Поле "адрес организации" (и безопасность)

Поле "адрес организации" (и безопасность)

Postby root » Fri Mar 08, 2013 9:06 pm

Вижу в интерфейсе поле "адрес организации"..

Предположим, логин/пароль от аккаунта GuardSaas украдены.

Если это целенаправленная работа по данной организации, тогда, скорее всего, ее фактический адрес уже известен, и новой информации злоумышленник не получит.

А если кража данных аккаунта произошла без привязки к организации (банальный троян отправил своему владельцу все сохраненные в браузере пароли)?

Если злоумышленник заходит в интерфейс системы и в два клика видит физический адрес организации, ему относительно несложно становится прописать свою карту в систему или сделать дубликат существующей карты. Типов карт немного, оборудование для клонирования доступно, "защищенные" от клонирования решения очень, очень редки. Если возникнет соблазн "сходить посмотреть" и есть хоть чуть-чуть навыков социальной инженерии..
Last edited by root on Thu Mar 21, 2013 2:06 pm, edited 1 time in total.
root
 
Posts: 41
Joined: Wed Feb 27, 2013 1:11 pm

Re: Поле "адрес организации"

Postby ILogic » Sat Mar 09, 2013 7:56 am

Этот вопрос не является тем, что продаётся в данной системе.
Это имеет отношение к любой системе построенной на доступных к копированию картах,

а в отношении дописать есть переключатель Lock на конвертере - защищающий аппаратно от изменения конфигурации.
ILogic
 
Posts: 2
Joined: Sat Mar 09, 2013 7:51 am

Re: Поле "адрес организации"

Postby root » Thu Mar 21, 2013 1:23 pm

ILogic wrote:Этот вопрос не является тем, что продаётся в данной системе.

Не вполне понял фразу. Можно другими словами?

ILogic wrote:Это имеет отношение к любой системе построенной на доступных к копированию картах,

Да это так.
Но я тут ругаю не железо (контроллерам/считывателям), которое делает возможным копирование.
Я ругаю именно GuardSaaS за облегчение злоумышленнику задачи.

Для копирования карты в традиционной системе нужен доступ к карте. В случае СааС он не нужен, если есть доступ к аккаунту.

Кстати, кроме скрытия адреса организации, в качестве противодействия злоумышленнику подойдут:
лог административных действий, его рассылка администраторам (как я понимаю, эта фича - уже в списке на внедрение);
скрытие от пользователей SaaS-системы (или большей их части) идентификаторов карт.

Идентификатор карты в открытом виде для большей части пользователей можно заменить хэшем, с уникальной "солью" для каждой организации. Большей части пользователей хеша хватит, а подсмотреть и склонировать идентификатор карты будет уже невозможно.

ILogic wrote:а в отношении дописать есть переключатель Lock на конвертере - защищающий аппаратно от изменения конфигурации.

Правильно ли я понимаю (по нику), что вы сотрудник ironLogic? :evil:
Переключатель на конверторе защищает от изменения конфигурации конвертера. Он не защищает от изменения конфигурации подключенных контроллеров.
root
 
Posts: 41
Joined: Wed Feb 27, 2013 1:11 pm


Return to Часто задаваемые вопросы

Who is online

Users browsing this forum: No registered users and 2 guests

cron