*!!* ѕрошу вс≥ п≥дписчик≥в конференц≥й звернути велику увагу на моЇ
пов≥домленн¤, бо це *надзвичайно важливо*, особливо дл¤ тих, хто зац≥кавлений
в розрахунках кредитними картками в ≤нтернет≥:
« питанн¤ про "перев≥рку" VISA на skelet.hypermart.net:
ќголошенн¤, ¤ке публ≥кувалос¤ в дек≥лькох ехах про можлив≥сть "перев≥рки"
VISA-карт на skelet.hypermart.net Ї _пpовокац≥Їю_, розрахованою на
неп≥дготовлених власник≥в карт.
«ам≥сть "перев≥рки" на вказаному сайт≥ зд≥йснюЇтьс¤ зб≥р ≥нформац≥њ ≥ њњ
в≥дсиланн¤ за адресою komok@valueweb.net (орендована адреса, надана
компан≥Їю Value Web Hosting з м≥ста з символичным назвою Deerfield
(ќлен≥вка) в штат≥ ‘лорида) з використанн¤м скрипт≥в з сайт≥в
www.mtrros.msk.ru ≥ skelet.kiss.kiev.ua.
јвтор ц≥Їњ провокац≥њ, в≥домий п≥д р≥зними ≥менами ≥ адресами (зокрема,
ћ≥ха —келет, ясЇнь «асурський, ћ≥ша ƒод≥н, ≤ван рамер, ћихайло Ѕиков, арлуша
≥ р¤д ≥нших), спод≥ваюс¤, на ¤кийсь час ≥зольований в≥д RU.INTERNET.* за р¤д
порушень, зроблених, проте, ще до публ≥кац≥њ даного листа, однак не виключена
можлив≥сть по¤ви в нього посл≥довник≥в. “ому -- дек≥лька порад власникам
пластикових карт по основах "техн≥ки безпеки" в ≤нтернет≥.
1. Ѕудь-¤ку ≥нформац≥ю, що стосуЇтьс¤ ваших карт, передавайте _т≥льки_
при умов≥ з'Їднанн¤ з шифрованою передачею даних (https://).
40-б≥т SSL, все ще часто вживаний за межами —Ўј ≥ анади,
маЇ невисоку криптост≥йк≥сть, але це все ж краще, н≥ж н≥чого.
¬супереч попул¤рн≥й думц≥, експортн≥ верс≥њ MSIE 4+ ≥ NN/NC 4+
п≥дтримують 128-б≥т SSL (в терм≥нолог≥њ Microsoft -- SGC SSL, Server
Gated Cryptography), що забезпечуЇ достатн≥й захист даних.
р≥м того, специф≥ка SSL сильно знижуЇ ≥мов≥рн≥сть "п≥дстановки"
¤коњ-небудь з стор≥н.
2. Ќ≥коли ≥ н≥ в ¤кому раз≥ не вводьте PIN вашоњ карти при on-line
операц≥¤х. Ѕудь-¤ка карта може бути над≥йно авторизована по номеру,
терм≥ну придатност≥ (дат≥ видач≥) ≥ де¤ким особистим даним власника.
¬ свою чергу, on-line транзакц≥њ з точки зору банку завжди Ї
високоризиковими операц≥¤ми, ≥ тому, ¤к правило, банк блокуЇ на
рахунку "продавц¤" де¤ку гарант≥йну суму дл¤ покритт¤ можливих
претенз≥й при в≥дмов≥ "покупц¤" в≥д п≥дтвердженн¤ операц≥њ. ÷≥
проблеми регулюютьс¤ в≥дпов≥дною угодою м≥ж банком ≥ "продавцем"
≥ в≥дпов≥дно враховуютьс¤ в за¤влен≥й ц≥н≥ продукту, тому
додаткових заход≥в по п≥дтвердженню автентичност≥ приймати не треба.
3. ”никайте "високонад≥йних" "безпечних" сервер≥в, що вимагають завантаженн¤
власних сертиф≥кат≥в дл¤ встановленн¤ SSL-з'Їднанн¤ (кр≥м, зрозум≥ло,
сервер≥в вашого банку або ≥нших перев≥рених джерел -- в цьому випадку,
проте, необх≥дний сертиф≥кат, ¤к правило, пересилаЇтьс¤ ≥ншим шл¤хом,
не в поточному сеанс≥ зв'¤зку), особливо ¤кщо це "експортний" 128-б≥т
сертиф≥кат, що пред'¤вл¤Їтьс¤ сервером за межами —Ўј ≥ анади, ≥ ¤кщо це
не сервер ф≥нансовоњ установи (банку) ≥ не ISP (над≥йн≥сть нелегально
використовуЇмого сертиф≥кату, м'¤ко кажучи, сумн≥вна, а легально
користуватис¤ 128-б≥т SSL за межами —Ўј ≥ анади можуть т≥льки вказан≥
категор≥њ сервер≥в).
4. ” ‘ранц≥њ SSL-з'Їднанн¤ дл¤ on-line транзакц≥й по картках можуть
легально застосовуватис¤ т≥льки серверами системи EuroPay France ≥ C-SET.
÷е пов'¤зано з криптограф≥чними обмеженн¤ми, що накладаютьс¤ французьким
законодавством.
With best regards, Tatiana Matveeva inity@usa.net
=============================================================
ѕереклад - Olexandr Slobodyan, 09.II.2002
|