:-) понял уже. Слава богу, зашел IE, с грехом пополам.
1. Не понял как, все-таки, платеж сделать.
2. Интерфейс для физиков точно не подходит, только для банкиров или юриков.
3. Много графики.
4. Зачем copyright в интернет-банке?
5. Названия разделов неприлично
делать картинкой.
из-за канала связи. Ну и щас узнал похоже поставили пока на пень2-266 и там же какая-то ДОСовская прога крутится постоянно, ресурс машины жрет 100% - демка же.
оно не на php :-)
Реклама: У нас, как раз с сегодняшнего дня, работает в любом браузере.
Вот это хорошо!
Дождались.
А почему в новостях ни слова?
2 galiy:
А вы каким-то не правильным путем пошли, раз
изначально один IE. Imho.
А у меня и в IE не заработало. Объекты потенциально небезопасные хотела поставить. Да кто же ей даст...
А вы каким-то не правильным путем пошли, раз изначально один IE.
Может быть, может быть... подумаем об этом потом. Сейчас главное сделать чтоб жило.
Да и не столь критично это. Если клиенту оно будет надо, клиент запустит IE,
несмотря на свой любимый браузер. Вообще, любимые браузеры, отличные от ИЕ, (а также линуксы и т.п.) встречаются в основном у продвинутых пользователей или программеров. Мы же не ставили перед собой задачу удовлетворить их прихоти, нам нужно было сделать работающую систему. Сейчас по факту втандарт
работы с вебом один - виндовоз и эксплорер, так что основная масса клиентов будет довольна. Что же до потенциально небезопасных элементов - ну если Вы не доверяете банку с которым Вам работать, то что мы можем поделать.
Цитата: От пользователя: Natalca
А справочник
корреспондентов не предусмотрен?
А вот это интересно. Существует мнение, что для сегмента рынка, пользующегося интернет-банком, достаточно возможности создавать документ по образу и подобию ранее оплаченного. Я вот пользуюсь инетрнет-банком одного е-бургского банка довольно давно, там есть
такой справочник, но я что-то так ни разу им и не воспользовался. Копирую платежки, сумму меняю и отправляю.
Цитата: От пользователя: Dan-
для юриков
Да, тут я наверное соглашусь. Интерфейс расчитан на некоторые первоначальные знания о правилах оформления
платежных документов. Надо что-то придумать наверное, чтобы смог пользоваться не сильно грамотный юзер.
Кстати, av, мы вот это чудо в перьях написали месяца за 3. А я слышал, что Вы года 2 назад начали интернет-банк рисовать свой. Как прогресс? Можно демку глянуть?
Кстати, av, мы вот это чудо в перьях написали месяца за 3. А я слышал, что Вы года 2 назад начали интернет-банк рисовать свой. Как прогресс? Можно демку глянуть?
Да вроде работает... Для Юр.лиц... Как физики сами в банк24 ходим.
:-)
А демки нет. Наверно потому, что банк приватный. :-)
Заметно.
Равно как и то, что специалистов по безопасности к разработке не привлекали. В результате, дизайн системы настолько небезопасен, что я бы не рискнул ей пользоваться.
У
вас что, денег не хватило купить сертификат thawte/verisign для сервера и подписи кода?
Это ж надо догадаться вдувать самоподписанный корневик по незащищенному каналу!
Подпись кода "упирается" в этот же корневик, не имеет даты. На extended key usage в юзерском сертификате без слез
смотреть невозможно. Контроль качества пароля отсутствует напрочь, позволяет делать пароль из 1 символа.
При этом интерфейс неплохой, особенно радует, что форма платежки выглядит как на бумаге (это, к сожалению, редко кто делает) и имеется связка с самой распространенной бух. программой.
Если безопасность до ума довести, то будет, наверное, неплохой продукт ("наверное" - потому что мы видим только юзерскую сторону, а есть еще много тонких моментов в банке). К сожалению, опыт показывает, что если вопросы безопасности грамотно не учитывать с самого начала разработки, потом это
превращается в натягивание презерватива на глобус. Надеюсь, в вашем случае это не так и систему можно будет доработать.
Не за что ,)
Но все-таки лучше безопасников привлекать с самого начала разработки. То, что заметил я, лежало на поверхности. Наверняка много неочевидных вещей, если посмотреть на проект изнутри...
Кстати, а как вы планируете "не в демке" выпускать сертификаты юзерам в онлайне? Во-первых, для этого вам придется получит сертификат подчиненного СА, а во-вторых - держать соответствующий секретный ключ в онлайне, что есть очень опасно.
Что есть "в онлайне" ? На веб-сайте чтоль? Он не там.
Хорошо, не на самом веб-сайте, но на компе, который связан с веб-сайтом явно не дискетой, судя потому, что сертификат выпустился мгновенно ;-)
Best practices - ключи CA живут
на компе, не включенном в сеть.
Согласен. Комп, на котором лежит CA имеет доступ к сайту. Сайт не имеет доступа к компу. Да и вообще никто не имеет. По нашему мнению, учитывая что между сайтом и компом ишо файрвол
стоит, этого достаточно.
Ну не надо доводить до маразма а? Должна же быть реальная оценка рисков, сопоставленная с потерями от их минимизации...
А то так мы этот комп для надежности вообще выключим и в кассу сдадим на хранение млин... :-d
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
