Вспомнилось вот.
Thursday, May 19th, 2005 07:32![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
kastanedaСтарая версия моих рассуждений (уже неактуально)
Сейчас у меня несколько иное мнение.
Терпеть не могу WebMoney и PayCash. На это у меня более чем достаточно причин, о которых простые виндовые юзеры не задумываются.Применение веб-интерфейса (вроде WM Keeper Light) означает, что я доверяю всё содержимое счёта владельцам системы, не оставляя у себя «на руках» никаких подтверждений того, что у меня есть на счету. Выводы.
В том виде, в котором сейчас представлены популярные системы электронных платежей, они не вызывают доверия. Они не могут применяться для достаточно серьёзных применений. Вряд ли эти системы получат широкое распространение среди тех, кто задумывается об информационной безопасности. Это — рынок ламеров и разнообразных Кис-Куку.
- Как WebMoney, так и PayCash требуют винду для клиентского ПО. Пользователи Linux'а, FreeBSD и Mac OS X гуляют лесом. Насколько я понимаю, портировать «кошелёк» — задача достаточно простая, вот только делать этого разработчики по какой-то причине не хотят. (А я, в частности, не хочу доверять свои деньги операционной системе, в надёжности которой я сильно сомневаюсь).
- Исходники клиентского ПО закрыты (что исключает портирование этого добра своими силами) и являются обычным пропиетарным продуктом. Я не знаю, какие ежовые трояны могут сидеть внутри, я могу только принять на веру их agreement. Если у меня на ПК важная информация (допустим, убытки от её потери «влетят» в $2000), то запускать на том же ПК неизвестно какую софту для управления счётом, на котором каких-нибудь $100 или $500 валяются, для меня будет неоправданным риском.
- Протоколы клиент-серверного взаимодействия обоих систем (и WebMoney, и PayCach) закрыты, что исключает:
- написание своей софты для работы с этим протоколом,
- аудит протокола на предмет криптостойкости (действительно ли всё так надёжно, как реклама говорит?)
- независимый аудит в конфликте пользователя системы и владельцев системы (я утверждаю, что на счету должно быть $100, а мне говорят, что на счету 0 — как доказать правоту какой-то стороны, если вся «внутренняя кухня» известна только разработчикам системы?)
В том виде, в котором сейчас представлены популярные системы электронных платежей, они не вызывают доверия. Они не могут применяться для достаточно серьёзных применений. Вряд ли эти системы получат широкое распространение среди тех, кто задумывается об информационной безопасности. Это — рынок ламеров и разнообразных Кис-Куку.
Сейчас у меня несколько иное мнение.
no subject
Date: Thursday, May 19th, 2005 07:34 am (UTC)no subject
Date: Thursday, May 19th, 2005 08:50 am (UTC)no subject
Date: Friday, May 20th, 2005 05:06 am (UTC)no subject
Date: Friday, May 20th, 2005 08:56 am (UTC)no subject
Date: Thursday, May 19th, 2005 07:39 am (UTC)тут нормально через бровсер.
no subject
Date: Thursday, May 19th, 2005 08:50 am (UTC)no subject
Date: Thursday, May 19th, 2005 09:00 am (UTC)я в линуксах и в фаерфоксе и в конквероре роботает.
no subject
Date: Thursday, May 19th, 2005 09:15 am (UTC)Ограниченность встроенных сервисов и функций: отсутствует поддержка кредитных операций, нет функции активации, нельзя использовать сервис "WM-переводы по е-mail".
Так или иначе, речь не о том. Повторюсь, использование веб-интерфейса не даёт мне никаких гарантий, что деньги с моего счёта никуда не денутся.
no subject
Date: Thursday, May 19th, 2005 09:20 am (UTC)no subject
Date: Thursday, May 19th, 2005 01:30 pm (UTC)no subject
Date: Thursday, May 19th, 2005 02:22 pm (UTC)no subject
Date: Thursday, May 19th, 2005 07:48 am (UTC)Точно также работая в конторе по найму ты доверяешь владельцу конторы - может же и не заплатить.
Точно также идя по улице - ты доверяешь ментам, что они очистили город от гопников и т.п.
В общем - параноя вещь нужная, но...
Есть простое правило - если расходы на взлом превышают доходы от него - взлома не будет.
С твоего счета в webmoney украдут сотку-другою. А потери их от твоей ... ну скажем "ругани на эту тему" будут несоизмеримо большими. Особенно если ты будешь не один такой.
no subject
Date: Thursday, May 19th, 2005 08:40 am (UTC)Лицензия на банковскую деятельность - это намного серьёзнее, чем просто застрахованные (!) вклады. См., как организована деятельность WebMoney.
Кроме того, если речь идёт не о карточках и банкоматах (которые простой человек не сможет «на коленке» проверить на предмет корректности работы), есть ещё и традиционные способы общения с банками. Договора, квитанции, всё с печатями и подписями клиента, с предъявлением документов и тому подобными средствами, которые могут быть, например, проверены при экспертизе в суде (например, что данный документ действительно напечатан на таком-то хитром бланке, и печать на нём подлинная).
Точно также работая в конторе по найму ты доверяешь владельцу конторы - может же и не заплатить.
Может, но на это есть КЗоТ, трудовые договора (в двух экземплярах) и многое другое.
Яркий пример: если я устроился работать без трудовой и договора - ССЗБ. Если с договором - другое дело. Если я работаю грузчиком и расчёт за работу происходит ежедневно, то я рискую только зарплатой за один рабочий день. Если же я подпишу контракт на несколько лет - то я этот контракт буду внимательно читать.
Аналогичная фигня, как с грузчиком... Если мне надо на счету держать $10..$100 для мелких расчётов, то это одно дело. Если же я собираюсь рассчитаться через WebMoney на довольно крупную сумму, то... то, скорее всего, стоит поискать альтернативные пути трансфера денег.
Точно также идя по улице - ты доверяешь ментам, что они очистили город от гопников и т.п.
Если мент нарушает закон - на него (по крайней мере, теоретически) можно подать в суд. На практике, конечно, всё не так, как в теории. Но в случае с электронными платёжными системами даже в теории всё хреново.
no subject
Date: Thursday, May 19th, 2005 08:10 am (UTC)Пардон, но ты совсем гонишь.
Date: Thursday, May 19th, 2005 08:48 am (UTC)2. Работа под Wine не гарантируется. Они не несут ответственности за то, что их софт под Wine отмочит. J2ME кошельков не видел.
3. (Самое главное) Закрытые протоколы ничего не защищают!
Ты пишешь:
Именно это защищает электронные единицы учета, которые храняться на стороне клиента. Иначе каждый смог бы положить себе в кошелек необходимую сумму.
А вот теперь подумай. Если на уровне протокола нет защиты от хакера с дебаггером, то все пользователи WebMoney/PayCash уязвимы. Они, видишь ли, соблюдают все действия, а тут один Вася Пупкин взял и повалял всю систему.
Подумай ещё раз. По-твоему, состояние счёта - это как запись в реестре винды, просто спрятать его получше и никаких проверок транзакций? Хакер Вася исправит значение $10 на $10000 и будет ему счастье, так, что ли? А, пардон, на кой нужен мат.аппарат ЭЦП? На кой старались спецы из PayCash, когда делали систему неотслеживаемых платежей по blind signature? Эти все задумки делают систему надёжной на уровне протокола.
Но вся эта прелесть закрыта кучей agreement'ов. Я могу только на слово верить PayCash'у, что в файлах электронного кошелька не лежит ничем не подкреплённая сумма.
Повторю ещё раз: security by obscurity не работает.
Пардон, но ты совсем гонишь.
Кошельки WM и PC не хранят деньги. Нет понятия "электронные деньги" в Украине. Они хранят единицы учета, которые в свою очередь могут представляться в виде имущественных прав и т.п. в зависимости от юридической схемы. В суд ты можешь понести бумажки о вводе/выводе денег (оно же - покупка прав). В случае проблем с самими "деньгами" ты можешь апеллировать к системе электронных платежей с помощью электронных квитанций. Их достоверностью занимается СЭП. А СЭП в свою очередь сильнее заинтересован в доверии к себе, чем ты в своих деньгах.
Не доверяешь - не пользуйся системой. Или выводи деньги сразу после получения.
Как минимум защищаю права на протоколы.
Re: Пардон, но ты совсем гонишь.
Date: Thursday, May 19th, 2005 10:09 am (UTC)Правильно. Откуда я возьму те самые электронные квитанции, когда пользуюсь удалённым кошельком через веб-интерфейс?
>> Закрытые протоколы ничего не защищают
> Как минимум защищаю права на протоколы.
Какие, блин, права? Авторские? Так авторские права являются неотчуждаемыми. Право на использование этого протокола? Право на анализ, что, собственно, мне подсунули в красивой обёртке?
no subject
Date: Thursday, May 19th, 2005 08:18 am (UTC)no subject
Date: Thursday, May 19th, 2005 08:52 am (UTC)Задолбали топ-менеджеры с чисса пасанскими замашками.
"Мнение у дятла всегда отрицательное" =)
Да ну?
Date: Thursday, May 19th, 2005 02:14 pm (UTC)Вот здесь: http://www.webmoney.ru/pfdevelxml.shtml - есть описание всех интерфейсов, необходимых и достаточных для написания своего софта для работы.
"Насколько я понимаю, портировать <кошелёк> - задача достаточно простая" - дык, do it yourself! Хотя бы, используя упомянутые интерфейсы. Можно вообще написать столь любимый юниксоидами command line клиент. А его исходники можно будет сделать open source, и получить огромное моральное удовлетворение!
Ну и наконец, если у вас на компе есть что-то более важное, чем "$100 или $500" электронных денег, и при этом вы этой платежной системе не доверяете - вы просто не их клиент, и "терпеть не могу" - взаимное.
Re: Да ну?
Date: Thursday, May 19th, 2005 02:27 pm (UTC)Спасибо, буду читать.
А про "доверяю/не доверяю" - речь шла про доказуемость (или недоказуемость) транзакций. Согласитесь, что "верить на слово" в вопросах надёжности платёжной системы (протокола обмена, клиентов etc) — это далеко не всегда приемлимо.