Внешние скрипты с доступом к вашим кредиткам и личному кабинету

Мы в деревне Решеты давно это знали)

ой да ладно, они уже знают твой пароль на выходе из банка, сбербанк например, когда после получения карты на выходе к тебе обращается типа менеджер со словами, а сейчас мы вам активируем карту и подключим все сервисы, вбивает в непонятный планшет все данные карты и номер телефона, а потом просит ввести пароль от карты для активации, я однажды испортил настроение такой мадаме, послав лесом в последний момент.

ша бля как скриптану! а по теме - а ведь чувак прав. Наберут долбоебов по обьавлению серифицырованых но нихуя нешарящих в проблеме. Скоко я таких повстречал? Имя им легион.

Одно дело у себя на компьютере все это делать, а другое это пропустить через сервер оператора.
По мне так это все хуйня.

Цитата (пусто @ 28.09.2017 - 18:01)

Цитата (blow05 @ 28.09.2017 - 17:50) Цитата (пусто @ 28.09.2017 - 16:49) Цитата (Goldfray @ 28.09.2017 - 17:16) Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои. если бы вот так же легко можно было бы обмануть DNS удаленного компа, тогда да, тогда это реально дыра. А таком виде: я вот обманул свой браузер и узнал свои данные, это паранойя. МТС достаточно мониторить скрипт на гугле от изменений. А боязнь гугловского програмера это 5. Программеров мтс которые написали страницу автор не боится, а програмеров гугла, которые только через скрипт лезут, боится. Л - логика, блядь. подсунуть тебе левый DNS не очень сложно. сотни тысяч зараженных hosts файлов в данный момент в подтверждение Серьезно, прям влегкую? Даже с учетом того, что 99% пользователей юзают DNS прова или еще какой взрослой конторы? Можно вопрос, почему я за 15 лет в инете ни разу не попал вместо гугла к какому-нибудь хакеру в комп, если все так печально и поменять DNS на моем компе совсем не сложно? Кто то ж за это время чисто из интереса ломанул бы.

А теперь давайте представим, что злоумышленник админ в конторе, где работает 1000+ человек! И имеет доступ и к proxy и к внутреннему DNS )))

Блин, если так параноить, то предлагаю копипасте деньги с карты снимать только в кассе по паспорту, никаких банкоматов! оплачивать в интернете только если на сайте эквайринг от твоего банка, а то мало ли, ты другому банку свой номер карты дашь

Отправлено с мобильного клиента YAPik+

Цитата (MADPATRIOT @ 28.09.2017 - 17:34)

ну спасибо пилядь, моя паранойя схватила очередной приступ, а вообще в интернете своими данными стараюсь не разбрасываться исключение сделал для "госуслуг" т.к была необходимость(

если ты это сделал из гугл хром то твои данные есть у АНБ.

Дело в том, что на сервера гугла утекают вообще все приватные данные, включая отпечатки пальцев, если у вас есть для этого сканер (например в телефоне). Часто пользователь ставит галочку - запомнить пароль, в этом случае пользователю дают попользоватся этими данными.
С появлением в телефонах доступа во "фейсу" в АНБ утекают не просто отпечатки, а буквально биометрические данные пользователей которые однозначно могут быть верифицированы автоматическими поисковыми системами (читай любой видеокамерой) можно смеяться над этой "шуткой", но вот проблема - это правда.

Это сообщение отредактировал ТоптуновПотапов - 28 сен. 2017 г. в 23:41

Цитата (fleaper @ 28.09.2017 - 22:13)

Блин, если так параноить, то предлагаю копипасте деньги с карты снимать только в кассе по паспорту, никаких банкоматов! оплачивать в интернете только если на сайте эквайринг от твоего банка, а то мало ли, ты другому банку свой номер карты дашь Отправлено с мобильного клиента YAPik+

Я для себя этот вопрос давно закрыл с помощью виртуальной визы от своего же банка.
Если мне нужно что-то платить в интернете, то я перевожу на карту ровно ту сумму которая требуется для оплаты, внутри банка такой перевод проходит за пару минут.
Всё остальное время на этой карте строго 0 денег.
Если с неё начинают пытаться снимать деньги левые сайты - закрываю эту карту и открываю следующую.

Такой функционал есть у многих адекватных банков, нужно только уделить этому вопросу немного времени.

Баян,не? http://www.yaplakal.com/forum18/topic1605715.html

Цитата (mamutas @ 28.09.2017 - 23:35)

Баян,не? http://www.yaplakal.com/forum18/topic1605715.html

Это да, его предыдущее сообщение.

Расскажу подробнее немного: это мы делаем для МТС платежную форму и да, это мы вставили туда гугл аналитику по просьбе МТС, которые хотели анализировать поведение пользователей на форме оплаты.
Увидев письмо от МТС к нам, мы проконсультировались у аудитора, мы как раз подтверждали соответствие стандартам PCI DSS 3.2, и он сказал, что проблема, цитирую "не стоит выеденного яйца", поскольку данные аналитики настолько уже автоматизированы и разбиты, что ни один сотрудник не соберет их в кучу, а из них уже данные держателей карт (ДДК).
Но так как МТС-у данная аналитика была уже не нужна, мы ее удалили с формы, и теперь вы можете платить совершенно безбоязненно :)
А так, конечно, любой человек между вами и сайтом, который вы открываете, может подменить любой скрипт, являясь администратором домена, вай-фай роутера, маршрутизатора у провайдера и так далее. Никто не защищен и не застрахован. Другое дело, что это никому не нужно :) Но это совсем другая история ;)

Наверное, это наивно,просто я ни хера не понимаю.
Господа.
Но я плачу через Касперского.За телепон,ща все остальное
На отдельной странице..
Не знаю помогает это или нет?
Есть последователи?

Если что заявление сразу пишешь и всё.

Отправлено с мобильного клиента YAPik+

ТС играет на хайпе.
на том же гиктаймс уже разобрали, что все вышесказанное - бред идиота

Цитата (KoFFkin @ 29.09.2017 - 00:03)

ТС играет на хайпе. на том же гиктаймс уже разобрали, что все вышесказанное - бред идиота

Абсолютно в дырочку :)

Автор позвольте узнать вашу компетентность в данном вопросе. Вас что смутило ? Почитайте как работает https, для начала. У меня реально ощущение, что вы только научились пользоваться dev режимом. Покажите мне сайт оплаты где все через статику рабоьает. Хайп на ровном месте

Отправлено с мобильного клиента YAPik+

Это сообщение отредактировал maktorin - 29 сен. 2017 г. в 00:10

Цитата (JohnWarner @ 28.09.2017 - 18:51)

В Опере прикол с Shift+Ctrl+J тоже работает, подтверждаю. Кстати, насчёт Оперы, вот что ещё: так как в ней встроены инструменты разработчика по умолчанию, можно вообще чудеса со страницами творить. Не реклама, а констатация факта. ТСу зелени отсыпал. На скриншоте показаны скрипты ЯПа.

Можно. Но эти "чудеса" будут работать только на твоём компьютере. На сервере ты ничего не изменишь, наивный.

Это сообщение отредактировал Realist007 - 29 сен. 2017 г. в 00:21

Цитата (Realist007 @ 29.09.2017 - 00:19)

Цитата (JohnWarner @ 28.09.2017 - 18:51) В Опере прикол с Shift+Ctrl+J тоже работает, подтверждаю. Кстати, насчёт Оперы, вот что ещё: так как в ней встроены инструменты разработчика по умолчанию, можно вообще чудеса со страницами творить. Не реклама, а констатация факта. ТСу зелени отсыпал. На скриншоте показаны скрипты ЯПа. Можно. Но эти "чудеса" будут работать только на твоём компьютере. На сервере ты ничего не изменишь, наивный.

Вот и афтар сам себе злобный Буратино, изменил скрипт на локальной машине и собирает сам себе карточные данные. Несколькими комментариями выше я написал, что администратор сопрет у вас всё, и вы даже не заметите этого, но! Никому это не нужно. Западу, на котором находится штаб-квартира Гугла, ваши Российские карточки ни к чему. Они ими пользоваться не умеют :)))

Обратите внимание, какая тонкая тролялятина компании Билайн
Типа речь про скрипты, но как бы не в значай, а давайте возьмем Билайн

Да не, он по всем прошелся, про Билайн вы зря :)

Мне кажется, что операторы просто не подумали о возможной утечке, статистика нужна, вот Метрику с Аналитикой и вотнули. В общем обычное распиздяйство и все.

Не совсем так. Нужна не статистика. Дело в том, что в последнее время на рынке борются не за клиента, а за постоянного клиента. И чтобы его привлечь, нужно изучить его с ног до головы. И именно для этого существуют скрипты аналитики. Чтобы посмотреть, как человек реагирует на разные способы подачи информации и потом ему предоставить именно тот вариант, который будет выгоден Яндексу, Мейл ру, Гуглу и пр.

Яровая приде, порядок наведе..

Цитата

...нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого не должно быть никаких «чужих» адресов, только принадлежащие тому ресурсу, на котором вы находитесь.

Проделал я это прямо на этой же странице ЯПа, и столько всякого говна повылазило. А я потом удивляюсь, почему, когда читаю его с телефона, у меня памяти не хватает и браузер вылетает.

не ввожу никогда данных . плачу только через пай пал . если его нет , то нах покупку .

Не совсем понял, что происходит, на всякий случай вздрочнул!

Отправлено с мобильного клиента YAPik+