Using free public WiFi - real risk vs BullS..t

[ExOrientalem]

лучше включить авто-депозит, потому что в этом случае деньги сразу идут на мой счёт, а письмо присылается лишь о подтверждении этого факта, и перенаправить их в другое место уже не получится, пусть даже мои письма перехватывают.

Наверное так. Но это подразумевает, что ваш почтовый сервер получит и "переварит" то самое сообщение до того, как это сделают хакеры.

[Waterbyte]

Но это подразумевает, что ваш почтовый сервер получит и "переварит" то самое сообщение до того, как это сделают хакеры.

представляю, как голодные хакеры сидят наготове перехватить сотню долларов, отправленную интераком...

[alpax]

Повторю ещё раз: в интересах отправителя.

Автодепозит - в моих интересах, как получателя. Кто там отправляет и зачем - пофиг. Оно - моё!

Наверное так. Но это подразумевает, что ваш почтовый сервер получит и "переварит" то самое сообщение до того, как это сделают хакеры.

Какая разница? Письмо интераком отправляется уже после того, как деньги зачислены на мой счёт, так что скорость почтового сервера, и кто получит это письмо, уже абсолютно ни на что не влияют.

[ExOrientalem]

Повторю ещё раз: в интересах отправителя.

Автодепозит - в моих интересах, как получателя. Кто там отправляет и зачем - пофиг. Оно - моё!

Если посмотреть выше какой вопрос был задан, то можно констатировать, что вопрос был про контрольные вопросы и ответы.

Какая разница? Письмо интераком отправляется уже после того, как деньги зачислены на мой счёт, так что скорость почтового сервера, и кто получит это письмо, уже абсолютно ни на что не влияют.

А вот этого я, честно говоря, не знаю. Если автодепозит подразумевает, что банк получателя информируется постфактум, то есть обработка запроса происходит внутри Интерака без участия банка, то да.

[alpax]

Какая разница? Письмо интераком отправляется уже после того, как деньги зачислены на мой счёт, так что скорость почтового сервера, и кто получит это письмо, уже абсолютно ни на что не влияют.

А вот этого я, честно говоря, не знаю. Если автодепозит подразумевает, что банк получателя информируется постфактум, то есть обработка запроса происходит внутри Интерака без участия банка, то да.

Тут важно то, что в данном случае сам перевод происходит исключительно внутри системы, и как именно, и когда информируется банк - вообще не связано с письмом. Email - лишь уведомление пользователя о факте депозита на счёт.

[Waterbyte]

на мой взгляд, автодепозит получателя - этог гораздо более надёжная защита отправителя, чем дурацкие вопросы и ответы, пересылаемые по имейлу. в этом случае отправитель может пострадать лишь в том случае, если отправил платёж не на тот адрес, на который собирался.

[ExOrientalem]

Так в том-то и дело, что это случается достаточно часто: и ошибки отправителя (не на ту строчку в списке нажал), и ошибки получателя: ошибся в написании адреса (когда сообщал) и т.п. Или варианты и сочетания вышеуказанного.

[Stanislav]

Вот обьясните мне, как можно спереть пароль и прочее если траффик SSL? Оно же шифрованное все!

Если хотите - объясню
Но если в двух словах - не нада пользовать бесплатный Вай-Фай - это не тот случай, когда копейка рупь бережет - у вас же есть нофелет
П.С. банк вам, конечно, деньги заретурнит, но оно вам надо - этот гемор?

[Stanislav]

Упдате - "не нада пользовать бесплатный Вай-Фай" для чего-то важного, и.е. для порнушки сойдет

[Vovchik]

Вот обьясните мне, как можно спереть пароль и прочее если траффик SSL? Оно же шифрованное все!

Если хотите - объясню
Но если в двух словах - не нада пользовать бесплатный Вай-Фай - это не тот случай, когда копейка рупь бережет - у вас же есть нофелет
П.С. банк вам, конечно, деньги заретурнит, но оно вам надо - этот гемор?

Обьясни. Все что могу себе предстваить- жулик организовал хот спот. Ты к нему подключился. У жулика ДНС - левый. Пишешь - cibc.com. А твой траффик направляют на клон - левый вебсайт который выглядит как сибс. Но - если там просто ХТТП - без С - то браузер ругнется. А если есть ХТТПС - то сертификат некошерный и браузер ругнется опять. Какой вектор атаки то?

[Stanislav]

Вот обьясните мне, как можно спереть пароль и прочее если траффик SSL? Оно же шифрованное все!

Если хотите - объясню
Но если в двух словах - не нада пользовать бесплатный Вай-Фай - это не тот случай, когда копейка рупь бережет - у вас же есть нофелет
П.С. банк вам, конечно, деньги заретурнит, но оно вам надо - этот гемор?

Обьясни. Все что могу себе предстваить- жулик организовал хот спот. Ты к нему подключился. У жулика ДНС - левый. Пишешь - cibc.com. А твой траффик направляют на клон - левый вебсайт который выглядит как сибс. Но - если там просто ХТТП - без С - то браузер ругнется. А если есть ХТТПС - то сертификат некошерный и браузер ругнется опять. Какой вектор атаки то?

А почему сертификат некошерный?
Сайт левый - т.е. он твой - Лет'с Енкрипт лихо выпускает тебе настоящий сертификат без всяких проверок
https://letsencrypt.org/

П.С. вообще я не это имел в виду...

[Vovchik]

Вот обьясните мне, как можно спереть пароль и прочее если траффик SSL? Оно же шифрованное все!

Если хотите - объясню
Но если в двух словах - не нада пользовать бесплатный Вай-Фай - это не тот случай, когда копейка рупь бережет - у вас же есть нофелет
П.С. банк вам, конечно, деньги заретурнит, но оно вам надо - этот гемор?

Обьясни. Все что могу себе предстваить- жулик организовал хот спот. Ты к нему подключился. У жулика ДНС - левый. Пишешь - cibc.com. А твой траффик направляют на клон - левый вебсайт который выглядит как сибс. Но - если там просто ХТТП - без С - то браузер ругнется. А если есть ХТТПС - то сертификат некошерный и браузер ругнется опять. Какой вектор атаки то?

А почему сертификат некошерный?
Сайт левый - т.е. он твой - Лет'с Енкрипт лихо выпускает тебе настоящий сертификат без всяких проверок
https://letsencrypt.org/

П.С. вообще я не это имел в виду...

Дык сертификат то будет выписан там на Putin.net а не на cibc.com. Тут браузер и ругнется, разве не так? Ну а какой еще вектор атаки?

[Stanislav]

Дык сертификат то будет выписан там на Putin.net а не на cibc.com. Тут браузер и ругнется, разве не так? Ну а какой еще вектор атаки?

Ну... никто не мешает фейковый сайт назвать c1bc.com - уверяю, в телефоне этого никто даже не заметит.
Но, я не об этом - фейковый хот спот - это как-то не шибко... Ведь обычно пишут - наш хот спот ХХХХХ и пароль к нему Интернет123.

Я бы сделал так.
Пре-Скриптум - я никогда не ломал вайфаи - все системы разные, могут работать по разному.
1. Если это задрипаный кабачок с 13 стульями и собственным девайсом, то можно попробовать дефолт пароль на админ аккаунт.
И вот тут-то нам карта и попрет

2. Если не получилось, ИП-шники в таких вайфаях раздаются ДХСП - я бы сделал фейковый ДХСП сервер и начал бы раздавать ИП-шники с гатевеем на себя любимого. На своем компе организовал бы виртуальный файрвол с ССЛ инспекшн.
Как работает ССЛ инпекшн? Фарвол прикидывается дестинешеном для всех вебсайтов и отвечает клиенту от имени вебсайта.
При этом файрвол на лету выпускает ССЛ сертификат (законный, подписанный сертификатом файрвола) для дейстинейшн вебсайта, потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.
т.е. трафик идет так:
клиент -> внутренний интерфейс файрвола с ССЛ на выпущенном на лету сертификате -> расшифрованный трафик внутри файрвола, который можно дампить -> внешний интерфейс файрвола, который мейкает ССЛ запросы к реальному вебсайту и получает его ответы -> расшифровывает ответы -> снова дамп внутри файрвола -> отправляет ответ клиенту, используя коннект с ССЛ на выпущенном на лету сертификате.

Ну, карочи, ты понял...
Если невнятно объяснил - сорри, РТФМ

[Marmot]

потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.

ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...

[Stanislav]

потому что у файрвола есть сертификат с бейсик констрикшеном, где написано СА = труе (именно для ССЛ инспекшн), т.е. файрвол является sub-CA authority по выпуску сертификатов и этот его сертификат выпущен официальной СА, которая присутствует в Винде по умолчанию.

ну-ну, попробуй таким образом сделать сертификат для google.com например, и посмотри, что получится...

Ну вот как наш ССЛ инспекшн работает:
П.С. извини - фром скратч делать - многа батонов надо жать
и картинко тоже приаттачить не могу, а своих вебсайтов у меня сейчас нет...

Код: Выделить всё

Common Name (CN)	www.google.com
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>

Common Name (CN)	checkpoint.ltsa.ca
Organization (O)	<Not Part Of Certificate>
Organizational Unit (OU)	<Not Part Of Certificate>