Зачем Webmoney ввели параноидальные настройки безопасности?

Если кто-то понял, будьте добры, поясните, что такое «запомненный в кукисах пароль»? Может, автор про функцию запоминания пароля браузером (это абсолютно не про куки, если что)?

kukutz, в сookie, как и SOL, может поставить галочку не спрашивать что-либо у пользователя в следующий раз. Может вполне работать и без механизма запоминания пароля, но я не думаю, что Яндекс стал бы реализовывать это для такой щепитильной инфы, как платежный пароль.

Возможно, если использовать функцию запоминания пароля в браузере, все и работает так, как рассказано. Но я эту функцию не использую — и у меня всегда спрашивают платежный пароль.

думаете без SMS в вебмани лучше зашита, чем с кукисами ЯДа? Поверьте мне, я лишился денег как-то без енума, не моргнув и глазом. Это видимость защиты. Включите енум с приложением (приложение на телефон) и никакие смс не будут беспокоить.

Платежный пароль в Яндекс.Деньгах не запоминается «в кукисах» и каждая финансовая транзакция должна быть подтверждена его вводом. Возможно, у вас включено автозаполнение пароля средствами браузера. В таком случае просто выключите его для сайта Яндекс.Денег в настройках браузера. Если опасаетесь за сохранность своего платежного пароля, можете попробовать перейти на усиленную авторизацию по одноразовым паролям.

Карманный шифроблокнот рулит. SMS — отстой.

Вы забыли свой WMID указать :)

> Возможно, у вас включено автозаполнение пароля средствами браузера. В таком случае просто выключите его для сайта Яндекс.Денег в настройках браузера. Разработчики ЯДа, видимо, не в курсе, как сделать так, чтобы браузеры совсем не предлагали запомнить их пароль. Также они, видимо, не в курсе того, что все современные вирусы одной из своих функций имеют воровство все запомненных браузерами паролей. Это, в целом, хорошо характеризует отношение сотрудников ЯДа к безопасности их клиентов — «нужна безопасность — занимайтесь ей сами».

участились случаи угона ВМ трояном с рабочей машины, так что ничем кроме мобильного защититься нельзя. приятного мало, но это вынужденная мера ЯД — да. гораздо проще

Если честно, я предпочту заниматься безопасностью сам, нежели чтобы ей занимались за меня. Потому что «за меня» проще мне просто всё запретить, и забыть про мои проблемы. «- Вы и есть за меня будете? — Ага!» Я вот вебманями не пользуюсь потому, что сдуру завёл classic, а на light с него вообще никакой процедуры не предусмотрено. Вообще, судя по рассказам про вебмани, основная их проблема — нет вообще никакой блок-схемы, которая объясняла бы, когда что вам можно и как перейти из одного состояния в другое. В результате есть куча тупиковых состояний, из которых можно выйти с помощью саппорта только. Причём те могут помочь, а могут не помочь. У них тоже — есть рычаги, но нет общего алгоритма — что можно, что нельзя. Мне так почему-то показалось.

@Alter Ego 20.12.2010 12:04:28 Разработчики в курсе, но, как справедливо заметил ilyak в следующем комментарии, многие пользователи сами хотят решать что им важнее: удобство (автозаполнение платежного пароля) или безопасность. В любом случае, спасибо за ваше мнение. Взвесим все за и против подобного решения и, возможно, отключим запоминалку.

Интеллектуальное большинство ™ начинает задумываться о безопасности только когда у них уведут все деньги с кошелька. Не знаю ни одной крупной ПС, которая позволяла бы браузерам запоминать пароли к себе в password managerе. Видимо, они уже давно взвесили все «за» и «против».

Знаю один весьма популярный в России браузер, который всегда предлагает сохранять пароли на сайтах, независимо от используемого в крупных ПС методах запрещения данного действа. А также знаю несколько крупных ПС, которые данный метод не используют, и таки позволяют запоминать пароли в хранилище браузера.

а можно подробнее, что это за браузер и что это за ПС?

Пожалуйста: → Opera (игнорирует атрибут autocomplete=»off» у тэгов input); → Moneybookers (этот атрибут на форме аутентификации не используют).

Для кого параноидальная, а по мне так единственная возможность спать спокойно. Кому надо телефон пополнять или голоса Вконтакте покупать пусть таки «непараноидальным» ЯДом и пользуются, а кто хоть какой бизнес ведет сами включили себе все эти настройки еще весной, как только ВМ возможность предоставили.

А недостаточно делать input-у каждый раз новый name, чтобы не запоминало? Мне вот никогда не надо было бизнес вести, поэтому WM меня и отпугнул, видимо. Если они вообще не хотят вести дел с аудиторией, которая хочет по мелочи платить-переводить, а не торговать-фрилансить — так бы честно и сказали.

@ilyak Можно, но это помешает браузеру подставить значение, а не запомнить его. PS Думаю, детали технической реализации такой защиты выходят за рамки дискуссии по теме.

Какая версия оперы? После 7й версии она вполне нормально поддерживает autocomplete=»off» http://stackoverflow.com/questions/3868299/is-autocomplete-off-compatible-with-all-modern-browsers Moneybookers действительно не отключают сохранение пароля, но там хотя бы капчу при авторизации вводить надо.

Stackoverflow, конечно, глубоко уважаемый мною ресурс, но если вы сами попробуете последней stable-версией Opera (одиннадцатой, сдается мне) аутентифицироваться на paypal.com, то станете доверять ответам на нем немного меньше.

На пейпале автоматически подставляется только логин, пароль можно добавить в оперовский менеджер(который кстати шифруется) лишь сознательно клацнув на его сохранение.

Перечитайте, пожалуйста, предыдущие комментарии. Мы тут о чем толкуем? Любой менеджер паролей браузера предлагает сохранить пароль, предлагая пользователю сознательно клацнуть на сохранение. Так вот атрибут autocomplete=»off» у поля ввода пароля позволяет сообщить браузеру, что визард сохранения пароля выводить не требуется (а следовательно и сохранять его тоже). Opera этот атрибут игнорирует, выводя визард даже в этом случае и предлагая пользователю сознательно сохранить пароль в своем шифрованном хранилище. Кстати, шифруется оно в достаточной мере только при установке на него мастер-пароля в отличие от более православных браузеров.

2 kugaevsky не слушайте всяких альтер эгов— которые почему то думают что все хотят чтоб «за них ели» У ЯД — все очень хорошо сделано и не надо ухудшать, лучшее-враг хорошего. Например Сбер сделал запрет на автоподстановку пароля. И потому пользоваться сайтом сбера (сбербанк-онлайн) — это сущее мучение, ну разве что раз в мес можно себя заставить, и то по очень большой необходимости. ЯД — тем и хорош что он удобен, и им можно пользоваться каждый день для мелких платежей. В общем паранойя — это путь к потери аудитории, как говорили мудрые: «Будьте проще и люди к вам потянуться» :)

>>>ЯД — тем и хорош что он удобен, и им можно пользоваться каждый день для мелких платежей. >>>В общем паранойя — это путь к потери аудитории Ну разве только той аудитории, потребности которой исчерпываются теми самыми мелкими платежами. ;)) Те кто оперирует мало мальски серьезными суммами в сети, а если эти суммы еще и приходится держать там, не выводя тут же, думаю, все эти люди перекрестились трижды и может даже кто и свечку в церковь побежал поставить, когда ввели возможность подтверждать переводы через смс или e-num. :))

Уже 2 года пользуюсь QiwiКошельком. Намного функциональней и дешевле ЯДа. Что и говорить — про WM забыл, как про страшный сон)))))

Ещё раз повторю. Зачем считать «аудиторию с мелкими платежами» людьми второго сорта? Если это официальная политика WebMoney — «аудитория с мелкими платежами нам неважна, пусть мучаются» — то надо так и сказать честно.