Sekoshin
0
All posts from Sekoshin
  Sekoshin in yuri,

Моменты безопасности

Желаю выделить 2 крупных огреха в безопасности доступа к счёту:

1. Для доступа к своем аккаунту используется логин и пароль.

Так вот, логин виден всем! И любой, подобрав пароль, в том числе и машинным способом, способен получить неправомерный доступ к моему, к вашему и к любому другому счёту!

Ранее, был вход по клф и такой проблемы не существовало. Название аккаунта было одно, а логин другой. Сейчас, в связи с множеством подключенных к аккаунту счетов, такой подход не подойдёт.

Предлагаю, в качестве логина использовать e-mail.

 

2. В личном кабинете написан, не номер клф, по которому ничего нельзя сделать постороннему, а указан идентификатор для голосовых торгов. То есть, если кто-то получит доступ к моему аккаунту, то этот кто-то сможет и в дальнейшем торговать голосом от моего имени, используя мой идентификатор.

И вот свежий пример:

Участник Grosheva, публикует в своём блоге скриншот своего портфеля:

http://www.comon.ru/user/Grosheva/blog/post.aspx?index1=2241...

В котором отчётливо виден её идентификатор для голосовых торгов.

Если у Grosheva, действительно фамилия Грошева, то теперь любой, прочитавший тот блог, сможет делать голосовые заявки по её счёту, по идентификатору: .

А теперь представьте, что эта Грошева, начнёт "пиарить" Комон и Финам на бизнесФМ, в случаи несанкционированных сделок со своим счётом...

 

P.S. Я пойму, если этот пост и пост грошевой будут потёрты, а безопасность восстановлена.