Banks online security, part deux

Mar. 29th, 2023 02:28 pm
ny_quant: (Default)
[personal profile] ny_quant
Начало тут. Загадочное поведение банковской интернет-вохры там блестяще объяснил [livejournal.com profile] malyj_gorgan.

Сегодня меня не пустил на порог Citibank. В отличие от прошлого раза, пароль я вводил руками (выучил за 25 лет, каюсь) и никакой ошибки не получил. Сайт, не говоря худого слова, просто возвращал меня на страницу авторизации. Всё то же самое из анонимного окна сработало без проблем. Возможно, объяснение окажется сходным. Но как-то совсем уж круто, что в обычном окне зайте вообще больше нельзя.

Повбивав бы.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2023-03-29 09:19 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Что именно волнует алгоритм я понимаю. Непонятно почему он просто возвращает меня обратно к логину, вместо того чтобы конструктивно объяснить что пошло не так. Чего этим можно добиться кроме как потока звонков от очумевших кустомеров в службу поддержки?

Date: 2023-03-29 09:25 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
Это-то как раз понятно: алгоритм-то не сам блокирует, а вписывает рекомендацию в следующий http request.
Самый простой и действенный метод — не пропускать POSTы или PUTы, разрешая GETы. Сервер просто не знает, что туда уже влогнулись, да и все.

Date: 2023-03-29 09:29 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Насчет "уже влогнулись" не понял. Меня же отфутболили.

Date: 2023-03-29 09:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
В смысле, что была попытка логина. хттп запрос, с зашифрованным в ём логином/паролем просто туда не доходит, сервер искренне считает, что пользователь продолжает подгружать логин-страничку.
Т.е., сервер, который присылает юзеру инфу, он не знает, что юзер заблокирован, потому как блокируют по пути.

Date: 2023-03-30 02:27 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
А, теперь понял. Но ведь так было делать необязательно, правда? Можно же было дать серверу знать, что что-то пошло не так и дать ему возможность послать нужную информацию клиенту?

Date: 2023-03-30 04:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
Disclaimer: я свечку не держал, а если бы и держал (т.е., если бы знал, как конкретно работает защита в Сити) права рассказывать бы не имел. Но чаще всего оно работает именно так.
Если это third party defense, то просто не пропустить запрос тупо проще, соответственно, реже ломается, дешевле і т. д.

Date: 2023-03-30 05:00 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Правильно говорят, что простота хуже воровства.

Date: 2023-03-30 06:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
Хуже-не хуже -- дешевле
Если траффик не блокировать а рераутить (*), то надо больше мощности бекенда (дороже), плюс, сложнее процедура -- тоже дороже, а еще, дольше. Более медленный сайт >> клиенты уходят >> теряются деньги, более быстрый сайт >> банк чаще обманывают >> теряются деньги. Обычная оптимизация (там больше факторов, не только скорость)

(*) Перечитал предложение, понял, что уродую русский язык. Но не раскаиваюсь, а делаю это с чуйством глубокого мстительного удовлетворения :)

Date: 2023-03-29 09:28 pm (UTC)
From: [identity profile] aklepatc.livejournal.com
Простая догадка...
За конструктивные объяснения в этой, нашей американской жизни можно заработать разные жизненные сложности.

Почему конторы не говорят кандидатам за что их забраковали?

"Объяснить" достаточно часто значит "подставиться". Можно развить сюжет и придумать, почему "приоткрывать окно" в логику fraud detection алгоритм — спорная идея.
Edited Date: 2023-03-29 09:29 pm (UTC)

Date: 2023-03-29 09:31 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Не допускать клиентов к их родным денежкам без объяснения причин - тоже спорная идея.

Date: 2023-03-29 09:35 pm (UTC)
From: [identity profile] aklepatc.livejournal.com
Согласен.

Может быть подход типа: our reasons/logic is somewhat fishy so let the customer (if they are legit) call support. А на поддержке сидит какой-то Вася, кот. совсем "ни уха, ни рыла"...

Не говоря уж про то, что нюансы работы системы, вообще, никто, кроме программиста, не разумеет.
Edited Date: 2023-03-29 09:48 pm (UTC)

Date: 2023-03-30 02:29 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Вася стандартно говорит, что надо почистить кэш, потом ребут, а потом - "не шмогла" и передает на следующий уровень пока кто-то не догадается про анонимное окно. Слова "плагин" в этих переговорах пока что не встречалось.

Date: 2023-03-30 02:36 pm (UTC)
From: [identity profile] aklepatc.livejournal.com
Ага. Типичный бардак большого бизнеса.

Date: 2023-03-29 11:03 pm (UTC)
brmail: (письмецо)
From: [personal profile] brmail
Ну вот, у меня в том году было такое:
https://brmail.dreamwidth.org/358007.html
В прошлом замечательный банк etrade, к сожалению их купили морган-стенли и он день отодня становится хуже.
И непонятно к кому от них убегать.

Date: 2023-03-30 02:34 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Весело. И чем кончилось?

Date: 2023-03-30 02:57 pm (UTC)
brmail: (письмецо)
From: [personal profile] brmail
Естественно само ничего не исправилось. Выжидал полные сутки. После второго звонка, с висением на холде и музыкой быстро, буквально за 10 минут все включили. Но без звонка никто палец о палец не ударил. Все отправленные документы не профукали, типа ложечки нашлись , но осадочек.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

ny_quant: (Default)
ny_quant

December 2025

S M T W T F S
 12 34 56
7 89 10 111213
14 151617 181920
21 2223 24252627
28 29 3031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 31st, 2025 04:02 pm
Powered by Dreamwidth Studios