LINUX.ORG.RU

1 2 3
Ответ на: комментарий от male66

>то есть - если я у знакомого/друга/подруги подсмотрел эту ссылку - и зашел на нее с компа - они (знакомый/друг/подруга) попадают на бабки?

да.

mono ★★★★★
() автор топика
Ответ на: комментарий от shimon

>В случае с Ъ схема не сработает, они не ходят по ссылкам.

кстати да, расово-верным Ъ эта схема абсолютно безопасна.

mono ★★★★★
() автор топика

Если мне приходит СМС, и телефон отправителя не определяется, удаляю не читая. Туда же летит хлам от пчелайна.

vada ★★★★★
()
Ответ на: комментарий от mono

А я не понял, как это работает.


"... покупка контентного «товара» разбита на три этапа:

- Регистрация номера телефона заказчика на сайте провайдера
- Генерирование уникального ключа и его SMS-доставка на телефон заказчика
- Ввод этого уникального ключа на сайте провайдера

Схема призвана защитить абонента от мошеннических действий ретивого «провайдера» и одновременно позволяет оператору отгородиться от возможных претензий: «Получил код? Получил! Ввел его на сайте? Ввел! Теперь пеняй на себя, надо было читать Договор-оферту» ..."


В этом куске текста непонятно, где генерируется уникальный ключ - у «провайдера», или у «оператора»?

И непонятно, как эта схема защищает абонента, если регистрация номера телефона и ввод уникального ключа происходит на сайте провайдера. Даже если генерирование уникального ключа происходит у оператора, то кто мешает провайдеру принимать несуществующие ключи, и тем самым подписывать абонента на свои услуги?

Получается, что провайдер может работать напрямую с деньгами клиента. То есть, ситуация следующая - провайдер приходит к оператору, и говорит «Я вот с этим клиентом договор заглючил. Буду с него тыщщу в месяц снимать за свои услуги. Договор заключен на законных основаниях». Оператор говорит - «Ок, действуй!». Что здесь неправильно? То, что оператор не проверил законность заключения договора. А проверить он может только одним способом - организовать сервис выдачи и проверки ключей у себя, так, чтобы ключи были неизвестны провайдеру. В приведенной схеме ключи провайдеру _известны_, коль он вставляет их в свои ссылки. Но тут ни о какой секьюрности речи не идет, я только удивляюсь, почему такого развода раньше не появилось.

xintrea
()
Ответ на: комментарий от xintrea

>В этом куске текста непонятно, где генерируется уникальный ключ - у «провайдера», или у «оператора»?

Там где-то явно написано, что оператора. Схема: провайдер делает запрос оператору на подключение абонента с телефоном №Х, оператор генерирует и посылает ключ абоненту, абонент вводит код у провайдера, провайдер посылает код и телефон оператору, в случае совпадения с посланными оператор подписывает абонента. Как я понял, тут суть подставы, что провайдер подписное сообщение сделал не «Введите код %d на сайте lohotron.ru», а «зацени открытку по адресу <a href=http://lohotron.ru/razvod.jsp?code=%d

redgremlin ★★★★★
()
Ответ на: комментарий от bibi

> Сотовый оператор тоже, очевидно, далеко не так чтобы заинтересован в собственном расследовании и присечении подобных схем.

Сотовый оператор имеет процент с операции и вряд ли будет проявлять какую-то активность по пресечению обсуждаемого, разве что поднимется большой шум.

Alesh
()
Ответ на: комментарий от redgremlin

> Схема: провайдер делает запрос оператору на подключение абонента с телефоном №Х, оператор генерирует и посылает ключ абоненту, абонент вводит код у провайдера, провайдер посылает код и телефон оператору, в случае совпадения с посланными оператор подписывает абонента.

Понятно. В приведенной схеме ключи провайдеру известны. Из-за этого защита от неправомочных действий провайдера отсутсвует как понятие.

xintrea
()
Ответ на: комментарий от redgremlin

В приведенной схеме ключи провайдеру известны

Где?

Ну не ключ в явном виде, а ссылка на ключ - «%d». По которой легко узнать сам ключ:

Как я понял, тут суть подставы, что провайдер подписное сообщение сделал не «Введите код %d на сайте lohotron.ru», а «зацени открытку по адресу <a href=http://lohotron.ru/razvod.jsp?code=%d>"

При открытии http://lohotron.ru/razvod.jsp?code=%d, код становится известен провайдеру.

Этого быть не должно.

xintrea
()
Ответ на: комментарий от xintrea

Уточнение - ключ становится известен провайдеру, минуя форму ввода ключа для подтверждения согласия пользоваться услугой.

xintrea
()
Ответ на: комментарий от xintrea

>Ну не ключ в явном виде, а ссылка на ключ - «%d». По которой легко узнать сам ключ:

Ну, когда юзер по ссылке кликнет, тогда провайдер узнает. Про то и топик, что хитров*е контент провайдеры стали эту дырку эксплуатировать.

redgremlin ★★★★★
()
Ответ на: комментарий от xintrea

Схема должна быть такой - выдача и проверка ключей происходит на сайте оператора. Провайдер может только сделать запрос «Номер телефона + номер услуги», и получить булеву информацию, согласился ли клиент пользоваться услугой или нет.

Пока этого сделано не будет, способы развода будут весьма изощренными и очень эффективными.

xintrea
()

Все не Ъ = лохи!

FiXer ★★☆☆☆
()

По ссылке не ходил, а те кто ходят по ссылкам в смс, не просто не Ъ, а клинические идиоты.

Alex_A_V ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
Talks