Наткнулся тут на статейку [ https://smart-lab.ru/blog/594140.php ] о том, как на чела взяли кредит после взлома учетной записи на госуслугах (честно говоря не понял как), но на всякий случай залез в раздел безопасности личного кабинета на оных и обнаружил интересную штуку - оказывается куче инф. систем предоставляется явно избыточная инфа - пример:
И т.д.
Там еще были страховые компании ..., у людей наверняка банковские есть.
Короче рекомендую проверить раздел в госуслугах ( ссылка - https://esia.gosuslugi.ru/profile/user/settings/permissions ) , кто даже вполне официально может по Вашим перс данным шарится ))
Потом не удивляйтесь "холодным и горячим", хорошо таргетированным прозвонам... есть стойкое ощущение не очень высокого уровня защиты с дисциплиной, как у ГБУ, так и у коммерсов. К последним так вобще какие вопросы... Люди деньги зарабатывают.
Не, такой хоккей цыфра нам не нужен ))
Конечно в личном кабинете госуслуг можно удОлить "разрешения", но думаю все уже собрано.
ИМХО единственное решение проблемы это открытие всех данных - заодно "информационную асимметрию" разрешит наконец, ради ее Величества Конкуренции так сказать... хотя есть варианты. Надо думать.
Комментарии
Бить *только* исполнителей, оставляя в тени *организаторов* — всё равно что носить воду в решете.
именно исполнителей, потому-что вне зависимости от организаторов исполнительть обязан иметь мозг. Хотя.. я в этих сортах говна не специалист, всей цепочке на лбу выжечь что доступ к информационным системам и вычислительной технике запрещён так-как являются умственно неполноценными с признаками социофибии и опасных асоциальных расстройств .
Ну и какого ляда вы репостите простыню отборной ахинеи, если не владеете матчастью.
Категории и конкретные данные далеко не всегда имеют видимую связь, из-за чего запрашиваются на первый взгляд "левые" категории. Кроме того, набор функций того или иного сайта обычно выше, чем "поставить галку", поэтому вписывают на первый взгляд абсурдные категории. Идите посмотрите на разрешения любого из аддонов браузера, подивитесь.
Что до скриптов, то на госуслугах грузится капча гугла и скрипт статистики. Оба не имеют никакого доступа к конкретным данным конкретного пользователя.
Ради чего вы тут разводите истерику - непонятно. Точнее, понятно, но вам же всё равно не заплатят.
ты идиот или прикидываешься?
всё о своих деньгах беспокоишся? Не переживай, корыто твоё, я не претендую.
ты код прочитал? Даже если прочитал, кто гарантирует что завтра по этому url'у будет ровно тот-же код? Для таких как ты я совершенно чётко указал, что имеют возможность, сторонние организации, это ясно?
иди-ка ты лучше сам.
Еще раз и медленно - скрипт капчи грузится лишь при восстановлении пароля, при этом он грузится на отдельном этапе, когда на странице нет никакой информации.
Другой скрипт, присутствующий на странице - <script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.1/jquery.min.js" integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8=" crossorigin="anonymous"></script>
Как нетрудно заметить, по crossorigin гуглу не передаются никакие параметры доступа, грузится обычный jquery, а для самого скрипта имеется контрольная сумма, т.е. подменить его не получится. Вы даже не потрудились посмотреть код страницы, одно кудахтанье.
ты действительно идиот.
при чём тут crossorigin, если загруженый скрипт внутри себя может содержать любой код. Вход выполни и убедись что эти скрипты подгрузаются, скрип после загрузки получает контроль над страницей и может делать любые другие запросы в интернет имея полный доступ к данным страницы.
ты деревянный что-ли? Ещё раз, для альтернативно-одарённых, код самого скрипта на текущий момент может быть действительно является JQuery, а завтра он таким уже может и не быть, он может быть любым.
код, который ты привёл
в теле страницы отсутствует. У меня, прям сейчас.
Не может: integrity="sha256-hVVnYaiADRTO2PzUGmuLJr8BLUSjGIZsDYGmIJLv2b8=" . При подмене файла браузер заблокирует загрузку и запуск подключенного js.
Потому что этот код инжектится в DOM js'ом с go-st.ru. Чтобы его обнаружить, надо смотреть не исходный текст страницы, а в режиме исследования элемента смотреть секцию head. Если не разбираетесь в теме - сидите молча.
да,да,да, про коллизии вы и не слышали, я понимаю.
Для подбора файла с коллизиями требуются тысячи лет вычислений всех мощностей гугла. В разработке профан, в криптографии ноль - сколько еще у вас граней таланта?
то же самое говорили про md5, sha1 и т.д. а теперь оба на картах и асиках подбирают за секунды. И это не имеет смысла обсуждать вообще, от слова совсем. Есть суть, сайт госуслуг подгружает недоверенный контент в страницу.
MD5 и SHA1 были представлены 30 лет назад. Завязывай, кукаретик.
что это меняет? Ты таблицу подстановок в sha256 осилил и можешь точно сказать почему она именно такая?
Или ты не заметил что скрипт там не один? Или то, что не все скрипты имеют хэш?
То, что это новый алгоритм, под который, несмотря на все усилия, за всё время нашли всего лишь три коллизии. И конкретно с ajax.googleapis.com грузится только один скрипт. Ты даже про DOM не знаешь, чего лезешь скорбным умишком в криптографию.
…но не только лишь все разработчики коммерческого ПО это *понимают*.
Какая прелесть…
Погромизды открыли для себя контрольные суммы.
Правда, в *нормальных* проектах уже давно принято их *подписывать*.
Но это — высшая математика. Доступная не только лишь всем.
Касперский, например, досейчас использует алгоритм MD5.
Вопрос: когда его выпилили в основных дистрибутивах?
Электронная подпись делает то же самое - формирует хеш по заданному алгоритму и ключу.
Просто прэлестно…
Вы сами не поняли как продемонстрировали бездны своей эрудиции.
Обожаю одноклеточных "экспертов", в любой непонятной ситуации скатывающихся на "ты идиот и ничаво нипанимаиш, иди учи матчасть".
Обожаю Мастеров проекции, способных делать безаппеляционные выводы на основании *любых* наборов исходных данных.
Рекомендую ознакомиться с матчастью, уделив особое внимание примеру. Попытка объяснения Вам различий между *подписью* и контрольной суммой вполне аналогична перспективой доведения до понимания воинствующих вендосектантов факта запрета парольного механизма авторизации.
Попытка объяснить при нулевом знании матчасти, и правда, обречена на провал.
Халва-халва.
Замечательная иллюстрация тенденции, формализованной доктором Йозефом: Вера в то, что многократное повторение *желаемого* утверждения превратит его в «медицинский факт».
Халва - не халва, но вот уже второй день я от вас ничего, кроме "ты ниправ, но пачиму ниправ - дагадайся сам" не слышу. Ну вот какой в этом смысл? Ощущать себя живым, притворяться, что вас слушают, создавать иллюзию общения? Такая борьба с одиночеством?
Нет на странице авторизации (esia.gosulugi.ru) и после входа на главной (gosulugi.ru) в исходном тексте страниц слов google, gu-st, go-st, только мс.яндекс и тот у меня давно зарезан для ускоренья.
А вот зачем автор статьи подсунул нам всем тот счётчик?
https://esia.gosuslugi.ru/profile/user/settings/permissions?fbclid=IwAR0... - ???
"С середины октября 2018 года Facebook начал добавлять параметр fbclid к исходящим ссылкам, размещенным в социальной сети."
Спасибо за инфо. У меня в списке была организация, которой точно не давал никаких доступов. Теперь буду чаще туда наблюдать.
не лгите, давали, причём явным образом выразив своё согласие на сайте госсуслуг, нужно просто быть внимательнее
Ну да. В точности как Вы — добровольно [и с песней] принимая лицензионное соглашение майкросовт выньдоуз (потому что ни на чём другом не работает предписанная программа/сервис).
Собраться что ли выложить снимок экрана примерно двухлетней давности. По результатам проверки в феврале сего по крайней мере для юридических лиц ситуация не поменялась.
можно пример сервиса где не предусмотрена авторизация без госуслуг(кроме roi, но там оправдано)? опять таки вы без этой услуги с голоду умрете или какую ещё базовую потребность она удовлетворяет?
сравнение кстати не корректное, на госсуслугах при выдаче прав чётко написано кому и какие права вы предоставляете, символов 300 текста, тч уж это осилить может каждый
Мос.ру для доступа к электронной медкарте теебует привязать акк к госуслугам.
До этого такого не требовалось. ( Получал загран паспорт: оформился на госуслугах, записался на получение через мос.ру)
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
А эти данные там сами по себе там есть или их надо вводить? Както давнодавно регался там, так вводил только паспорт, прописка и снилс, остальное не заполнял. Или я не понял опчем речь?
без этого минимума не зарегистрируют, но полный профиль содержит очень много чего - вполне возможно вплоть до оценок в электронных дневниках у детей и информации о вакцинации
Попробовал посмотреть на страницу входа и очень порадовался…
В воспитательных целях *необходимо* разместить с регулярным обновлением *все* ПД *всех* лиц, причастных к разработке и внедрению этого ресурса в открытом доступе.
На крумлин.ру.
Ибо велик и могуч руссий язык… но и его здесь мало.
Проблема не решаема, тут стоит обсуждать использование и возможность опубличивания в принципе... сохранить эти массивы особенно в целевой модели с "платформами" и "маркетплейсами" ИМХО очень сложно.
Без согласования формулировки задачи и критериев оценки получится голая схоластика.
Здесь я говорю *только* об использовании *парольного* (!) механизма авторизации для авторизации на откротом множестве ресурсов.
Это — аут. Причём полный.
Ну а в остальном — классическая дилемма.
как бы заиметь профиль хронического неплательшика по кредитам, алкоголика и бомжа трижды судимого за насилие над жирафами в извращенной форме... ну чтоб не звонили..
Чего за вибер-кошелек в этом списке у людей???
Есть подробности? как строчка выглядит точно?
Спасибо...надо посмотреть настройки..
Вот он пароксизм страсти, вот он накал дофаминового укола! Загнали барашков под лозунгом : "Вам жешь так удобненько" в загончик и они Бэ-бэ-бэ....заблеяли.
Вам удобненько расплачиваться картой, мобилкой, покупая в магазине мороженку? Вам удобненько одним кликом, всего в один клик сделать что угодненько, а с госуслуг немедленно совершить покупочку квартирки-безнеёникакуженевтерпёжнисекунды ? Так не блейте бараны, что Вам теперь неудобненько. Ибо баранам в своё будущее даже на час заглядывать неудобненько...
Баранам в стойло и стать кормом.
Настоящие бараны- животные- вполне себе достойное животное, вызывающее уважение способностью жить на планете вполне себе прекрасно в полной гармонии с ней, когда хомодебилов на ней уже не останется.
Страницы