Banks online security, part deux

Mar. 29th, 2023 02:28 pm
ny_quant: (Default)
[personal profile] ny_quant
Начало тут. Загадочное поведение банковской интернет-вохры там блестяще объяснил [livejournal.com profile] malyj_gorgan.

Сегодня меня не пустил на порог Citibank. В отличие от прошлого раза, пароль я вводил руками (выучил за 25 лет, каюсь) и никакой ошибки не получил. Сайт, не говоря худого слова, просто возвращал меня на страницу авторизации. Всё то же самое из анонимного окна сработало без проблем. Возможно, объяснение окажется сходным. Но как-то совсем уж круто, что в обычном окне зайте вообще больше нельзя.

Повбивав бы.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2023-03-29 09:29 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Насчет "уже влогнулись" не понял. Меня же отфутболили.

Date: 2023-03-29 09:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
В смысле, что была попытка логина. хттп запрос, с зашифрованным в ём логином/паролем просто туда не доходит, сервер искренне считает, что пользователь продолжает подгружать логин-страничку.
Т.е., сервер, который присылает юзеру инфу, он не знает, что юзер заблокирован, потому как блокируют по пути.

Date: 2023-03-30 02:27 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
А, теперь понял. Но ведь так было делать необязательно, правда? Можно же было дать серверу знать, что что-то пошло не так и дать ему возможность послать нужную информацию клиенту?

Date: 2023-03-30 04:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
Disclaimer: я свечку не держал, а если бы и держал (т.е., если бы знал, как конкретно работает защита в Сити) права рассказывать бы не имел. Но чаще всего оно работает именно так.
Если это third party defense, то просто не пропустить запрос тупо проще, соответственно, реже ломается, дешевле і т. д.

Date: 2023-03-30 05:00 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Правильно говорят, что простота хуже воровства.

Date: 2023-03-30 06:37 pm (UTC)
From: [identity profile] malyj-gorgan.livejournal.com
Хуже-не хуже -- дешевле
Если траффик не блокировать а рераутить (*), то надо больше мощности бекенда (дороже), плюс, сложнее процедура -- тоже дороже, а еще, дольше. Более медленный сайт >> клиенты уходят >> теряются деньги, более быстрый сайт >> банк чаще обманывают >> теряются деньги. Обычная оптимизация (там больше факторов, не только скорость)

(*) Перечитал предложение, понял, что уродую русский язык. Но не раскаиваюсь, а делаю это с чуйством глубокого мстительного удовлетворения :)
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

ny_quant: (Default)
ny_quant

December 2025

S M T W T F S
 12 34 56
7 89 10 111213
14 151617 181920
21 2223 24252627
28 29 3031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Dec. 31st, 2025 03:44 pm
Powered by Dreamwidth Studios