии

10

ivanov

17803

08 июл 2008, 19:55

ivanov Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Изменения в работе Яндекс.Денег для анонимных пользователей

в форуме Микс-Товары

0

mixb

8092

20 май 2014, 10:25

mixb Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Как быстро проходит зачисление денег за регистрацию в играх?

в форуме Микс-Юни

1

slaru

5355

09 июл 2013, 14:53

Odaria Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Заказ денег больше существующей суммы.

в форуме Микс-Товары

4

tipntricks

10977

03 окт 2006, 17:10

tipntricks Перейти к последнему сообщению

В этой теме нет новых непрочитанных сообщений. Очень хочу потратить денег, а вы не даете!

в форуме Миксмаркет в развитии

1

maytech

9949

22 июл 2013, 15:53

Odaria Перейти к последнему сообщению



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
cron


О проекте Новости Пресса о нас Сотрудничество Вакансии Контакты
2005–2011 Партнерская сеть Миксмаркет
Разработка сайта — iji-design / AdLabs
Powered by phpBB Group