Каждое физическое лицо и каждая организация должны будут заранее — при заполнении анкеты на открытие счета в банке — указать, с какого IP-адреса они собираются заходить в интернет-банк

отметили
116
человек
в архиве
Российские пользователи интернет-банкинга как-то совсем распустились. Заходят, понимаешь, в аккаунт из разных мест, с разных компьютеров и через разные точки доступа — не уследишь! Пора этот бардак прикрыть, решил Центробанк и подготовил проект указания к положению об идентификации банковских клиентов, уникального даже для наших чиновников.

Если указание утвердят (а сомневаться в этом сложно), то каждое физическое лицо и каждая организация должны будут заранее — при заполнении анкеты на открытие счета в банке — указать, с какого IP-адреса они собираются заходить в интернет-банк. Кроме того, требуется сообщить и MAC-адрес каждого устройства, с которого будет происходить работа со счетом.

Если вы немного разбираетесь в сетевых технологиях, то наверняка решили, что я сошел с ума или что-то напутал. Вовсе нет, все ровно так: необходимо сообщить банку «9. Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых физическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным физическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг». Для организаций — то же самое.

Специалисты, пропустите пару абзацев и придите в себя, а я пока расскажу, в чем тут дело, нормальным людям, не обремененным лишними знаниями о сетях (тем более что объяснять я буду «на пальцах», не совсем правильно, но зато доступно).
Добавил Alexei Alexei 12 Октября 2012
Комментарии участников:
shuron
+2
shuron, 12 Октября 2012 , url
Подвяжу ветку на тему.
П.С. подвяжу сорс :
Leander
+35
Leander, 12 Октября 2012 , url
127.0.0.1

reckroot
+1
reckroot, 12 Октября 2012 , url
Нет хоста лучше локалхоста (;
НОПАК
0
НОПАК, 12 Октября 2012 , url
255.255.255.0

или еще круче: 192.168.1.1

Кстати, MAC-адресс тоже можно изменить. Такое впечатление, что они очень хотят чтобы их грабанули. Определить статический IP (да и динамический тоже) и MAC любой жертвы — как два пальца об асфальт. Нужно написать ему письмо, в котором указать ссылку, на которую ему нужно ткнуть. Далее всё сделает скрипт на сервере. После чего, можно будет заходить в банк, там тебя примут как родного:(
pomorin
0
pomorin, 13 Октября 2012 , url
МАС адрес дальше своего роутера не уходит. Они там в ЦБ, если это не утка…
В IPv6 МАС адрес может присутствовать, но до него «спецам» из ЦБ как раком до Пекина.
НОПАК
0
НОПАК, 13 Октября 2012 , url
Уходит дальше роутера. Хотя, конечно, МАС используется в основном в локальных сетях. А определить его можно средствами операционной системы сервера, т.е., средствами, например, php его не определить (не уверен, сейчас уже 5.4.7, а я с 5.0 еще толком не разбрался, может там что-то и есть). Но, судя по всему, это геморрой для нормального человека, а для хакера — это радость жизни.
pomorin
0
pomorin, 13 Октября 2012 , url
МАС адрес имеет хождение в пределах сегмента сети, как физический адрес устройства. Уровень соединения, даже до транспортного не дотягивает. Он нужен, грубо говоря, чтобы свичи разбирались, кто где сидит и для (R)ARP'а, который дальше подсети не выходит. Это для IPv4. В IPv6 он может использоваться для генерации адреса в ряде случаев. Тогда его легко вычислить из IPv6 адреса.
И зачем он хакеру из другого сегмента сети — не знаю. Разве что продать другому хакеру с того сегмента. :)
НОПАК
0
НОПАК, 13 Октября 2012 , url
Вы правы. МАС нужен только для идентификации машины. В любой системе есть протокол(журнал). Когда вы отправляете с анонимного прокси письмо в Пентагон, что там заложена бомба, то последним звеном в этой цепочке как раз и является МАС. А далее, смотрят, кто в это время сидел за этим компом. Это чистая формальность.
pomorin
+1
pomorin, 13 Октября 2012 , url
МАС — часть уровня соединения (Data Link) сетевой модели. Грубо говоря — физический уровень. Media Access Control. Грубо констатируя, у свича/роутера памяти не хватит, все МАСи хранить, да еще с запоминанием времени. :) И, во — вторых, в Пентагоне (ЦБ) МАС адрес, как бы не хотели, увидеть не смогут — он нигде, кроме IPv6, в TCP/IP пакете не присутствует. :)
Для «идентификации машины» — грубо говоря, на какой порт свич должен поток байтов посылать или чтобы показать все соседние компьютеры в «Сетевом окружении». Не больше.
НОПАК
0
НОПАК, 13 Октября 2012 , url
Я ближе к железу. И понимаю МАС, как прошивку сетевой карты. Если пытаться MAC-адрес связывать с протоколами, то это получается как сравнение аssembler с builder c++, т.е. разные уровни, низкий и высокий. Если связь установлена и необходим обмен данными, то серверу нужен уникальный идентификатор узла. Тогда он через миллион роутеров, свитчей и проксисерверов отдаст данные туда куда надо. Есть понятие канала (низкий уровень), а есть понятие сети (высокий уровень). Так вот MAC является составной частью сети на уровне канала, без которого ни один протокол работать не будет.
Кто из нас прав, когда мы говорим об одном и том же, я не знаю. Но, еще раз повторю, что сервер, по идее, всегда должен отмечать МАC, потому что он отдает данные конкретной машине, а не локальной подсети. Возможно я ошибаюсь.
pomorin
0
pomorin, 14 Октября 2012 , url
До определенного уровня — так и есть. На уровне местных разборок. Когда приходит ответ: на ваши запрос с IP адреса, отвечаем… А там, на метсном уровне, в пределах локального сегмента локальной сети, уже по МАС определяют, на какой физический порт отправлять ответ. Только в этом случае. Серверу данная информацмя совершенно не нужна. Вы только представьте, сколько места надо для этих 12 байт в заголовке пакета, чтобы сохранить все МАС адреса устройств, через которые он прошел? :)
Еще раз: в IPv6 МАС адрес может быть, как часть самого адреса. Но тут речь идет про IPv4.
Сервер отвечает запросу на порт. А откуда он, на уровне железа и пр. — это серверу пофик.
v12aml
+1
v12aml, 13 Октября 2012 , url
не уходит, поверьте мне как сетевику с многолетним стажем
НОПАК
0
НОПАК, 13 Октября 2012 , url
Я в локальных сетях не специалист. Но, когда мне нужно идентифицировать пользователя, я пользуюсь куками (cookie). Несколько обращений пользователя, и его можно пометить. А далее, даже если он меняет ник каждый день, по стилю комментариев и кукам можно узнавать, что это один и тот же человек.

На работе у нас строгий учет МАСов, так как система безопасности централизованная и есть внутренние ресурсы. Если кто-то подцепит ноутбук принесенный извне, он всё равно к локальным ресурсам не доберется. А на локальных ресурсах, например, коммерческая библиотека, официальные бланки и т.д.
v12aml
+1
v12aml, 14 Октября 2012 , url
MAC-адрес — это канальный уровень, он виден только до первого роутера. Грубо говоря, дальше провайдера он не уходит, к кукам отношения не имеет, ни где не фигурирует.
Более того, его может не быть вовсе (у модема его нет), его наличие зависит от технологии подключения.
GreyWolf
0
GreyWolf, 14 Октября 2012 , url
По протоколу не уходят. Но может они запендюрят какой java апплет, activeX, или flash, который MAC адрес будет передавать на сервер банка…
blogman
+1
blogman, 12 Октября 2012 , url
0.0.0.0/255.255.255.255
ostanovsky.myopenid.com
+1
ostanovsky.myopenid.com, 12 Октября 2012 , url
С мак-адресами через интернет — будут проблемы…
Хотя, есть варианты решения, но банкам такое не поднять.
ostanovsky.myopenid.com
+19
ostanovsky.myopenid.com, 12 Октября 2012 , url
У нас все-таки удивительная страна! Нормальную идею, позволяющую повысить безопасность работы в интернете сумели бюрократическими методами извратить до неузнаваемости! Поясню.
За границей при заключении договора банковского счета ты часто даешь даешь ответы на разные дополнительные вопросы. Для чего это делается выясняется позднее. Когда ты входишь в программу интернет-банкинга, то банковский компьютер фиксирует твой IP и MAC адреса.
Если в следующий раз ты входишь с компьютера с другими адресами, то сервер в онлайн режиме задает тебе те вопросы, ответы на которые ты дал при заполнении первоначального отделения и если все в порядке, пропускает тебя к счетам. Нет — нужно звонить в поддержку и там попытаются провести идентификацию с помощью твоих анкетных данных. При этом сервер запомнит последние IP и MAC адреса.
От банковских «специалистов» ускользнул целый абзац, ради которого требуется мак и IP. Приверженцы заката солнца вручную…

Max Folder
+5
Max Folder, 12 Октября 2012 , url
Как раз столкнулся с этим на вебманях — вместо стационарного интернета вышел через 3G, и вебмани очень сильно ругались, что враги хотят похитить моё всё. Я испугался, но вскоре понял, что он ругается на изменение IP. Никаких вопросов вебмани не задавал, но присылал дополнительный пароль на мобильник, что в обычном режиме не делается.
ostanovsky.myopenid.com
0
ostanovsky.myopenid.com, 12 Октября 2012 , url
А вот не надо было включать эту «фичу». :) У меня кипер постоянно пишет, что у него есть замечания по безопасности, но я на это дело пюлюю…
НОПАК
0
НОПАК, 12 Октября 2012 , url
Это в кипере (в приложении). Открой mini.webmoney.ru, а еще лучше — на телефон.
Там ведь проблема вся в том, что без идентификации через телефон, вам не все сервисы будут открыты. Например, давать/брать кредиты, и т.д.
Max Folder
0
Max Folder, 13 Октября 2012 , url
А я и не включал. Он и раньше писал про «замечания по безопасности», но здесь были уже "критические замечания по безопасности", поэтому он решил перебдеть.
Я на него не в обиде.
Нонна
+5
Нонна, 12 Октября 2012 , url
Какой фееричный бред( Я должна во всех поездках иметь доступ к своему счету.
ostanovsky.myopenid.com
+1
ostanovsky.myopenid.com, 12 Октября 2012 , url
При определенной технической грамотности — это можно сделать даже в рамках требований данного закона. Другое дело, что тут у нас имеются две пересекающихся кривых: «квалификация пользователя» и «сложность настройки ПО». Есть ощущение, что точку пересечения прошли в прошлом году…
Нонна
0
Нонна, 12 Октября 2012 , url
каждое физическое лицо и каждая организация должны будут заранее — при заполнении анкеты на открытие счета в банке — указать, с какого IP-адреса они собираются заходить в интернет-банк. Кроме того, требуется сообщить и MAC-адрес каждого устройства, с которого будет происходить работа со счетом.
Хорошо, раз вы такой технически грамотный, поясните, как обойти вот это требование.
pingpong
+1
pingpong, 12 Октября 2012 , url
1. Использовать терминальный сервер установленный на работе.
2. Использовать VPN шлюз и его адреса указывать для банка.

На вскидку.
Нонна
0
Нонна, 12 Октября 2012 , url
Геморрой… Значит, придется настраивать VPN.
Не, мало мне того, что для доступа к счету моей фирмы я должна использовать explorer… Только через него банк-клиент работает.
pingpong
0
pingpong, 13 Октября 2012 , url
Можно использовать тот или иной вариант удаленного управления рабочим столом компьютера на работе.
Не забывайте о безопасности.
Нонна
+1
Нонна, 13 Октября 2012 , url
Забудешь тут о безопасности, когда вокруг меня одни сисадмины:) Я сегодня одному сказала, после очередной лекции про защиту персональной информации бла-бла-бла, что буду выходить в интернет только в презервативе, чтоб не волновался. Он ответил, что давно догадывался, что мне есть на что его надевать. Я ему сказала, что с ними и не так мутируешь. Это мы так нежно любим друг друга в коллективе:) С шутками и прибаутками.
ostanovsky.myopenid.com
+1
ostanovsky.myopenid.com, 13 Октября 2012 , url
Геморрой… Значит, придется настраивать VPN.
Кто говорит про геморрой? Геморрой — это глаза каждый день красить, или бриться… А openvpn или ssh — настроил один раз и забыл.

Не, мало мне того, что для доступа к счету моей фирмы я должна использовать explorer… Только через него банк-клиент работает.
Банки надо выбирать не только сердцем, но и головой. Я, например, когда выбирал банк, поставил обязательным условием вменяемый (удобный) способ авторизации банк-клиента. Вот так сбер, например, мне не подошел…
НОПАК
0
НОПАК, 12 Октября 2012 , url
Жулики и воры быстро сообразят как.
dorjee
+25
dorjee, 12 Октября 2012 , url
Закон мура для российских чиновников:
Каждый следующий принимамемый закон должен быть в два раза тупее и бредовее предыдущего

По-моему, они справляются на отлично, предлагая подобные законопроекты каждый день! Вчера паспорта для соц. сетей, сегодня мак-адреса для онлайн банкинга. Поскольку, сам не обладаю такой тупостью и способностью к бреду, то даже не могу предположить, что нас ждет в понедельник.

Best_i_ya
+9
Best_i_ya, 12 Октября 2012 , url
не забывайте про топанье котов в Питере. Мне кажется эта неделя рекорд полставила в этом плане.
Нонна
+1
Нонна, 13 Октября 2012 , url
Например, обязательная регистрация ноутбуков и мобильных устройств в полиции. Подписание бумаги, заверенной нотариусом, о неиспользовании технических средств для педофилии и экстремизма, а особенно — пропаганды гомосексуализма. Предъявление справки из ПНД и наркодиспансера при покупке ноутбука. Я могу придумать еще, у меня есть трава я креативна, как Медеведев!
KonstPskov
-1
KonstPskov, 12 Октября 2012 , url
я буду заходить с 127,0,0,1… только с него а ма 00-00-00-00-00-00-00
dorjee
+1
dorjee, 12 Октября 2012 , url
лишний байт в мак-адресе )
pomorin
+3
pomorin, 13 Октября 2012 , url
И запятые в IP
Marlan
+3
Marlan, 12 Октября 2012 , url
Я же верно понял,- никто не запрещает указать такой список адресов: 0.0.0.0 — 254.254.254.254
X86.
-1
X86., 13 Октября 2012 , url
уверен, что по дефолту все так и будут писать (и в подсказках к анкетам в банках эти адреса будут прописаны), и только самые отчаянные параноики будут указывать один-два адреса.
pomorin
0
pomorin, 13 Октября 2012 , url
Можете даже расширить чуток: 255.255.255.254
d41d8cd98f00b2
+2
d41d8cd98f00b2, 13 Октября 2012 , url
Можно указать 0.0.0.0/0 для полноты диапазона и краткости.
Fireleo
0
Fireleo, 14 Октября 2012 , url
Никто не мешает, но тем самым вы берете на себя ответственность за незаконное снятие денег с вашего счета, по крайней мере часть ответственности.
Гудвин
+5
Гудвин, 12 Октября 2012 , url
Очень удивлюсь, если не фейк. В таком случае ЦБ переплюнет даже фогньюс. Прям новости из зазеркалья.
Гудвин
+3
Гудвин, 12 Октября 2012 , url
Нет, правда. Ну невозможно, чтобы на таком уровне были такие безграмотные люди.
KonstPskov
+7
KonstPskov, 12 Октября 2012 , url
нельзя не дооценивать чужую некомпетентность
dorjee
0
dorjee, 13 Октября 2012 , url
некомпетентность? тупость! или, на крайний случай, идиотизм!
Gig
0
Gig, 12 Октября 2012 , url
это кто сказал что макадрес и ip адрес нельзя подделать? спуфинг никто не отменял. я так в аэропортах бесплатно в интернет выхожу.
xRay
+1
xRay, 12 Октября 2012 , url
Гхы динамичесий IP-шник актуален как ни когда, да? :)
X86.
0
X86., 13 Октября 2012 , url
Они еще не освоили sudo, но уже что то знают о разграничении прав.
ostanovsky.myopenid.com
0
ostanovsky.myopenid.com, 13 Октября 2012 , url
Скорее, подозревают…
albatros-s
+1
albatros-s, 13 Октября 2012 , url
вот не нашел в статье что это в обязательном порядке, возможно на самом деле звучит как «если клиент хочет дополнительной защиты то может указать с каих устройств и IP адресов будет совершать платежи»
LiSergey
0
LiSergey, 13 Октября 2012 , url
маразм крепчает.

да блин, когда же он прекратится?!!!
Леонид Яннау
0
Леонид Яннау, 14 Октября 2012 , url
Маразм не лечится, это Вам любой доктор скажет.
LiSergey
0
LiSergey, 14 Октября 2012 , url
этот маразм не лечить, а прекратить надо. чтобы уменьшить степень влияния на всю страну.


Войдите или станьте участником, чтобы комментировать