В ногу со временем: "паранойя" с безопасностью - модный тренд или насущная необходимость? - страница 2
Вы упускаете торговые возможности:
- Бесплатные приложения для трейдинга
- 8 000+ сигналов для копирования
- Экономические новости для анализа финансовых рынков
Регистрация
Вход
Вы принимаете политику сайта и условия использования
Если у вас нет учетной записи, зарегистрируйтесь
То есть к незашфрованному диску (а в жизни и такое может случиться) злоумышленник проберётся и запустит всё, что на нём было.
Так в чём проблема, шифруйте :) Благо программ для шифрования - навалом.
Главное пароль используйте сложный, и храните его в голове, а не на бумажке в кошельке и не в заметках в телефоне :)
Про методы вспоминания забытого пароля я здесь распространяться не буду.
Так в чём проблема, шифруйте :) Благо программ для шифрования - навалом.
Главное пароль используйте сложный, и храните его в голове, а не на бумажке в кошельке и не в заметках в телефоне :)
Про методы вспоминания забытого пароля я здесь распространяться не буду.
Есть нормальное криптографическое ПО для промышленных нужд в закрытом доступе, на службе у государств; для обычного потребителя весь этот коммерческий и прочий как бы криптософт имеет бэкдоры
Используйте ПО для шифрования с открытым кодом.
Ну а если похититель догадается о политиках безопасности и первым делом ломанётся их отключать и успеет это сделать до истечения сессии? Или они тоже могут требовать пароля?
Ограничьте текущего пользователя в правах так, чтобы вносить изменения в ветки реестра, где содержится информация о политике безопасности, мог только администратор компьютера.
Проще всего - заведите себе usb-токен (брелок, свисток, как у нас их называли) и привяжите его к руке. Брелок будет выниматься из юсб-порта, кода вы куда-то отходите от компа, и сеанс связи с сервером будет мгновенно прерываться (программы на сервере останутся запущенными). При вашем возвращении вы снова вставляете брелок, запускаете подключение к серверу, вводите пароль и продолжаете работать с того же самого места.
Фсё...
Если обнаружите меня в танке - вынимайте!
А пока назрели нижеследующие размышления...
Положим, где-нибудь в аэропорту был забыт ноутбук с торгующим в реальном времени экспертом.
...
Тогда злоумышленник заводит у того же брокера реальный счёт, подключает его через уже существующий в ноутбуке терминал, переключается на него и наслаждается зарабатыванием на чужом эксперте?
...
Существует ли данная проблема или это паника на пустом месте?
Вообще, когда я зачинал тему, то думал вовсе не о мерах защиты на уровне ОС-сессий и уж тем паче всевозможных физически размыкающихся "свистков" на запястье, а о чём-то навроде "последней мили безопасности", о которой было бы неплохо позаботиться самой MetaQuotes на случай нерадивого пользователя терминала и эксперта: если он вообще всеми ступенями безопасности умудрился пренебречь (люди спешат зарабатывать, а о защите начинают думать, когда уже приобретают опыт утраты важных данных, услуг или вещей), то должна оставаться последняя возможность спасти как-то ситуацию на уровне перекрытия работы эксперта в программно-торговой среде собственно терминала. Вот бишь с какой мыслью я создавал тему.
Если эксперт куплен через Маркет, то злоумышленнику придется брутфорсить аккаунт на mql5.com, дабы подключить ещё пару копий на других счетах, при условии, что эти копии пока ещё не использованы..
Брутить ничего ему не надо, ибо все необходимые пароли остались по условию задачи на ноутбуке к его услугам. Это раз.
Два - это то, что привязка робота к счёту вызывает у меня скептикфэйс, поскольку есть подозрения, что IT-эксперт сможет подсунуть роботу модифицированный траффик, где будет вбит уже любой другой номер счёта. Понятно, что котировки идут по ssl, но лично вы уверены, что нельзя встроиться в механизм расшифровки трафика терминалом и подсунуть свои данные, как, например, сниффер IEInspector HTTP Analyzer, который совершенно не умеет ломать https, однако встраивается в браузер, у которого по определению обязан быть и, разумеется, есть механизм дешифровки защищённого трафика перед конечным отображением веб-контента пользователю? (Кстати, далеко не все веб-снифферы понимают шифрованный трафик.) Где гарантия, что MT5 не даёт возможности повиснуть на нём, вклинившись между звеном дешифровки полученных данных и предоставления их MQL-программе? Кроме разработчиков терминала никто этого, прозреваю, не скажет. А если всё же возможно, то тут и роботу можно в предпоследний момент скормить другой номер счёта, и обратно на сервер отсылать сделки на другой счёт, а не тот, к которому привязан робот.
В-третьих, если не ошибаюсь, есть способы копирования сделок из MT5 в MT4, например. Ну и не только, наверное. Но даже если и есть, то защищён ли доступ к транзакционным данным исходного терминала... или сам программный канал передачи сделок от терминала к терминалу? Опять и снова сомневаюсь...