Скажем До свиданья интернет-банкингу

[rgubaev]

Я ж написал - перечисли в анкете весь диапазон - кол-во mac и ip никто не ограничивает. Напиши с 00-00-00-00-00-00 по ff-ff-ff-ff-ff-ff и ip с 1.1.1.1 по 254.254.254.254 - никто не запрещает.

Ты статью внимательно читал? Там речь идет об АВТОРИЗАЦИИ по IP и MAC. Как можно "авторизовать по диапазону адресов", как ты предлагаешь, я не очень понимаю.

[viper-snt]

Ты статью внимательно читал?

не читал, но осуждаю (с) журналюгам только дай волю - такого бреда начитаешься

Как можно "авторизовать по диапазону адресов", как ты предлагаешь, я не очень понимаю.

любая авторизация по IP подразумевает создание некого правила (ACL) на авторизующем устройстве, в котором указывается имеено диапазон адресов, просто для единственного адреса маска подсети в правиле будет вида 255.255.255.255 или в случае wildcard 0.0.0.0. Если я от провайдера имею не 1 адрес, а подсеть /29 - банк будет обязан вписывать весь диапазон в правило.
Авторизация по mac - вообще клиника, это работает до первого маршрутизатора, не говоря уже о легкой возможности его смены.
Не поднимайте вой раньше времени.

--- Добавлено чуть позже ---

Да все идет к тому, что мы будем под колпаком, причем добровольно.

ну причем тут колпак? если кой-кого из компетентных органов заинтересует детали перечисления (сумма/кому/куда/за что) - по официальному запросу они все равно узнают (например, при возбужденной уголовке 100%), а с какого ip была транзакция - какая разница? что за бред? соединение зашифровано, без спецсредств узнать его детали проблематично, так не пофигу, что зафиксировано с какого адреса было обращение???

можно и так рассуждать: история транзакций хранится у банка - да! ааааа - мы все под колпаком.

p.s. Граждане, когда вы уже научитесь думать, прежде чем, что-то сказать. Не уподобляйтесь журналистам с желтым оттенком.

--- Добавлено чуть позже ---

a как же тогда платить не со своего компа? например за границей?

а где гарантия лично для вас, что на чужом компе нет кейлоггера? и что после вас не будет сделан платеж еще на пару тысяч баксов непоянтно куда?
как можно для финансовых операций использовать чужое оборудование? ведь далеко не у каждого интернет-банка есть авторизация по otp или ключам на отдельном носителе.

[Oves]

Ты статью внимательно читал? Там речь идет об АВТОРИЗАЦИИ по IP и MAC. Как можно "авторизовать по диапазону адресов", как ты предлагаешь, я не очень понимаю.

Ты проект приказа внимательно читал? Основы стека протоколов TCP/IP читал? Как работают сетевые устройства, понимаешь?

[rgubaev]

любая авторизация по IP подразумевает создание некого правила (ACL) на авторизующем устройстве, в котором указывается имеено диапазон адресов, просто для единственного адреса маска подсети в правиле будет вида 255.255.255.255 или в случае wildcard 0.0.0.0.

Не нужно путать фильтрацию и АВТОРИЗАЦИЮ. Авторизация это, по сути, как пароль ввести. В частности у нас есть провайдер, который авторизует по MAC. Т.е. у него вообще нет никаких PPPoE, логинов/паролей - втыкаешь шнурок и все, ты в и-нете. А вот на порту свича тебе назначенному, стоит фильтр по MAC.

--- Добавлено чуть позже ---

Ты проект приказа внимательно читал? Основы стека протоколов TCP/IP читал? Как работают сетевые устройства, понимаешь?

Ты мне еще про семиуровневую модель расскажи Я циски админю, как бы.
Вот проект приказа не читал - читал то что ТС тут выложил.
Авторизация (именно АВТОРИЗАЦИЯ!) по диапазону адресов - бред.

[viper-snt]

провайдер, который авторизует по MAC

ну что сказать про уровень технической грамотности такого провайдера - он невысок

Авторизация (именно АВТОРИЗАЦИЯ!) по диапазону адресов - бред.

журналюга вряд ли понимает и слово и процесс авторизации

Я циски админю, как бы.

как тут разик поглумились надо мной: номер шайбы не подскажешь?

Не нужно путать фильтрацию и АВТОРИЗАЦИЮ

что тогда понимать под авторизацией по mac - 802.1x? в инете? нуну

imho тут идет речь именно о фильтрации, реализовать механизм авторизации (ога, по mac-адресу) - крайне геморройный процесс и самое главное - бесполезный. Повторюсь: какая разница ОТКУДА была транзакция, важно ЧТО в ней.

[MagnumAE]

Утилитки смены мак-ов никто не отменял.
Динамические ИП-шники тоже.

[viper-snt]

Утилитки смены мак-ов никто не отменял.

да в том-то и дело, что мак исходного устройства банк увидит никогда, его провайдер-то не видит, если оно за маршрутизатором

--- Добавлено чуть позже ---

p.s. лучше сказать "до свидания" приверженцам желтой прессы и любителям разводить панику на ровном месте.

[AXel_23]

Как работник Банка, в Управлениее автоматизации, докладываю. у нас пока тихо, а клиентов у нас дофига с интернет банкингом

[MagnumAE]

да в том-то и дело, что мак исходного устройства банк увидит никогда, его провайдер-то не видит, если оно за маршрутизатором

Ну...я не силен в сетевых технологиях...По мне так - похер. Хоть по отпечатку МПХ авторизация - это усложнит жизнь мне и ниразу тем, кому по идее должна усложнить

[rgubaev]

ну что сказать про уровень технической грамотности такого провайдера - он невысок

Согласен. Я просто как пример привел.

журналюга вряд ли понимает и слово и процесс авторизации

И фиг с ним, с журналюгой! Ну тут-то у нас вроде грамотные люди, чтоб фигню всякую не говорить. Ан нет, туда-же "авторизация по диапазону IP".

что тогда понимать под авторизацией по mac - 802.1x? в инете? нуну

Да бред, согласен. Но глядя на последние решения "партии и правительства" воопще перестаешь удивляться уже...

[Oves]

Короче, фигня это всё - ни о какой авторизации и речи не идёт. Журналисты толкуют по-своему.

_analytics_standart_acts_projects_121008_1.pdf вот и сам "нашумевший" проект.

[rgubaev]

Где ты увидел "авторизация по диапазону IP", покажи пальцем?

Показываю: ТС пишет

Банки бьют тревогу по поводу намерений Центробанка обязать авторизовывать пользователей интернет-банкинга по IP- и MAC-адресам.

на что отвечают, что дескать

Я ж написал - перечисли в анкете весь диапазон - кол-во mac и ip никто не ограничивает. Напиши с 00-00-00-00-00-00 по ff-ff-ff-ff-ff-ff и ip с 1.1.1.1 по 254.254.254.254 - никто не запрещает.

Не надо авторизацию с аутентификацией путать.

Не надо "наводить тень на плетень". Аутентификация - лишь процесс предоставления учетных данных для последующего получения авторизованного доступа. http://ru.wikipedia.org/wiki/%D0%90%...86%D0%B8%D1%8F

[Oves]

на что отвечают, что дескать

Я выше написал всё. Я писал опираясь на документ - я его видел раньше. В нём нет речи про авторизацию. То что ты склеил из двух фраз разных людей одну - ну как бы это твои проблемы.

Если и была бы - авторизация по IP в данном случае - это доступ/отказ доступа к системе на основании IP адреса клиента, с которого производится попытка доступа. Как это противоречит указанию диапазона? Никак. Это вопрос правил в серверной части системы.
Тоже самое касается и MAC адресов.
Если по пунктам на примере авторизации по IP:

1) Клиент устанавливает соединение с сервером банковской системы
2) Клиент аутентифицируется в системе
3) Система сравнивает IP адрес клиента с правилами в системе, соответствующим данному пользователю (профилю).
4) Т.к. в правилах указан весь возможный диапазон, система разрешает дальнейшую работу пользователя

Заметь, нигде не указано в статье, что должен быть один IP адрес.
Что не так?

[Иван_на_Б5]

Иначе - полный маразм

одним больше, одним меньше. давно пора привыкнуть и собирать вещи на отъезд. тема как то поднималась. желающих выехать мало нашлось, а вот недовольных 3/4 форума. так что все нормально. будь спок

[Appli]

все это технически решаемо. ставится Java aplet на странице банка ну или ActiveX обьект, они тихо собирают и передают IP и MAC куда/кому надо. Свичи и рутера тихо курят в стороне
Кстати авторизация по IP уже давно есть у WebMoney правда как необязательная опция. Если дойдет до внедрения думаю разрешат ввести несколько адресов ну никак не диапазон.

[rgubaev]

Я выше написал всё. Я писал опираясь на документ - я его видел раньше. В нём нет речи про авторизацию. То что ты склеил из двух фраз разных людей одну - ну как бы это твои проблемы.

Если и была бы - авторизация по IP в данном случае - это доступ/отказ доступа к системе на основании IP адреса клиента, с которого производится попытка доступа. Как это противоречит указанию диапазона? Никак. Это вопрос правил в серверной части системы.

Еще раз. Нельзя авторизовать по диапазону. Авторизация подразумевает однозначное определение пользователя.
По диапазону можно фильтровать пакеты и, соответственно, ограничить возможности подключения.

Ну да и Бог с ним, не суть. Поглядим что из этого выйдет.

--- Добавлено чуть позже ---

Кстати авторизация по IP уже давно есть у WebMoney правда как необязательная опция.

Только называется это блокировкой, а не авторизацией.

[Appli]

--- Добавлено чуть позже ---
Только называется это блокировкой, а не авторизацией.

не думаю что это принципиальное замечание.
пусть будет блокировка после неудачной авторизации.

[TimB]

че муму мучаете. если чё, будет заведение дополнительного айпи по паролю и усё.