Bankir.Ru
5 декабря, понедельник 23:44

Объявление

Свернуть
Пока нет объявлений.

Оцените нашу систему "Интернет-банк"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Оцените нашу систему "Интернет-банк"

    Коллеги!
    Хочу получить подтверждение или опровержение своего мнения, :-) что наш ИБ уникален сочетанию простоты ипользования и функциональности.

    Демо версия здесь:
    http://dzerbank.ru/Index.asp?Id=IBDemo

    Вопрос возник по тому, что "есть мнение" о возможности поделиться нашей разработкой с другими заинтересованными банками ;-)

  • #2
    ?
    - Не очень понятно что у вас подразумевается под ЭЦП, где ее взять, как ее использовать, если я поехал отдыхать скажем в Египет

    - Сколько клиентов на нем сидит, какое железо для этого требуется,
    какую нагрузку держит.


    - Замечательно работает под Netscape и.т.д;
    - Очень удобно, что нет списка введенных документов;

    Комментарий


    • #3
      GeC Под ЭЦП понимается электронно-цифровая подпись :-). Если вопрос о том, что конкретно используется, то можно использовать всё что работает через CryptoAPI. Сейчас протестировано со Crypto-провайдером входящим в комплект Windows.
      Сертификат можно хранить на любом носителе: дискета, USB-драйв и т.п. - это к вопросу о Египте.
      На самом деле с ЭЦП у нас еще не один клиент не работает. Мы ЭЦП делали для юриков, но юриков только сейчас начнём подключать (правда несколько работает в "пилотном" режиме).
      Всё остальные клиенты - физики. Они работают с "карточками доступа". Про карточки можно почитать на сайте.
      Насчет железа - любой компьютер, начиная с целерона. Это не критично.
      На самом деле сделан в трехслойном варианте IIS-MTS-MSSQL. С АБС "общается" MTS.

      Насчет нетскейпа и списка введенных документов: это шутка?
      Под нетскейпом не помню, вроде год назад тестрировали.... вроде работало....
      а насчет списка документов - есть выписка. Платежи проводятся в момент ввода. Поллый online. :-) поэтому нет необходимости в разных состояниях документа и в каких-то списках.
      Последний раз редактировалось Fomin; 14.01.2003, 14:57.

      Комментарий


      • #4
        Fomin - по моему на первый взгляд неплохо !

        Комментарий


        • #5
          Fomin Насчет нетскейпа и списка введенных документов: это шутка?
          Ну может действительно для физиков - это шутка но у юриков обычно работа происходит в несколько этапов - бухгалтер готовит документы, потом руководитель все подписывает - в этом случае список документов весьма полезен.

          Насчет железа - любой компьютер, начиная с целерона. Это не критично.
          Я хотел узнать какую конфигурацию системы нужно иметь, чтобы одновременно без проблем работало например 100 клиентов.

          Еще один вопрос насчет ЭЦП - сколько их может быть у одного клиента?
          По моему опыту у различных клиентов может быть необходимость подписывать документы от 1-й до 3-х подписей.
          Кстати говоря разработана-ли процедура разбора спорных ситуаций?
          Пример :
          клиент утверждает, что не создавал документ / клиент утверждает что создавал документ, которого в выписке нет ( наличие процедуры разбора спорных ситуаций, в договоре с клиентом, прописано в законе )

          Как происходит доавление в систему новых документов?
          ( ну например трудозатраты на добавление документа вроде рублевого П/П )

          Не воспринимайте пожалуйста мои вопросы как придирки
          Я уже достаточно давно работаю в данной области и поэтому новые продукты, появляющиеся на рынке автоматически оцениваю через призму тех проблем, с которыми сталкивался сам.

          Комментарий


          • #6
            GeC Ok...
            Не совсем понял проблему описанную в первом абзаце.... Это дело клиента, когда что готовить и подписывать.... Может мы просто не сталкивались с такими ситуациями? Хотя "старый" Клиент-Банк работает у нас примерно также (в том смысле, что нет разных состояний) и работает он с 95 года.

            Насчет конфигурации:
            Честно говоря таких тестов не проводили.... Но, зная архитектуру системы, не так трудно сделать прогноз (могу предположить, то узким местом всегда будет база данных АБС).

            ЭЦП одна у одного клиента. На практике этого достаточно.
            Все эьти проблемы (если в первом абзаце Вы имели в виду эту же тему), решаются оформлением доверенности на работника. Всё равно пользуется системой всегда кто-то один...

            Процедура разбора спорных ситуаций - раздел №11 "Правил ..." http://dzerbank.ru/Index.asp?Id=IBRules
            Кстати, в каком законе это написано? ;-)
            И сразу скажу, что действительно "спорных ситуаций" не было ни разу. Ни в "Интернет-банке", ни в "старой" системе с 1995 года. У Вас были? Или, может, быть Вы слышали о случаях, когда дело доходило до суда или банк нёс убытки?

            Комментарий


            • #7
              Fomin

              Кстати, в каком законе это написано? ;-)
              Сам давно хотел где-нибудь найти подборку законов по криптографии/ЭЦП
              - пришлось заняться самому вот вроде основные документы

              ЭЦП одна у одного клиента. На практике этого достаточно.
              Вот интересный пример из практики:
              Представительство иностранной компании, документы подписываются двумя подписями - руководитель+бухгалтер и потом еще одной откуда-нибудь из-за границы (не доверяют они тутошним работникам
              В этом случае И-Б как раз очень удобная штука в смысле доступности из любого места, но нужны несколько подписей.

              Комментарий


              • #8
                Fomin
                Процедура разбора спорных ситуаций - раздел №11 "Правил ..." http://dzerbank.ru/Index.asp?Id=IBRules
                Кстати, в каком законе это написано? ;-)
                Это не в законе, это требования здравого смысла
                Что касается процедуры - написана грамотно, но на этой технологии (без ЭЦП) она бесполезна. Первый вопрос адвоката на гражданском прооцессе: "А чем уважаемый банк докажет, что до передачи кодов доступа моему клиенту они не были скопированы сотрудниками банка?" С учетом того, чтоо доказать отсутствие чего-либо в принципе невозможно (наличие - да, можно предъявить, а отсутствие - никак) и презумпции виновности в гражданском процессе позиция банка уязвима изначально. Далее, регистрационые записи на телекомм. оборудовании банка в качестве доказательства канают слабо, ибо банк сторона заинтересованная и написать там мог все, что угодно. так что по моему скромному мнеию: только ЭЦП, причем ключ клиент должен генирировать лично.
                Earl Vlad Drakula. ///

                Комментарий


                • #9
                  hugevlad Адвокат может сказать и так: "А чем уважаемый банк докажет, что когда клиент работает в системе его секретный ключ скрытно не закачивается в банк?" Софт на компьютере пользователя выполняется банковский, и в любом случае, даже подготовленный пользователь не может быть уверен, что софт делает именно то, что должен делать и ничего больше...
                  Так что это не аргумент.

                  Комментарий


                  • #10
                    Fomin

                    1. Присоединяюсь к мнению GeC, Ваша система должна поддерживать "роли" пользователей с разным уровнем полномочий:
                    - на уровне счетов (или банковских продуктов),
                    - на уровне подписи (подготовка документа, "первая" подпись, "вторая" подпись).

                    Без этих возможностей реальная эксплуатация у серъёзных клиентов (юридических лиц) вряд ли возможна.

                    2. Не нашёл возможности отложенных платежей (формирование документа и сохранение без оплаты). Плохо смотрел ?

                    3. Непонятна организация взаимодействия АБС. Каков жизненный цикл документа от момента ввода до отражения в АБС ?

                    Выше Вы утверждаете, что Платежи проводятся в момент ввода. Поллый online. :-) поэтому нет необходимости в разных состояниях документа и в каких-то списках..

                    Но на Вашем сайте описан механизм отзыва документов:
                    Отзываемый документ может находиться в одном из 4 состояний, которые приведены ниже с пометкой вероятности возможности отзыва платежа:
                    1. Принят на обработку - 90%
                    2. Готов к отправке - 50%
                    3. Отправлен - 10%
                    4. Зачислен получателю - 0%


                    Мне кажется, что одно из уверждений некорректно.

                    Комментарий


                    • #11
                      Fomin
                      А чем уважаемый банк докажет, что когда клиент работает в системе его секретный ключ скрытно не закачивается в банк?
                      А это клиент должен доказать обратное - для этого ему необходимо иметь возможность журналировать весь свой траффик

                      Комментарий


                      • #12
                        Механизатор учёта
                        Всё корректно. Платеж проводится сразу же, в момент ввода. Но операционист может его потом удалить (в АБС), если:
                        - документ внутренний и получатель еще не использовал деньги
                        или
                        - документ внешний, но его еще не оправили по корсчету
                        или
                        - документ отправили, но можно запросить банк получателя...
                        А табличка с "вероятностями" - это для непонятливых клеинтов :-)

                        Пункты 2 и 3: ответ тот же - всё делается сразу.
                        Пункт 1: может быть. Но за 8 лет эксплуатации Клиент-банк у
                        серъёзных клиентов (юридических лиц) никто ничего подобно не просил.

                        Комментарий


                        • #13
                          Fomin

                          Всё корректно. Платеж проводится сразу же, в момент ввода. Но операционист может его потом удалить (в АБС), если:
                          - документ внутренний и получатель еще не использовал деньги
                          или


                          Ламерством отдаёт. Платёж произведён на основании значимого с точки зрения Ваших правил распоряжения. Денежка упала на другой счёт, пусть даже и в Вашем банке. Получатель её увидел (через Интернет или клиент-банк), а потом раз - и нет документа. Лично я (как получатель) возмутился бы .....

                          Поэтому я и спрашивал про статусы документов и возможность отзыва. А отзыв по Вашей технологии - банальное (юридически некорректное) удаление проводки, затрагивающей чужой счёт (без согласия владельца счёта).

                          Нет ответа на вопрос про отложенные платежи.

                          Комментарий


                          • #14
                            Согласен с Механизатор учёта.
                            Зачисленные внутреннему клиенту деньги нельзя ни удалить, ни сторнировать без разрешения внутреннего клиента. Если отправитель платежа ошибся, он должен сам контактировать с внутренним клиентом на предмет возврата своих средств, банк тут уже не при чём.

                            Fomin
                            - документ внешний, но его еще не отправили по корсчету
                            А, при этом, списываете ли платёж на внутренний транзитный счёт бухгалтерской проводкой (или автоматически ставится резервирование в виде неснижаемого остатка на сумму перевода)? Если списываете, то думаю, что проводку удалять уже нельзя, но можно только сторно делать второй проводкой. Комиссии банк списывает за эти операции? При удалении проводки по инициативе клиента, комиссии банк возвращает клиенту или оставляет себе?
                            Может ли клиент удалять по своей инициативе конверсионные проводки, если может, то по какому курсу?

                            Удаления возможны только в текущем незакрытом опердне?

                            Комментарий


                            • #15
                              AVKomarov Скажем так.... Это имеет слабое отношение к системе как таковой.... Конечно, можно и сторно делать - это уже вопрос технологии...
                              Я хочу сказать, что процедура отзыва платежа, по идеее, не должна зависеть от того, как платеж поступил в банк.

                              Комментарий


                              • #16
                                Fomin

                                Это имеет слабое отношение к системе как таковой....

                                Нам то как раз объяснять не надо, но качество Вашего описания таково, что наши вопросы возникают естесственным образом.

                                Где ответ про отложенные платежи ? Игнорируем ?

                                Как ведётся протокол системы, т.е. как организована система аудита ? Что предъявляется клиентам в случае разбора конфликтных ситуаций ?

                                Комментарий


                                • #17
                                  AVKomarov

                                  >>> Зачисленные внутреннему клиенту деньги нельзя ни удалить,
                                  >>> ни сторнировать без разрешения внутреннего клиента.

                                  От поступления платежа в банк до зачисления всегда проходит неравное нулю
                                  время Тэ. В каждом банке оно разное. До истечения Тэ удалять можно,
                                  после истечения нельзя. Клиенты обычно предупреждаются об этом заранее.
                                  WBR
                                  serg

                                  Комментарий


                                  • #18
                                    sharpcat

                                    Внимательно прочитайте предыдущий тред. Ну причём тут поступление платежа в банк ?

                                    Смысл вопросов к Фомину - разночтение описания его системы. В конференции он говорит, что все платежи, инициируемые И-Банкингом, проводятся мгновенно. Описание системы на его сайте говорит о возможности отзыва документа.

                                    Вот и вопрос к нему, как можно непротиворечиво отозвать проведённый документ (даже если получатель - в этом же банке). Можно было бы , если поступивший из И-банкинга документ двигается по какому-то жизненному циклу (с некоторым конечным набором статусов). Но у Фомина этого нет. Поэтому реальная юридически корректная возможность отзыва отсутствует (деньги зачислены получателю, нужно письмо и согласие получателя на возврат).

                                    Комментарий


                                    • #19
                                      Уважаемый Механизатор!
                                      Как "мгновенное" проведение платежей может противоречить возможности отзыва? Клиент, насколько я понимаю, вправе обратиться с просьбой отозвать любой свой платеж, независимо от того, проведен он, отправлен и т.п. В любой случае, это не моя проблема, и не проблема системы.
                                      Качество описания нормальное. Там написано, то что нужно знать клиенту:
                                      а) платежи проводятся сразу же
                                      б) платежи можно (если очень хочется) отозвать (за определенную плату, с успехом зависящим от реального состояния документа)
                                      Разве одно противоречит другому?
                                      Пункт, (а), кстати, является и ответом на вопрос про отложенные платежи.

                                      как можно непротиворечиво отозвать проведённый документ (даже если получатель - в этом же банке). Можно было бы , если поступивший из И-банкинга документ двигается по какому-то жизненному циклу (с некоторым конечным набором статусов). Но у Фомина этого нет. Поэтому реальная юридически корректная возможность отзыва отсутствует (деньги зачислены получателю, нужно письмо и согласие получателя на возврат)

                                      Т.е. по вашему получается, что если бы документ проводится не сразу, то клиент мог бы его отозвать? Тогда может быть вообще не проводить документы дня два-три. Тогда у клиента будет масса возможностей для отзыва. :-)
                                      И естественно, что любой документ двигается по какому-то жизненному циклу. Только он двигается по этому циклу уже в "проведенном" состоянии. Это касается как поступивших через ИБ документов, так всех остальных.
                                      Короче говоря, не совсем ясно, что именно Вы хотите сказать...
                                      Последний раз редактировалось Fomin; 16.01.2003, 14:00.

                                      Комментарий


                                      • #20
                                        Fomin

                                        А что понимается под "проведением" платежа - Отправка по корсчету, загрузка в опердень или что-то еще?

                                        Комментарий


                                        • #21
                                          Gamura "Проведен" - это значит сделана проводка в АБС. Т.е. на счете клеинта остаток уменьшился, а на счете получателя (или корсчете или др.) увеличился.
                                          Дальше эту проводку "видит" операционист и начинает с ней работать: формирует в пачку. Если платеж "внешний", то дальше эта пачка идет в отдел корр.отношений, и т.д.

                                          Комментарий


                                          • #22
                                            Fomin

                                            Как "мгновенное" проведение платежей может противоречить возможности отзыва? Клиент, насколько я понимаю, вправе обратиться с просьбой отозвать любой свой платеж, независимо от того, проведен он, отправлен и т.п. В любой случае, это не моя проблема, и не проблема системы.
                                            Качество описания нормальное. Там написано, то что нужно знать клиенту:
                                            а) платежи проводятся сразу же
                                            б) платежи можно (если очень хочется) отозвать (за определенную плату, с успехом зависящим от реального состояния документа)
                                            Разве одно противоречит другому?


                                            Странный Вы какой-то, честное слово.

                                            Клиент, безусловно, всегда может попытаться отозвать документ, обратившись с соответствующим заявлением в Банк. Этого никто не оспаривает.

                                            Вы же своим клиентам элементарно вешаете лапшу о какой-то вероятности отзыва документа, хотя технической возможности не имеете, т.к. документы проводятся и отражаются на счетах сразу (за исключением документов, проведённых по корреспондентскому счёту или счетам межбанковских/межфилиальных расчётов, но неотправленным в РКЦ/филиал/банк-корреспондент).


                                            Отзываемый документ может находиться в одном из 4 состояний, которые приведены ниже с пометкой вероятности возможности отзыва платежа:
                                            1. Принят на обработку - 90%
                                            2. Готов к отправке - 50%
                                            3. Отправлен - 10%
                                            4. Зачислен получателю - 0%


                                            Исходя из Ваших слов, пункта 1 (с вероятностью 90%) у Вас неможет быть в принципе, т.к. документ ПРОВОДИТСЯ (на счёт расчётов или счёт получателя). Если счёт получателя находится в Вашем банке, то сразу попадаем на п.4.

                                            Не проще ли сразу предупреждать клиентов, которые дезориентированы информацией с Вашего сайта, что _техническая_ возможность отзыва (без различных юридических проволочек) проведённого документа существует исключительно лишь в отношении тех документов, которые подлежат отправке за пределы Банка, но в силу технологии обработки не подобраны в пачки, рейсы и т.д. (т.е. нет факта их отправки).

                                            В остальных случаях - только запросом в адрес получателя.

                                            Удивляюсь я сильно, неужели это непонятно ? Неужели нужно терпеливо объяснять, что _безболезненно для клиента_ (т.е. без проволочек, связанных с юридическим оформлением запроса на отзыв), могут быть отозваны документы, находящиеся в технологических состояниях, допускающих такой отзыв ?

                                            Пункт, (а), кстати, является и ответом на вопрос про отложенные платежи.
                                            Ответить сразу и конкретно религия не позволяла ? Только после двух напоминаний ?


                                            Т.е. по вашему получается, что если бы документ проводится не сразу, то клиент мог бы его отозвать? Тогда может быть вообще не проводить документы дня два-три. Тогда у клиента будет масса возможностей для отзыва. :-)
                                            Не надо передёргивать.
                                            Если бы Ваша "замечательная" система имела бы возможность информирования клиента о текущем положении дел с его конкретным документом, т.е. сообщала клиенту о статусе документа в АБС (или интерпретировала его в доступной форме), возможно, вопросов и у меня, как изучателя Вашего опыта, и у клиента было бы меньше.
                                            А информация получается куцая - документ "проводится" и сразу попадает в мою выписку. Как я могу узнать, перечислена ли сумма за пределы банка (или осела где нибудь на счетах незавершённых расчётов)? Подлежит ли мой документ немедленному отзыву (или уже зачислен получателю)? Как я узнаю о том, что документ отозван (его просто удалят из выписки, и я должен помнить об этом) ?

                                            В-общем, вопросов много, предложение одно: по каждому документу должна быть доступна для просмотра история его состояний (в т.ч. когда он был отозван, если отзывался).

                                            И естественно, что любой документ двигается по какому-то жизненному циклу. Только он двигается по этому циклу уже в "проведенном" состоянии. Это касается как поступивших через ИБ документов, так всех остальных.

                                            Отчего ж такое смелое заявление ? Нормальные АБС, работающие в связке с нормальным И-банкингом (или другой внешней системой) должна поддерживать целый "букет" статусов, весьма далёких от статуса "проведён":
                                            1. Новый (или подготовлен) - статус документа в И-банкинге.
                                            2. Принят АБС - документ попал в АБС и прошёл набор формальных проверок АБС.
                                            3. Подтверждён - документ подтверждён в АБС сотрудником Банка (если операция по счёту клиента должна быть подтверждена).
                                            4. Отправлен на валютный контроль - документ направлен на подтверждение в отдел валютного контроля (если предусмотрен дополнительный контроль этого документа).
                                            5. Отправлен на позиционирование - документ в АБС прошёл все контроли, подлежит определению способа платежа или корсчёта проводки.
                                            .....
                                            N. Проведён - документ проведён в АБС.
                                            N+1. Документ оправлен - документ отправлен в РКЦ и т.д.

                                            Объяснять, что документ в состояниях с 1 по N внутри своего жизненного цикла далеко не в состоянии "проведён" (в нормальных АБС) ?

                                            Комментарий


                                            • #23
                                              Механизатор учёта

                                              Удивляюсь я сильно, неужели это непонятно ? Неужели нужно терпеливо объяснять, что _безболезненно для клиента_ (т.е. без проволочек, связанных с юридическим оформлением запроса на отзыв), могут быть отозваны документы, находящиеся в технологических состояниях, допускающих такой отзыв ?

                                              Разве я говорил, что "любой документ может быть отозван безболезненно и без проволочек"? Я говорил, что любой документ можно отозвать. Никто клиента не обманывает. Никто не гарантирует "безболезненный и без проволочек" отзыв.

                                              Ответить сразу и конкретно религия не позволяла ?
                                              Молодой человек, не забывайтесь. Если хотите прододжить общение в таком стиле - пишите мне на email.

                                              Комментарий


                                              • #24
                                                Fomin

                                                Молодой человек, не забывайтесь. Если хотите прододжить общение в таком стиле - пишите мне на email.

                                                Мне, безусловно, приятно что Вы считаете меня молодым человеком (не имея на то моих биографических сведений).

                                                Но речь не об этом. Мне почему-то показалась, что Вы в начале треда просили оценить свой "шедевр". Видимо, потому что я внимательно (в отличии от Вас) содержание постингов.

                                                Я счёл возможным задать несколько вопросов и необходимым указать на некоторое несооответствие описаний. Вместо конкретных пояснений и ответов вынужден читать Ваш неконструктив и Ваше откровенное хамство.

                                                Кстати, я не увидел ответа про протоколирование и аудит. По-прежнему, религия не позволяет давать ответы на конкретные вопросы, заданные один раз?

                                                Впрочем, с Вас достаточно, т.к. чего-нибудь внятного от Вас услышить не надеюсь.

                                                Ответ на Ваш вопрос об оценке системы:
                                                - набор услуг - стандартный (на уровне средней температуры по больнице, т.е. аналогичных систем),
                                                - идентификация клиентов и значимость распоряжений на осуществлени операций - достаточны (я тоже считаю ЭЦП шлагбаумом на пути локомотива дистанционного обслуживания, но почему-то никто из фирмачей не думает об АСП).

                                                Нелостатки:
                                                - нет истории операций по счетам (это не тоже самое, что выписка),
                                                - нет возможности отложенных платежей,
                                                - нет возможности проследить жизнь документа.

                                                Полностью отсутствует значИмая для качественной оценки Вашей системы информация:
                                                - про протоколирование и аудит,
                                                - про средства разработки системы и средства расширения функционала (как описать добавить новый документ в Вашу систему),
                                                - про механизмы и средства обеспечения взаимодействия с АБС.

                                                Резюме (моё личное мнение): лучше использовать И-банкинг какой-нибудь фирмы-разработчика, нежели связываться с чужим самописным продуктом.

                                                Комментарий


                                                • #25
                                                  Всем привет.
                                                  Влад можно я за Вас отвечу?
                                                  Hugevlad Адвокат может сказать и так: "А чем уважаемый банк докажет, что когда клиент работает в системе его секретный ключ скрытно не закачивается в банк?" Софт на компьютере пользователя выполняется банковский, и в любом случае, даже подготовленный пользователь не может быть уверен, что софт делает именно то, что должен делать и ничего больше...
                                                  Так что это не аргумент.
                                                  Доказывается элементарно:
                                                  1) Сертификацией софта в ФАПСИ или альтернативной службе

                                                  2) Экспертизой изначально передаваемого софта с фиксацией его хэш-кода или ЭЦП как в Бифит.
                                                  В идеале, заботящаяся о репутации компания в спорном случае должна предоставить независимым экспертом свои исходники на предмет отсуствия закладок и качества генерации подписи и указать компилятор для контрольной компиляции.
                                                  В принципе даже декомпиляция софта отнюдь не сверхдорогая задача и при крупном споре осуществима.
                                                  По крайней мере ошибки для взлома часто ищут путём декомпиляции.

                                                  Комментарий


                                                  • #26
                                                    P.S. В Вашем случае как я понял используется ActiveX-объект, так, что проблем с идентификацией не должно быть.

                                                    Комментарий


                                                    • #27
                                                      Komlin

                                                      К вопросу о сертификации:
                                                      Как банк докажет (в случае оспаривания клиентом документа), что:
                                                      а) в момент подготовки документа на клиентской стороне выполнялся именно тот код, который был сертифицирован?
                                                      б) в момент разбирательства клиента с банком (т.е. в момент проведения экспертизы, декомпиляции и т.п.) на клиентской стороне выполнялся именно тот код, который теперь эксперты пытаются декомпилировать?

                                                      Иначе говоря (для ясности повторю ту же мысль другими словами), клиент всегда сможет утверждать в суде, что банк мог на некоторое время заменить код на сайте, скачать секретный ключ себе, а потом поменять код обратно. При этом любой приглашенный судом эксперт скажет: "Да, при желании банк мог это сделать". Получается, что все эти навороты с сертификацией не дают защиты банку от претензий клиента...

                                                      Вообще это интересная тема: нужна ЭЦП или нет?
                                                      Мы в своё время много потратили время и нервов на решение этого вопроса и пришли к выводу, что при работе с физлицами, использование ЭЦП нецелесообразно.
                                                      (Говоря это, я понимаю, что у этой точки зрения очень много категоричных противников. :-))
                                                      Основные доводы в пользу этого решения (по сравнению, во-всяком случае с карточкой доступа) следующие:
                                                      1. Использование ЭЦП сложнее для пользователя
                                                      2. Использование ЭЦП накладывает некоторые ограничение на мобильность пользователя (т.е. нужно подключить носитель с ЭЦП к компьютеру)
                                                      3. Сама технология ЭЦП - большая загадка для среднего пользователя. Я уж не говорю, что далеко не все "компьютерные" специалисты представляют себе эти алгоритмы. В этом смысле карточка доступа - наглядно и понятно (лежит в бумажнике, никому нельзя показывать, похожа на пластиковую карту и т.п.)

                                                      Другой момент: внедряя ЭЦП, сертифицируя софт и т.п. не получается ли так, что банки защищают электронные документы существенно "круче", чем обычные, подписанные обычной шариковой ручкой (ЧП могут не иметь печати)? Не странно ли это?

                                                      Еще один аргумент против ЭЦП :-) :
                                                      За границей её очень мало используют. Вводишь номер своёй визы на сайте и всё - деньги списываются скарты (утрирую, конечно). Масса операций потом клиентами оспаривается, но банки всё равно идут на это.
                                                      Более того, росиийсткие банки при работе межды собой зачастую предусматривают в договоре совершение сделок просто по телефону или по факсу (т.е. считают это АСП). Тут уж вообще никакой защиты :-)

                                                      В ту же тему хочу поинтересоваться у уважаемых банкиров:
                                                      Кто нибудь может привести какие либо данные о прецедентах судебных разбирательств между банком и клиентов, связанных с отказом клиента от электронного платежа?
                                                      Думаю, только судебная практика могла бы рассудить окончательно сторонников и противников ЭЦП. Но, к сожалению, я о таких прецедентах не слышал....

                                                      Комментарий


                                                      • #28
                                                        Как банк докажет (в случае оспаривания клиентом документа), что:
                                                        а) в момент подготовки документа на клиентской стороне выполнялся именно тот код, который был сертифицирован?
                                                        Поэтому-то банки и предпочитают продукты стороних производителей.
                                                        1) Вообще-то существует простое и надёжное решение: организация, сертифицировавшая код его и подписывает. В этом случае у банка в принципе нет возможностей подменить код (если конечно сам код написан нормально и не допускает возможности исполнения сторонних команд и скрытой подписи со стороны пользователя).
                                                        Это особено удобно в случае токних HTML/JS клиентов - т.к. сертификации требует очень маленький и практически не требующий модификации фрагмент системы (сам модуль формирования ЭЦП).
                                                        Другое дело, что ФАПСИ этого говорят не может делать, т.к. не имеет своего сертификата. Всё же можно найти и независимый центр, хотя-бы иностранный. При покупке сторонней разработки эта проблема решается автоматически.


                                                        2) IE , вообще говоря предупреждает, если появляется новая версия подписанного объекта, но почему-то не всегда. Для параноиков раньше были сторонние разработки, например ObjectChecker , наверное их аналоги есть и сейчас.

                                                        3) Можно устанавливать модули непосредственно на машину клиента (Как в случае с InterPro, фиксируя при передаче хэш код программы.

                                                        Как видно, решений есть много надо только захотеть.

                                                        Само же по себе ЭЦП нужно не столько клиенту, сколько банку, особенно в свете того, что именно оно является аналогом собственноручной подписи, и оно и только оно является адекватным способом авторизации при работе с юрлицами оперирующими сумами на порядки большими чем держатели VISa.
                                                        Кстати VISA в Интернете - типичный, и очень проблемный атавизм, живущий за счёт раскрученности в реале.

                                                        Komlin.

                                                        Комментарий


                                                        • #29
                                                          Кстати, почему Вы закрыли код самого модуля ЭЦП - ведь это ключевой элемент системы безопасности? Не видя его защищённость модуля оценивать невозможно.
                                                          Ну поругают Вас, на форуме ну и что- зато дырок и глюков станет меньше. Яркий пример тому iBank - они долго терпели, но с каждым разом их продукт становился всё лучше и лучше. Какое место у них сейчас на рынке? (конечно дело далеко не только в критике, но изначальная открытость проекта думаю принесла свои плоды, и их неприятности ограничились форумами, не успев дойти до реала).

                                                          -----------------------------------------------------
                                                          Между прочим, первая дырка видна невооружённым глазом:


                                                          Шифруется ли информация, передаваемая с моего компьютера в банк?

                                                          Да, для этих целей используется протокол SSL (128 бит).

                                                          http://dzerbank.ru/Index.asp?Id=IBFAQ

                                                          При обращении к Web-серверу Интернет-Банка устанавливается защищённое соединение, гарантирующее, что передаваемые данные не будут доступны никому, кроме клиента и банка.

                                                          Из справки
                                                          Защищённое соединение - это конечно хорошо, только применять его надо с аккуратно.

                                                          У Вас же ссылка с главной страницы на процедуру входа указывает на обычное соединение

                                                          a href="Index.asp?Id=IBLogin" class="white"> nobr>Вход для пользователей/nobr>

                                                          *****
                                                          и введённые логин и пароль пароль передаются без какой либо защиты. ...
                                                          Фрагмент с удалён... тут были несколько неправильные подробности(см. постинги cо второй страницы обсуждения, на самом деле уязвимость другая - возможность подмены страницы ввода пароля, хотя причины,следствия и способы лечение теже).


                                                          Дальше без изменений.
                                                          *****

                                                          Таким образом состояние счёта клиента доступно всем провайдерам и любому кто вклинится в канал ПД и подменит страницу .

                                                          В то же время процедура входа нормально работает и с https, поэтому Вам надо только поменять
                                                          ссылку на полную
                                                          a href="https://dzerbank.ru/Index.asp?Id=IBLogin" class="white"> nobr>Вход для пользователей/nobr>

                                                          или хотя бы предупреждать, пользователей в инструкции, чтобы не заходили ч/з главную страницу, а набивали ссылку ч/з https вручную (IMHO, лучше первое т.к. они всё равно забудут).

                                                          Последний раз редактировалось Komlin; 18.01.2003, 04:19.

                                                          Комментарий


                                                          • #30
                                                            Fomin

                                                            Мой публичный ответ на Ваше сообщение, которое Вы по непонятным мне мотивам отправили на e-mail.

                                                            Во-первых, я не ставил себе целью оскорблять кого-либо в данной теме, поэтому в моих постингах нет никакой злобы и агрессии.

                                                            Во-вторых, я участник обсуждений в технологическом блоке банковского форума на протяжении 2 (двух) лет. Поэтому мне знакомы правила поведения в публичных модерируемых обсуждениях, поучать меня, право, не следует. Тем более брать на себя функции модератора.

                                                            В-третьих, участие в форуме не предполагает обязательного сообщения своих личных данных, поэтому я счёл возможным их не указывать и не представляться. Это моё право, не Вам упрекать меня в этом, говоря, что это не по-мужски. Мы не измеряем здесь в сантиметрах длину _этого_ .

                                                            В-четвёртых, воспитанные люди прямо отвечают на прямо и конкретно поставленные вопросы. Вы этого не делали, побуждая меня повторно и настойчиво задавать их. Уверяю Вас, я не "молодой человек" в области банковских технологий, поэтому я в полной мере понимаю суть и характер своих вопросов.

                                                            В-пятых, воспитанные люди не опускаются до каких-то глупых и нелепых угроз, отправляемых приватно : говорить в таком тоне с малознакомыми людьми, тем более не представившись, как минимум некрасиво и не по мужски, а, как максимум, просто опасно?.

                                                            Имея опыт работы в области автоматизации банковских технологий, я всегда считал IT-специалистов немногими по-настоящему грамотными и образованными людьми. Видимо, я заблуждался ...

                                                            Без уважения лично к Вам, Fomin.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X