это от Давида Яна, который abbyy

самого юзера уникальные коды подтверждения до успешной смены пароля/протухания токена не защищают, так как если есть доступ к его почте/СМС, то новые коды точно также уведут как и старые

ага, был подкаст, и мы тут обсуждали, насколько это зло

ужасно бесит, когда залагала смска, запрашиваешь новую, приходит две сразу и ты не знаешь что вводить в итоге

особенно учитывая догадку о том, что коды там псевдослучайные могут быть https://habr.com/ru/post/462071/

опять же - зависит от того, от чего хотим защищаться . Если есть некая слабая атака на пользователя (гипотетически xss на левом сайте и доступ к почте появляется  только когда пользователь фокусируется на уязвимой вкладке, ну или какие-то другие сложные условия, что почту можно там раз в х минут тырить), то решение когда все 5 токенов активны - слабее, потому  что достаточно успешно стащить любой (а не конкретно последний) и можно сменить пароль . А если еще стащенный токен не инвалидируется после смены (а инвалидируется только тот, который был активирован) - то можно еще и сменить пароль после того как пользователь его уже раз сменил... Ну в общем если это на вебсайте с мемасиками - можно и не париться, временный доступ к аккаунту не нанесет много ущерба, а если такое в банке и ИБ не бумажная - вряд ли прокатит.

В банке на email ничего не высылают, насколько мне известно. Пуш или СМС.

банки разные, некоторые в курсе что телефонные номера - очень плохой 2fa, даже почта лучше, так что смс - хуже отправки на почту, а надеяться на только на пуши - вроде как нельзя, ибо человек телефон мог поменять\потерять...

даже больше скажу GDPR немножко против

поэтому они в России тестируют :D

О! С недавних времен клиент "Открытия", они из-за подобных случаев пишут "Введите СМС #3" и присылают такое:

"Вы запрашиваете реквизиты карты в интернет-банке ib.open.ru. Никому НЕ ГОВОРИТЕ код №3, его спрашивают только МОШЕННИКИ: 1234"ib.open.ru. Никому НЕ ГОВОРИТЕ код №3, его спрашивают только МОШЕННИКИ: 1234"

вот это хорошо. напомнило скретч карты)

и в США вроде бы =)

Всем здравствуйте, укажите пожалуйста направление. Есть куча микросервисов разных типов, шедулеры, грпц, ресты, итд. Есть непреодолимое желание фиксировать проблему, но нет желания парсить логи в эластике. Правильно ли делать кастомную метрику, например об ошибке в приложении (зафейлилось задание по-расписанию или количество собщений логлевел error>0) и навешивать алерт на такую метрику или такой подход в корне противоречит лучшим практикам?

Я бы спросил тут про лучшие практики @metrics_ru

спасибо, пойду туда)

ага

МС уже пробовал

мне понравилось, что они сразу предлагают найти новую работу через разных HR. мне бы после такого все равно было бы тошно у них оставаться