|
Admin
|
|
29 мая 2014 18:28
|
|
Здравствуйте,
1. Нет, пока нет.
2. Тоже нет, и по законам этого делать нельзя.
3. Апдейты есть, но редко. Услуга не очень востребована.
|
|
|
|
alex
|
|
30 мая 2014 01:56
|
|
Спасибо за быстрый ответ.
1) Подумайте, пожалуйста. Хотя бы зеркало туда. Риски большие - приходят, забирают, бумаги показывают. И все может быть из-за какой-то ерунды, или одного несчастного клиента, под которого кто-то копает. Цена вопроса - почти ни о чем, наверное. И домен не в .ru
2) Я тут не про законы, а про инфо, которая может быть интересна для кого-нибудь. Было бы круто, если бы это было защищено и от самих себя в т.ч.
3) Да и не очень интересно, если честно, облако гораздо приятнее. Просто из-за вышеприведенных соображений.
Так или иначе с быстрым ростом все встанет на свои места, чего вам и желаю.
|
|
|
|
Soz
|
|
24 июня 2014 14:16
|
|
По поводу безопасности: надо понимать, что ресурс Админа ограничен. Если он пишет статью о том, как оно всё безопасно - он не пишет статью о нюансах пользования сервисом. Если он реализует двухфакторную авторизацию - он не пишет продвинутый многопользовательский режим. И так далее.
Подключусь к предложению выехать на сервера (и домен) за пределами юрисдикции РФ и других, "дружественных" государств.
В последние годы это банально не дальновидно - оставаться тут.
Всё это мило, пока не приходят в первый раз. Друг, писатель, всегда был аполитичен, пока по требованию ФСБ ему не выключили сайт. На страницах сайта был стишок из списка экстремистских материалов. Теперь сайт в Канаде, А домен от Черногории : )
В вашем случае пострадает отнюдь не один человек :-/
|
|
|
|
RsH
|
|
24 июня 2014 16:03
|
|
очень улыбнуло рассуждение Ilyan о Сбере, и о полноте информации раскрываемой на сайте Сбера, а так же дропбокса и прочих онлайн сервисов.
ну вопревых требования закона на который ссылается Cбер можно выполнить бесконечным количеством способов, и ссылка на него никому ничего не даст.
Кстати одним из таких способов может быть, например: "для подтверждения каждой операции клиента в дистанционном канале обслуживания операционист банка нажимает клавишу "ввод" после визуально проверки соответствия ip адреса с которого осуществляется ввод операции ip адресу указанному в договоре" - это называется организационные меры обеспечения безопасности :).
теперь по сути темы:
У администрации ДД нет обязательств перед пользователями о раскрытии способов обеспечения безопасности, более того каждый пользователь принимая правила соглашается с тем, что доступ к его данным может быть получен третьими лицами "по таким то причинам".
Однако сейчас вопрошающие почему то решили, что они имеют право почти-что требовать раскрытия способов защиты информации на сайте.
у меня встречный вопрос, а с чего вы это решили?
прочитайте пожалуйста еще раз перечень того, за что вы заплатили (если заплатили) абонентскую плату, а потом выставляйте те или иные требования.
|
|
|
|
Ilyan
|
|
25 июня 2014 19:42
|
|
У меня нет никаких требований.
Просто хотел объяснить администрации, что договор о предоставлении услуги защищает только от исков и претензий пользователей, но не от потери доверия и репутации.
|
|
|
|
RsH
|
|
26 июня 2014 10:01
|
|
Ilyan перечитайте свои посты еще раз - возникает впечатление что есть. :)
Ниже строгое ИМХО. Цели кого-то обидеть не ставлю и на обмен упреками не призываю.
Меня всегда восхищали профессионалы "от сохи" (здесь намек не на сельское хозяйство, а параллель с тем, что менеджер по продаже памперсов - все знает по космонавтику).
"дайте нам полный перечень информации о мерах" - и что?
главный вопрос, а что вы с этим будете делать? что если будет вдруг ваш друг Вася, админ из соседнего подъезда, скажет, что вот именно вот эта реализация SSL по его мнению ...овно, и что дескать поменяйте срочно?
Если кто-то является специалистом по информационной безопасности напишите в форме обратной связи: "Дескать так-и-так я Василий Пупкин, специалист по ИБ с аттестатом №такой-то, аттестован тем-то, могу провести аудит ИБ сервиса ДД на таких-то условиях (платно/за спасибо/за печеньки), а после аудита и устранения выявленных нарушений повесим на сайте информацию, что проведен аудит ИБ и сервис ДД признан защищенным. срок следующей проверки ДДММГГГГ."
И если все срастется, тогда, например я - посмотрев кем сертифицирован спец, проверив номер сертификата скажу: "Верю сервис защищен до ДДММГГГГ!"
И пока этого нет я осознанно принимаю риски, что сервис может быть взломан и данные похищены. независимо от всех возможных мер принимаемых Adminom.
|
|
|
|
Ilyan
|
|
26 июня 2014 16:13
|
RsH Пишет: И пока этого нет я осознанно принимаю риски, что сервис может быть взломан и данные похищены. Когда администрация, ресурсов которой не хватает практически ни на что, заявляет, что у нее все отлично с безопасностью, и никаких дополнительных мер не требуется, я ей не верю.
На 100% не верю даже условному Сбербанку, но дребеденьгам - вообще никакого доверия.
И соответственно, оцениваю риск похищения и/или потери данных как ГОРАЗДО БОЛЕЕ ВЫСОКИЙ, что тем не менее, не мешает мне осознанно принимать этот риск.
Но, конечно же, если появится другой сервис с удовлетворяющим меня функционалом и более вменяемым отношением к безопасности, я на него перейду не задумываясь.
|
|
|
|
Ilyan
|
|
26 июня 2014 16:21
|
|
Короче, вопрос только в том, нужно ли администрации мое доверие. Например, для повышения монетизации, для лояльности сервису.
Я лишь пытался объяснить, что необходимо для того, чтобы это доверие заслужить. Но если оно не нужно, то все ок, у меня нет претензий.
|
|
|
|
RsH
|
|
26 июня 2014 16:34
|
|
Ilyan, если я правильно помню, именно вы осознанно отказались от "Премиума", т.к. система планирования вас не устраивала, а остальное не было нужно? но возможно я ошибаюсь?
но и даже если ошибаюсь, то "о повышении монетизации сервиса при помощи открытого декларирования мер ИБ" слышать от пользователя использующего сервис бесплатно - это сильно.
спрошу прямо :) сколько конкретно вы готовы заплатить за публикацию мер обеспечивающих безопасность ДД? :)
|
|
|
|
Ilyan
|
|
27 июня 2014 15:41
|
Я отказался от платной подписки лишь временно, в знак протеста:
https://www.drebedengi.ru...;s=80
Но как раз сегодня я восстановил Premium - уже в 5-й раз (правда 1 из них был подарком администрации), хотя из платных услуг я пользуюсь только шаблонами и экспортом, без которых мог бы и обойтись (как обходился последние 3 месяца).
Так что думаю, что меня все-таки можно назвать лояльным пользователем.
Я не готов заплатить больше, чем я плачу сейчас - я и так считаю свою подписку в большей степени "пожертвованием", чем платой за услуги, учитывая, что я ими почти не пользуюсь.
Монетизация - это не только "наличка здесь и сейчас".
Это и привлечение новых пользователей с более высокими требованиями к безопасности, и удержание старых, недовольных непрофессионализмом разработчиков, и наконец, снижение рисков одномоментно потреять весь бизнес из-за проблем с безопасностью.
И вообще, чего вы привязались ко мне именно с этой темой? :)
Думаю, количество различных замечаний и предложений, которые я сделал на этом форуме уже идет на сотни - и многие из них имеют достаточно общий характер. Я не требую у администрации публикации мер безопасности (для этого надо сначала предпринять хоть какие-то меры), а пытаюсь донести мысль о том, что если администрация более серьёзно отнесется к этой проблеме, в выигрыше окажутся все.
|
|
|
|
RsH
|
|
27 июня 2014 16:12
|
|
Ilyan :) - а к кому еще привязываться :) никто больше не оппонирует. если чем то обидел - извините... мир?
по поводу премиума: я помню, что была протестная история но не помнил где именно. :)
По теме, я понимаю желание получить информацию, и знаю чем это заканчивается... (см. выше) А администрация в силу того, что на форуме все кто пишут - клиенты, скорее всего не будет отвечать моими фразами и примерами. а по другому объяснить не получится :(.
ладно пора заканчивать эту тему :)
|
|
|
|
zimaev
|
|
18 октября 2014 17:04
|
Admin Пишет: Бабаров Роман Пишет:Правильно я понимаю, что Админ(ы) имее(ю)т полный доступ к моим данным?Правильно. Я так понимаю, мы у вас под контролем. Вы знаете кто купил вашу программу чрез play.google, а там вся информация о пользователе play.google, далее кто ее, периодически, оплачивает. Теперь все наши финансы у вас в руках.
|
|
|
|
Soz
|
|
18 октября 2014 17:18
|
zimaev Пишет: Я так понимаю, мы у вас под контролем. Вы не понимаете.
Проблема не в этом, т.к. доверять ли разработчикам или нет, решать вам, и пока их репутация безупречна.
Проблема в том, что сами разработчики под контролем... э... Российской юрисдикции, скажем так. А вот уже у этих товарищей репутация совсем отвратительная.
|
|
|
|
zimaev
|
|
18 октября 2014 17:31
|
Soz Пишет: пока их репутация безупречна ?????? почему пока?
|
|
|
|
zimaev
|
|
18 октября 2014 17:34
|
Soz Пишет: Проблема в том, что сами разработчики под контролем... э... Российской юрисдикции, скажем так. А вот уже у этих товарищей репутация совсем отвратительная. Эту фразу я вообще не понял. Вам не нравится наша Российская юрисдикция?
|
|
|
|
Soz
|
|
18 октября 2014 17:35
|
|
Потому что всё в этом мире временно : )
Но опять же, вы не туда смотрите.
Дело в том, что выше стоят ребята с не то, что подмоченной репутацией, а с просто водяной. Ну а на самом деле с репутацией просто негативной: малейшее что, зайдут с ксивою в ЦоД и заберут сервер на проверочку.
Поэтому, как вариант, использовать свою копию Дребеденег. Мне только интересно, можно ли при этом будет пользоваться мобильными приложениями.
|
|
|
|
zimaev
|
|
18 октября 2014 17:35
|
Soz Пишет: А вот уже у этих товарищей репутация совсем отвратительная. Вам не нравиться наша правоохранительная систем? Вы откуда "ребята"?
|
|
|
|
Soz
|
|
18 октября 2014 17:36
|
zimaev Пишет: Вам не нравиться наша правоохранительная систем? Не нравится. Слишком хорошо знаком.
|
|
|
|
zimaev
|
|
18 октября 2014 17:41
|
zimaev Пишет: Бабаров Роман Пишет:Правильно я понимаю, что Админ(ы) имее(ю)т полный доступ к моим данным?Правильно. Я повелся. Решил, что мне админ отвечает).
|
|
|
|
zimaev
|
|
18 октября 2014 17:56
|
Soz Пишет: зайдут с ксивою в ЦоД и заберут сервер на проверочку Нас можно проверить и без таких сложностей (в банках все транзакции учтены, в магазинах и т.д). В этой программе можно отследить куда ты тратишь: какое у тебя хобби, какие предпочтения, бухаешь и т.д. Все это доступно Админу(ам).
|
|
|
|
zimaev
|
|
18 октября 2014 18:31
|
Admin Пишет: Добрый день, Залог безопасности - обезличенность данных. Не вводите никакой информации о себе, используйте обезличенный email адрес в публичном зарубежном сервисе и тогда никто никогда не сможет узнать чьи это данные, даже если получит доступ к БД в чистом виде. Хотел услышать Админа:
1) ФЗ N152-ФЗ 3 июля 2006 года как в Вашем сервисе реализован? Я понимаю, что Вы сошлетесь на "соглашение", а оно в рамках действующего законодательства?
|
|
|
|
zimaev
|
|
18 октября 2014 18:41
|
zimaev Пишет: Бабаров Роман Пишет:Правильно я понимаю, что Админ(ы) имее(ю)т полный доступ к моим данным?Правильно. Не услышал ответ от Админов! Кому еще кроме вас доступны данные? Кому вы их можете передать?
|
|
|
|
zimaev
|
|
18 октября 2014 19:00
|
zimaev Пишет: Бабаров Роман Пишет:Правильно я понимаю, что Админ(ы) имее(ю)т полный доступ к моим данным?Правильно. Прошу Администрацию сайта ответить, на сколько защищена мой аккаунт от передачи третьим лицам!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
|
|
|
|
zimaev
|
|
18 октября 2014 19:07
|
|
Админы! Трудно осветить? Это значит, что на мои вопросы:
1) ФЗ N152-ФЗ 3 июля 2006 года как в Вашем сервисе реализован? Я понимаю, что Вы сошлетесь на "соглашение", а оно в рамках действующего законодательства?
2) Кому еще кроме вас доступны данные? Кому вы их можете передать?
вы не можете прокоментировать.
|
|
|
|
zimaev
|
|
18 октября 2014 19:37
|
|
Друзья-пользователи!!!! Вы это читали?: "Исполнитель не несёт ответственности за доступ третьих лиц к информации хранящейся в системе, но обязуется сделать всё возможное для защиты информации расположенной на сервере". Т.е. все Ваши данные не защищены, в принципе!!!! Но разрабы пытаются нас защитить((((
|
|
|
|
zimaev
|
|
18 октября 2014 19:42
|
|
Обидно, долго пользовался сервисом. Понимаю, что защита никакая, админы могут делать с моими данными хоть что!!!! Надо убегать с этого сайта!!!!
|
|
|
|
Admin
|
|
18 октября 2014 22:50
|
zimaev Пишет: 1) ФЗ N152-ФЗ 3 июля 2006 года как в Вашем сервисе реализован? Наш сервис законы не реализует, но он их старается соблюдать.
"Я понимаю, что Вы сошлетесь на "соглашение", а оно в рамках действующего законодательства?" - совершенно верно.
|
|
|
|
Admin
|
|
18 октября 2014 22:52
|
zimaev Пишет: Кому еще кроме вас доступны данные? Кому вы их можете передать? Кому (и если) потребует законодательство РФ.
|
|
|
|
Admin
|
|
18 октября 2014 22:53
|
zimaev Пишет: на сколько защищена мой аккаунт от передачи третьим лицам! Насколько он защищён - читайте выше в этой же теме. Всё обмусолено дальше некуда. Ссылка на эту тему даже специально вынесена в FAQ.
|
|
|
|
Семен
|
|
25 октября 2014 17:03
|
Пишет: 3. Все доступные меры безопасности данных, в рамках компетенции администрации сервиса - приняты. Какие именно это меры - не скажем.
И вот после этого у меня желание доверять свою финансовую информацию вам пропало напрочь. Такое ощущение, что вы действительно совсем ничего не понимаете в компьютерной безопасности, шифровании всём вот этом. Вы действуете по принципу black box security, ваша защита опирается на то, что никто не знает, как она устроена. Это по определению проигрышная стратегия, на эти грабли наступли, например, разработчики шифрования GSM, которое оказалось очень слабым, потому что прошло сразу в продакшн без достаточного открытого аудита со стороны криптосообщества.
То есть в вашей секретной схеме защиты равновероятно могут быть, а могут и не быть серьёзные уязвимости. Наверняка вы об этом, скорее всего, узнаете уже после того, как данные ваших пользователей уйдут. А можете описать архитектуру, используемые алгоритмы шифрования и получить совершенно бесплатный аудит безопасности, кучу идей, как улучшить схему и почёт среди пользователей, которым не пофиг на собственные финансовые данные.
|
|
|
|
Семен
|
|
25 октября 2014 20:04
|
|
Вот прямо сейчас у вас есть:
Поддержка фолбэка в SSL3, а значит уязвимость к POODLE, SHA1 для подписи, нет поддержки современных версий TLS.
Сертификат истекает в 2017 году, при том, что SHA1 для подписей в https будет считаться небезопасным уже с 2016 года.
Видна куча открытых портов без фаервола, в том числе порт БД.
Это ни в коем случае не означает, что у вас сейчас есть уязвимости, но это показывает, что уровень вашей паранойи не слишком высокий.
В общем, ребят, зря вы не рассказываете, как вы защищаете наши финансовые данные и надеетесь, что незнание вашей инфраструктуры может остановить злоумышленников. У вас отличный сервис и очень обидно, что у вас такие странные взгляды на безопасность.
|
|
|
|
Семен
|
|
25 октября 2014 20:34
|
Пишет: Объясните как это сделать, имея только цифры, не имея информации ни о банках, ни о том, безналичные они или нет (это тоже означает "не вводить идентифицирующую информацию")? Скорее всего вы ошибаетесь.
Допустим я злоумышленник, у меня каким-то образом появляется доступ к серверу с обезличенным массивом цифр. Так же у меня есть жертва, я иду за жертвой в очередь в супермаркете, достаю из мусорки чек. Прихожу с ним домой, делаю выборку из вашей обезличенной БД фильтруя её по точной сумме покупки и по времени. При необходимости повторить.
В итоге у меня на руках точная привязка конкретного человека к аккаунту в спёртой БД из дребеденег.
В общем, извините, наболело.
|
|
|
|
Nntip
|
|
7 февраля 2015 21:16
|
|
Пожалуй, подниму очень актуальную в наше время тему. Тем более, что я не смог найти ответов на некоторые мои вопросы.
1. Хранит ли Ваш сервис данные по подключениям? Я имею ввиду IP адреса, MAC адреса и другие идентификаторвы устройств, по которым можно так или иначи установить с какого компьютера, планшета или мобильного телефона была выаполнена авторизация и синхронизация данных с сервисом. Хранится ли эти данные только за последние подключения или есть информация по некоторой истории последних подключений?
2. Если я внёс изменения в свои данные (обезличил всё что только мог), могу ли я быть уверен, что старые данные (пускай не сразу) действительно будут удалены из всех упоминаний на Вашем сервисе? И, если это не закрытая информация, какой приблизительно период времени это занимает? Я тут имею ввиду, что старая информация будет храниться в резервных компиях баз данных, которые рано или поздно будут перезаписаны более актуальными копиями баз.
3. Использует ли мобильное приложение для Андройд какой-то механизм защиты подключения к сервису (например шифрованное SSL/TLS) или данные предаются в открытом виде?
Я понимаю, что затрагиваю технические аспекты реализации сервиса и пойму, если мне откажут в их раскрытии. Хотя, я считаю, что любой сервис обработки данных пользователей должен так или иначе заверить колиентов, что предпринимаются такие-то меры по защите того-то и того-то. Детали реализации можно опустить, но хотелось бы знать о наличие самой защиты.
П.С.: Да, как и многие, я конечно легко согласился с условиями пользованиея сервисом толком их не читая и даже оплатил подписку на год. Но сейчас вопрос целесообразности сделанных мной поспешных движений стоит достаточно остро.
|
|
|
|
Admin
|
|
7 февраля 2015 21:35
|
|
1. Нет
2. Да (не сразу)
3. Вы можете сами в настройках поменть урл на https
|
|
|
|
Елена
|
|
5 марта 2015 06:05
|
|
Здравствуйте! Хотелось поменять пароль! Подскажите как?
|
|
|
|
Admin
|
|
5 марта 2015 09:00
|
Елена Пишет: Хотелось поменять пароль! Подскажите как? Здравствуйте.
В меню "Другое"-"Личные настройки".
|
|
|
|
Сергей
|
|
19 марта 2015 17:13
|
|
Добрый день, я понимаю, что с безопасностью тут все не очень хорошо, но есть отличные примеры готовых решений, как ответственность за сохранность данных переложить на пользователя.
По Вашим сообщениям я вижу, что данные в БД на сервере лежат в открытом виде.
Пожалуйста присмотритесь к проекту http://www.teampass.net/
Требуется два простых решения и полная переработка инфраструктуры:
1. Все данные в БД шифруются паролем пользователя, никто, кроме самого пользователя не может их расшифровать.
2. Вести логирование входов в аккаунт по IP адресу.
На данный момент я перешел в эту тему из FAQ, но вместо заявления о том, что все безопасно - я вижу Ваше сообщение, что любой, кто имеет доступ к серверу имеет доступ ко всем данным.
|
|
|
|
Admin
|
|
19 марта 2015 17:49
|
Сергей Пишет: но есть отличные примеры готовых решений, как ответственность за сохранность данных переложить на пользователя. У нас тоже есть готовое решение, практически специально для этого, вот оно: http://www.drebedengi.ru/...erver
|
|
|
|
Сергей
|
|
19 марта 2015 18:11
|
|
Вы опять перекладываете с больной головы на здоровую, не надо так
|
|
|
|
Admin
|
|
19 марта 2015 18:15
|
Сергей Пишет: Вы опять перекладываете с больной головы на здоровую Вы что-то путаете. Ответ был дан по существу. Предложенное решение 100% закрывает вопрос безопасности, в отличие от всех остальных.
|
|
|
