Comments | dmitrmax: Кража личности и денег

dmitrmax

Кража личности и денег

Jul 19, 2021 15:30

Интересный материал появился на Фонтанке о том, как потерять телефон, учетку от ГосУслуг и попасть на кучу денег.

Хотя в статье не описаны досконально действия мошенников, я предполагаю, что получение доступа к ГосУслугам позволило мошенникам выпустить новый паспорт, а далее вместе с ним и доступ к выпуску электронной подписи, по которой уже можно ( Read more... )

госуслуги, события, телефоны, бюрократия, во дела!, lifehack, ЭДО

Leave a comment

Back to all threads

shelepiha July 19 2021, 14:51:34 UTC

Что такое токены авторизации ?

dmitrmax July 19 2021, 17:00:14 UTC

После того, как вы вводите свой логин/пароль и, если он включен, второй фактор (СМС), сервер присылает вам токен - просто некоторый объем инфы, который серверу необходим для того, чтобы понимать, что все ваши последующие запросы именно от вас. Затем, каждый раз когда браузер или приложение отправляет запрос на сервер, оно включает в него информацию из этого токена, и сервер её проверяет. Так он убеждается, что запрос выполнен авторизованным юзером и у него есть права на доступ к тому или иному разделу сайта, который он запрашивает.

shelepiha July 19 2021, 17:44:25 UTC

Понятно (как ни странно). Типа куков, то есть некий бес, который сидит у вас на устройстве и каждый раз подтверждает серверу, что каждый следующий запрос он получает оттуда же, откуда предыдущий. То есть "перехватить управление" в ходе сессии другим устройством не получится. Я умный ?

dmitrmax July 19 2021, 18:03:53 UTC

В том-то и дело, что не "оттуда же", а "тем ж". Если токен как-то выковырять и в другое место скопировать, то сервер не поймет этого. В остальном, в целом, да.

mindfactor August 5 2021, 12:50:29 UTC

альтернатива этому - каждый раз вводить пароль. пользователи взвоют

Back to all threads