Banks online security

[ny_quant]

Задолбали. Уже в нескольких местах попытка залогиниться приводит к примерно таким результатам:

Access Denied
You don't have permission to access "http://auth.fucking_bank.com/account/login" on this server.


Телефонный звонок ведет к длинным переговорам, пляскам с бубном, чистке кэша, переоткрыванию браузера, попытке залогиниться в других браузерах, перезагрузке компа и все это безрезультатно.

Проблема, как я случайно выяснил, решается просто заходом из анонимного окна. Что за фигня?

В комментарии приглашаются nlothik, sydorov47 и все кто хочет поделиться своими знаниями или эмоциями по этому вопросу.

UPDATE: Оказалось, что если набирать пароль руками, то анонимное окно открывать необязательно, дают зайти из обычного.

Comments

[luxs135.livejournal.com]

Судя по описанию действительно бред какой то

[nlothik.livejournal.com]

Стоят ли в браузере какие-то плагины? Отличие анонимного режима в том, что никакие плагины по умолчанию не подгружаются. Возможно, один из плагинов дурит. Чаще всего такие проблемы действительно бывают из-за какой-то закэшированный ошибки, а так как кэш чистили, я надеюсь, достаточно хорошо, то на эту проблему это не похоже.

[ny-quant.livejournal.com]

Да, плагины есть. Странно, что они дурят только на банковских сайтах.

Есть ещё одна забавная вариация: залогиниться можно, а вот послать деньги при помощи Zelle нельзя - это только в анонимном окне разрешали. Конкретно эту проблему починили они сами, даже кэш чистить не пришлось.

А ещё есть фокус, когда пароль можно ввести пальчиками, но нельзя paste что я обычно делаю если пароли слишком длинные. Это они тоже сваливают на кэш, но понять этого простым смертным никак невозможно. Отдельные случаи когда они запрещают paste на программном уровне.

В общем, как ночью по тайге.

[malyj-gorgan.livejournal.com]

> ... можно ввести пальчиками, но нельзя paste ...
Аргумент в пользу сценария номер один. То, что логнуться можно а деньги переводить нельзя — это очевидно, разные модели работают.
Заодно советую: никаких paste вообще, не переключаться между этим окном и другими, не делать окно слишком маленьким или слишком узким.

[ormuz.livejournal.com]

"странно",
ээээ, вы уверены, что эти плагины у вас не пытаются увести пароли/аккаунты, каким-нибудь перенаправлением на фишинговые сайты/етс?

[sydorov47.livejournal.com]

Я прямо сюда подключюсь, если не возражаете.
Разница в том, что банковские сайты, скорее всего, "опрашивают" броузер, и считают risk value - а другие сайты этого не делают.
Риск считается на основании того, что у вас стоит и откуда вы приходите.
К примеру, заход с VPN повысит risk value сразу. То же происходит с некоторыми плагинами. Я бы попробовал зайти выключая плагины по очереди.
Cut-n-paste тоже подымает risk value - потому что это похоже на то, как работают трояны.

Если есть броузер, который совсем без плагнинов - попробуйте его.

[ny-quant.livejournal.com]

См. update.

[ny-quant.livejournal.com]

Ждал и сутки и неделю - same shit. Захожу всегда из дома, с одного и того же IP.

Не понимаю что это за ML такой, что он видит правильный юзернэйм и пароль (что уже как бы двойная идентификация) со знакомого IP и в ответ просто наглухо блокирует.

Ну, положим, возникли в воспаленном электронном мозгу подозрения, что я злоумышленник, который хитро замаскировал IP а имя и пароль украл. Ну, пошлите мне что ли СМСку или имэйл. Почему сразу Access Denied?

[oldkettle.livejournal.com]

Хотел сказать, что если браузер Хром, то можно создать новый профиль и попробовать в нём (вроде бы, без плагинов), но это будет, вероятно, то же самое, что и анонимная сессия. Вообще, очень странно: чистка кэша должна эту проблему решать. У нас на работе есть корявый сайт, который молча выбрасывает обратно на логин, решается именно удалением файлов и кукиз этого сайта.

[http://users.livejournal.com/_glav_/]

люди опасаются государства, а пушной зверёк придёт от частных компаний.

[cryinstone.livejournal.com]

решается просто заходом из анонимного окна
cookies!

[ny-quant.livejournal.com]

Никаких cookies давно нет, они были стерты на первом этапе борьбы с этой чумой.

[cryinstone.livejournal.com]

Тогда, возможно, browser extensions, к-рые disabled в анонимном.
Некоторые расширения модифицируют траффик.

[polkovnik-isaev.livejournal.com]

Мой рабочий Citrix периодически перестает логиниться в обычном окне и надо заходить через анонимное. Потом у него это проходит. I don't even question it anymore.

[ak-47.livejournal.com]

Оказалось, что если набирать пароль руками, то анонимное окно открывать необязательно, дают зайти из обычного.

Может быть что при копи-пасте там захватился пробел или новая строка или ещё что? Поэтому пароль и стал неверным. Иногда когда у меня копи-паста не работает, то я проверяю копированием в Нотепад.

[ny-quant.livejournal.com]

При этом из анонимного окна этот гипотетический пробел нисколько не мешал.

[ak-47.livejournal.com]

Да, очень странно. Соглашусь с Плотником, возможно какой-то плагин мониторил копи-пасту и чего-то там делал. Спеллчекер, например. Хотя по идее должен быть умным и пропускать пароли/адреса/етц без изменений.

[place-of-pi.livejournal.com]

Интересный какой баг для банковского сайта.

Ну допустим:

1. Почистить все относительно этого сайта — cookie, local storage, session storage, trust tokens, etc и пробовать логиниться.

2. Выключать плагины по очереди и пробовать логиниться.

3. Попробовать залогиниться в другом браузере/устройстве.

Если 1 и 2 не сработает — я бы от излишней паранойи переустановил бы браузер и прошелся антивирусам(и) по системе.

А какой банк, хотя бы первую букву имени? (Chase, Citi, Capital One, Citizens будут неразличимы, но ладно) Хоть из первой десятки?

[ny-quant.livejournal.com]

C was one of them. Хотя сегодня они как раз работают. Виновник сегодняшнего торжества на букву S.

[ak-47.livejournal.com]

(произносится с китайским акцентом): Shitibank.

[place-of-pi.livejournal.com]

А по поводу update — если пароль не набирался руками, откуда он брался? Запомненный из браузера, взятый из сохраненного текста или менеджер паролей?

[ny-quant.livejournal.com]

Я записываю все пароли в текстовые файлы, которые хранятся на жестком диске. Оттуда я делаю copy-paste. Можете смеяться, я это заслужил.

[stumari.livejournal.com]

> если набирать пароль руками

почитал комменты и понял,
а до того мне хотелось спросить "а чем еще вы его набирали?" :)
("эй, не бросай трубку, думаешь, мне легко копытом номер набирать?")

кстати, еще где некоторые банки запрещают копипасту, так это номер счета, причем иногда его надо ввести дважды
вот какого хера?
дважды набирая ничего не значащие 10 цифр, я как раз с большей вероятностью сделаю ошибку (и не замечу), чем если копипейстну из файла (или другого окна браузера)