Дефолтные настройки Chrome-GOST

[gosts 87]

Деньги откуда появились у браузера?

Троллите?
Со счёта списались деньги, а в ЛК появилась платная подписка, которую я оформил только перейдя по такой ссылке!

[stranger573]

Деньги откуда появились у браузера?

Троллите?

Вряд ли. Нет, оно понятно — жабоскрипты на странице, дефолтом включённые "удобства" типа автомобильных заполнялок форм и сохранялок паролей... Но без подтверждения с телефониума, это какой платильный сервиз так фунциклюет? Правда любопытно. Ибо с самого появления таких удобствий напрочь их глушил.

[Nicom]

Троллите?

Ни в коем разе. Просто мне непонятна связь финансов и браузера.

[gosts 87]

это какой платильный сервиз так фунциклюет?

Я уже не помню. Что-то связанное с просмотром видеороликов.
В те времена не требовалось никаких подтверждений. Само подключалось при таких действиях абонента...

[gosts 87]

мне непонятна связь финансов и браузера.

У Вас на СИМ-карте (счёте) есть деньги.
Вы в браузере переходите по вредоносной ссылке
Вас перекидывает ещё на один сайт и в этот момент Вам подключается платная подписка и  с Вашего счёта списывается N-ная сумма денег.
В случае с Linux происходит только подключение этой платной подписки и списание за неё денег.
В случае с Windows в систему может попасть вирус.
Никаких вводов логинов, паролей, номеров кредитных карт в таких случаях не требуется от слова "совсем"!

[Александр Ерещенко]

мне непонятна связь финансов и браузера.

У Вас на СИМ-карте (счёте) есть деньги.
Вы в браузере переходите по вредоносной ссылке
Вас перекидывает ещё на один сайт и в этот момент Вам подключается платная подписка и  с Вашего счёта списывается N-ная сумма денег.
В случае с Linux происходит только подключение этой платной подписки и списание за неё денег.
В случае с Windows в систему может попасть вирус.
Никаких вводов логинов, паролей, номеров кредитных карт в таких случаях не требуется от слова "совсем"!

Т.е. важное условие - мобильный интернет?
И таким образом какой-то левый сайт может убедить моего провайдера отдать мои деньги без моего согласия?
Уже интересно... Сам механизм такого запроса к провайдеру?

[stranger573]

Т.е. важное условие - мобильный интернет?
И таким образом какой-то левый сайт может убедить моего провайдера отдать мои деньги без моего согласия?
Уже интересно... Сам механизм такого запроса к провайдеру?

Тут есть две непонятные вещи. Сам механизм — само собой, но сначала ещё и мобильный номер как-то заполучить надо.

[gosts 87]

Т.е. важное условие - мобильный интернет?

Интернет, сам по-себе. Любой. Хоть - мобильный, хоть - проводной. Главное условие - возможность подключения дополнительных платных услуг!

Уже интересно... Сам механизм такого запроса к провайдеру?

Через скрипт. Провайдеру без разницы, как Вы подключили эту услугу, потому-что эту услугу предоставляет не сам провайдер, а партнёры! Ткнув по такой ссылке можно и услугу категории "18+" подключить. При этом провайдер Вам скажет, что "данная услуга предоставляется не нашей компанией, а нашими партнёрами [с ними и разбирайтесь], если Вам она не нужна, то мы можем прямо сейчас её отключить".

И таким образом какой-то левый сайт может убедить моего провайдера отдать мои деньги без моего согласия?

Сайт, может и "левый", а всякие реклама и скрипты для такого автоподключения вполне-себе "правые"...

[gosts 87]

Тут есть две непонятные вещи. Сам механизм — само собой, но сначала ещё и мобильный номер как-то заполучить надо.

Я когда слушаю всяких умников из "Лаборатории Касперского" или "Групп Ай Би", которые что-то объясняют про списание с кредиток, то так им и хочется сказать: "достаточно перейти по какой-то сомнительной ссылке и списание произойдёт прямо со счёта, без всяких вводов номеров кредитных карт, но не просто списание, а посредством подключения услуги. Если не заметить этого, то через определённое время ещё раз спишут"!
Так вот это я к чему всё... Это произошло при переходе на сайт работающий на https, второй, на который произошло перенаправление - тоже работал на https!

[stranger573]

"достаточно перейти по какой-то сомнительной ссылке и списание произойдёт прямо со счёта, без всяких вводов номеров кредитных карт, но не просто списание, а посредством подключения услуги.

   Всё это понятно. Но для того, чтобы это списание произошло вас надо как-то идентифицировать. Связь со счётом непонятна. При инициации соединения никакие данные о мобильных номерах, счетах не передаются просто так. То что оно скриптами понятно, но для этого или у вас где-то в системе должна быть требуемая информация или это происходит при участии провайдера по ip-адресу (который они, кстати, одновременно многим раздают).
   Все эти удобственные так сказать сервисы чрезвычайно опасны, особенно госуслуги, которые открывают полный доступ к любым аккаунтам, и ладно бы к почтам, но и ко всем счетам во всех банках, к кредитам, к недвижимости и т.д. И это при том, что достоверная удалённая идентификация человека вообще никакими способами в принципе невозможна. Удалённо кто угодно может предоставить любые чужие данные, хоть отпечатки пальцев, хоть днк и любое что угодно.

[gosts 87]

То что оно скриптами понятно, но для этого или у вас где-то в системе должна быть требуемая информация

Инициация, скорее-всего, происходит в момент перенаправления на второй сайт:

Вас перекидывает ещё на один сайт и в этот момент Вам подключается платная подписка

Точнее, эта самая "информация" появляется (и никуда не исчезает, а передаётся второму сайту, на который происходит перенаправление) в момент посещения первого сайта.
Я же не просто так указал, что произошло перенаправление с одного url адреса на другой!

P.S. Ещё раз, чтобы было предельно понятно! Я это всё рассказал не с целью похвалиться тем, как денег лишился, и даже не с целью предостеречь от этого, а с тем, что никакой протокол и никакой сертификат не может быть 100%-ной панацеей от этого! Также, как сайт работающий на http может быть абсолютно безопасным!

[Nicom]

Прочитав всё что написано выше и учитывая

В случае с Linux происходит только подключение этой платной подписки и списание за неё денег.  ...
Никаких вводов логинов, паролей, номеров кредитных карт в таких случаях не требуется от слова "совсем"!

смею предположить, что персональные данные из личного кабинета провайдера, вместе с паролями, были украдены ранее. Или у провайдера существует дырка в биллинговую систему.

Несколько лет назад мы делали собственную систему подачи заявок подрядчику, который предлагал использовать для этого его не очень удобный сайт. Система работает до сих пор, а подрядчик так и не закрыл порт базы данных от всего мира.

Также, как сайт работающий на http может быть абсолютно безопасным!

Абсолютно согласен! Безопасность может быть реализована многофакторной авторизацией в техническом плане и системой условий с потребителем в юридическом.
А товарищи майоры и так читают что им нужно.

P.S. Жаль, что FTP клиент из браузеров выпилили, теперь приходится переобучать пользователей использовать ФМ.

[gosts 87]

смею предположить, что персональные данные из личного кабинета провайдера, вместе с паролями, были украдены ранее. Или у провайдера существует дырка в биллинговую систему.

Не знаю, но именно после того случая я заинтересовался безопасностью в сфере IT.

Безопасность может быть реализована многофакторной авторизацией в техническом плане и системой условий с потребителем в юридическом.

Как мне кажется - этого мало.

А товарищи майоры и так читают что им нужно.

Абсолютно согласен!

Когда читаю про некоего "товарища майора" - то смешно становится. На паранойью похожи все эти страшилки.

[GrishaDm]

Когда читаю про некоего "товарища майора" - то смешно становится. На паранойью похожи все эти страшилки.

По "закону Яровой" у провайдера 5 лет хранятся все материалы юзера. Там не только "товарищ майор", а любой желающий, подкупивший сисадмина - может всё про всех узнать и нигде не засветиться.

[gosts 87]

По "закону Яровой" у провайдера 5 лет хранятся все материалы юзера. Там не только "товарищ майор", а любой желающий, подкупивший сисадмина - может всё про всех узнать и нигде не засветиться.

Здесь я уже о другом. Сколько раз приходилось читать комментарии такого рода "не буду ставить себе "Астру" (или любой другой российский дистрибутив Линукс), там "товарищ майор" сидит!"