Сколько дверей у вашего сейфа?

В году этак 2001-м я натолкнулся на Интернете на новый магазинчик с русскими книгами, музыкой и фильмами. Потратив пару часов на выбирание того, что мне понравилось, я попытался заказать, на что те попытались тут же создать мне "account" и запомнить на нем мою кредитную карточку. То есть, кроме уже существующего в моих руках пластикового ключа и неизбежного при этом виртуального ключа к моим деньгам в виде номера карточки, срока действия и моего имени, они попытались добавить к моим деньгам еще один, свой собственный ключ.

Представьте это себе визуально. Вот есть здоровый сейф с вашими деньгами. Ну, или не очень здоровый. У вас есть ключ от него. Каждый такой придурковатый магазинчик, который запоминает вашу кредитную карточку и дает к ней доступ по логину на их сайт, пропиливает в этом сейфе еще одну дверку со своим собственным, как правило, достаточно ненадежным ключом. Как вам это нравится?

В общем, послал я их подальше, и даже написал им возмущенное письмо. А поскольку послал его с рабочего адреса, то его прочитали, и я даже поговорил с владельцем магазина на эти темы. Его оправданием было то, что он все равно создает "счет" в своей бухгалтерии, и обьяснить ему, что счет в accounts receivable, и логин на сайте, который может автоматически использовать кредитную карточку - это очень разные вещи, я так и не смог.

Кстати, это, пожалуй, один из немногих случаев, когда технология от Yahoo превосходит технологию от Google. Я говорю о системах оплаты от этих компаний. У Yahoo счет заводит фирма-продавец, поэтому плачу я своей кредиткой, но на сайте Yahoo, так что фирма-продавец мою карточку в глаза не видит. Очень удачный компромисс безопасности и удобства. Google Checkout же требует, чтобы я завел счет у них как покупатель и доверил им хранение номера своей кредитки, в надежде, что мой универсальный Google account никто не сопрет. Да еще и завязав на тот же счет мою электронную почту, календарь, и еще невесть сколько сервисов совершенно иного уровня безопасности. В общем, Google старается нанимать очень умных людей, но судя по этому решению, по крайней мере одного не очень умного человека они все-таки наняли.

Вообще-то, бытует мнение, что безопасность - это всегда морока и головная боль, и в чем-то это мнение оправданно. Однако, удивительно насколько часто эта морока и головная боль связана не столько с безопасностью, сколько с патетичным неумением имплементировать безопасные системы и непониманием всей этой области.

***


blog comments powered by Disqus