История изменений
Исправление shimshimshim, (текущая версия) :
Нет идеальных способов, есть способы которые достаточны. ssl плюс смска достаточны, чтобы в подавляющем большинстве случаев считать информацию достоверной. А вот sms + неработающий ssl тут ты возможно и прав, и значит для второго фактора придется использовать аппаратные генераторы одноразовых паролей, как это было 20 лет назад, у меня до сих пор где-то валяется парочка. и соответственно все остальное работать перестанет, в том числе например лор.
Дело опять же повторюсь не в суммах. Сейчас я приду в банк и скажу что вот такую-то операцию я не проводил, подписи моей в виде пина нет, возвращайте деньги. И банк их мне вернет, никуда не денется. Раз вернет, два вернет, на третий раз звкроет счет и добавит в черный список, потому что у него есть все основания полагать, что я мошенник. А если начнут врезаться в траф массово, то банк не сможет отлчиить мошенника от жертвы с достаточной достоверностью, и он начнет требовать аналог подписи на каждую операцию.
Но то банк, а есть например lor, и допустим если траф перехватывается, то можно от моего акка запостить что-то противозаконное. И выглядеть это будет так - вот логи сервера с моим IP и временем, вот данные провайдера с моим IP и временем, котрое совпадает, вот куки из моего браузера и другие косвенные свидетельства что ник на форуме это я - сейчас суд вероятно согласится что это сделал я. Траф начинает массово подменяться - все, это уже не работает, слишком много false positive. С лором конечно это утрировано, потому что лично я никому не нужен, чтобы тратить на меня такие усилия, но принципиально проблема остается.
Гифрование в вебе вводили чтобы использовать все преимузества шифрования, а не только ради конфиденциальности, вот в чем дело. Вероятно даже, что конфиденциальность была не самой главной причиной.
Исходная версия shimshimshim, :
Нет идеальных способов, есть способы которые достаточны. ssl плюс смска достаточны, чтобы в подавляющем большинстве случаев считать информацию достоверной. А вот sms + неработающий ssl тут ты возможно и прав, и значит для второго фактора придется использовать аппаратные генераторы одноразовых паролей, как это было 20 лет назад, у меня до сих пор где-то валяется парочка. и соответственно все остальное работать перестанет, в том числе например лор.
Дело опять же повторюсь не в суммах. Сейчас я приду в банк и скажу что вот такую-то операцию я не проводил, подписи моей в виде пина нет, возвращайте деньги. И банк их мне вернет, никуда не денется. Раз вернет, два вернет, на третий раз заблокирует счет и добавит в черный список, потому что у него есть все основания полагать, что я мошенник. А если начнут врезаться в траф массово, то банк не сможет отлчиить мошенника от жертвы с достаточной достоверностью, и он начнет требовать аналог подписи на каждую операцию.
Но то банк, а есть например lor, и допустим если траф перехватывается, то можно от моего акка запостить что-то противозаконное. И выглядеть это будет так - вот логи сервера с моим IP и временем, вот данные провайдера с моим IP и временем, котрое совпадает, вот куки из моего браузера и другие косвенные свидетельства что ник на форуме это я - сейчас суд вероятно согласится что это сделал я. Траф начинает массово подменяться - все, это уже не работает, слишком много false positive. С лором конечно это утрировано, потому что лично я никому не нужен, чтобы тратить на меня такие усилия, но принципиально проблема остается.
Гифрование в вебе вводили чтобы использовать все преимузества шифрования, а не только ради конфиденциальности, вот в чем дело. Вероятно даже, что конфиденциальность была не самой главной причиной.