KlAnIv

Извиняюсь, что тема перешла в конкретные частности и тонкости. По общим проблемам имеющимися не только у СТК, Я высказался в начале темы, а это были некоторые факты. И что, Ваш оператор не официально заботиться о безопасности своих абонентов, это лучше чем СТК официально не заботиться о б своих.

Я вам и говорю, что логины/пароли для веба и pppoe разные. Логины похожи бывают, но это две разных записи. Ничто не мешает оператору при заведении абонента вбивать разные пароли в памятку. А им это на кой? Проблема абонента... как и все остальные дырки в безопасности оператора.

vit, Вы через строчку читаете? ...Модемы интеркросс на rtl8671/rtl8671b которые они втюхивают вновь подключившимс имеют банальную дырку в виде инженерных логина/пароля adsl/realtek и по умолчанию разрешённому доступу к web из интерент. Берём любой сканер сканируем диапазон стрёма на наличие web доступа с данной парольной фразой, заходим на модем, лезем в Admin->Save settings->файл.xml, открываем его любым текстовым редактором и видим логин/пароль учётной записи открытым текстом.

Упал, не встал...Отвечу кто несет ответственность, извиняюсь еще одной цитатой участника sfstudio с ОФ: " до пользователя модем идет в Комплекте с услугой вебстрим за 99 рублей , еЕ неотъемлемая часть так сказать ... Вот это точно да, темболее не совсем понятен выбор интеркросса как вендора (цена как выяснилось не ключевая позиция) учитывая вышеозначенные проблемы о которых я кстати поставил в известность интеркросс, СТК и общественность как только наткнулся в SDK риалтэка на эту дыру и убедился что дырка пристутствует во всех прошивках интеркросса со времён 8671P и по сегодняшний день не закрыта. Более того СТК как временное решение была предоставлена возможность заливать мою прошивку по решения интеркроссом сий дырки (работы на пол часа с выкорчёвыванием куска кода из boa + cli + simple login). СТК ответили практически следующее: "А на кой нам заморачиваться". Интеркросс тихо промолчал. Часть народа свалило на мои прошивки, часть закрыли доступ к WEB морде из интернета встроенным фаерволом учитывая что в большинстве прошивок снятие галки в Remote Access напротив WEB ни к чему не приводит, ещё часть поднимают соединение с ПК. Однако уверен что достаточно железок торчит как с дефолтовыми паролями на морду, так и с дыркой."

Так речь то не о том, что воспользоваться паролем ради халявного Интернета, а "...дальше можешь порадовать владельца интеркросса сменой например тарифа =))) Ну или ещё какой пакостью."

Еще один пример, как СТК "заботится" о безопасности учетных записей абонентов, выдержка с ОФ (sfstudio): " Тююю, ну дамп и дамп, у стрёма всё проще.. Модемы интеркросс на rtl8671/rtl8671b которые они втюхивают вновь подключившимс имеют банальную дырку в виде инженерных логина/пароля adsl/realtek и по умолчанию разрешённому доступу к web из интерент. Берём любой сканер сканируем диапазон стрёма на наличие web доступа с данной парольной фразой, заходим на модем, лезем в Admin->Save settings->файл.xml, открываем его любым текстовым редактором и видим логин/пароль учётной записи открытым текстом. Всё, дальше можешь порадовать владельца интеркросса сменой например тарифа =))) Ну или ещё какой пакостью. О какой нафиг безопасности при этом идёт речь я не понимаю.

То, что не любят СТК и МРК, не говорит о том, что любят абонентов как таковых ;-).Для разбора полета нужна карта полета и его подробное описание, а не предположения, куда оно летело. А не получиться, нет третьей независимой стороны у которой эта карта хранилась бы. Клиент хотел в Москву, а провайдер водила привез в Мухасранск, выдав его за Москву, доказательства этого в билете - конечный пункт Москва.

Дык закрыли только пару часов назад, сам проверял ссылку. И хотелось бы верить, что это была отладочная база, а не онлайн.

Угу, но люди уже успели накачать от туда под сотню мегабайт.

Обсуждаем законность он-лайн изменения тарифных планов, хорошо. Но еще один аспект этого вопроса, это комплекс мер по защите от несанкционированного доступа к учетной записи и логам абонента. С ОВ:"...давайте таки еще раз - если "качество" списания бабла должно быть прописано на бумаге, почему его сумма может так легко варьироваться без подписей? ведь НЕТУ НИКАКИХ ЭЛЕКТРОННЫХ ПОДПИСЕЙ у стрима! нету! он не является каким бы то ни было центром по их выдаче. ТСу вообще злые люди могли подсунуть фишинг ( и , благодаря недоработке вебстрим-формочки по смене тарифов и отсутствию ЭЦП и даже банального ССЛ, по-человечкски подписанного доверенным CA (например верисигном) он НЕ_МОГ знать на какой сайт он попал - на настоящий или нет. Настоящий сайт от фишингового Ничем не отличается - он не содержал на тот момент никаких принятых в 21 веке способов удостовериться в подлинности. то есть банально на деньги ТС сейчас наймут в конце концов ,может быть, программистов и админа, которые и прикрутит Заверенный хотя бы сертификат." и с конкретными с примерами: "Сибирьтелеком нагнетает по-взрослому. Суды, биллинги, сертификаты, айпи, договора, распечатки - непонятно это людям и некрасиво очень. Проще надо быть, стараться хорошо делать свою работу. Тогда и люди потянутся и бизнес наладится. А пока так: http://www.google.com/search?q=site%3Awstream.ru видим "/var/www/vhosts/wstream.ru/mysql_debug.sql" Цитата: # wget -Sc -O 07.sql 'http://www.wstream.ru/mysql_debug.sql' ... 100%[======================================>] 276,355,891 331K/s in 12m 41s ... # grep -i 'password' 07.sql | wc -l 26 сотни метров в час записей запросов к базе данных, в т.ч. и компрометирующих учетные записи пользователей, торчат в интернет на протяжении нескольких лет. Сибирьтелеком не нагибают лишь потому что он "неуловимый джо" и значимого профита с мелкого регионального провайдера не предвидится. Так и топикстартер вроде не олигарх. Зачем же у него последнее отбирать?"

Что б не гадать - учились логи читать. К интеркросс с 4 езернетами в режиме бриджа подключите пару компов и ... думаю Иркутский филиал СТК вам то ж даст с обоих выйти в инет Те под одним логином, поднять ПППоЕ сесию на разных компьютерах за модемом? :))

Угу, его клиенты перепутали свой личный кабинет с его на Вебстриме, по рулили однако. :) "Безвинной овечкой", в настоящих условиях, может стать любой из нас, а не только продаваны хостинга, не любимые тут.

вы сомневаетесь, что именно так и будет? ) Желание высшего руководства, еще не значит, что оно воплотятся в жизнь в обозримом будущем.

Разумеется. Так и должно быть: оператор стремится запутать абонента, абонент стремится запутать оператора. В результате - хаос и анархия. Правовая культур-мультурка в российском исполнении. Каждый стремится кинуть каждого.Но СТК сильнее, поэтому становится чемпионом в этой гонке. Поэтому упростить все до единственного тарифа - подключение к порту Ethernet (Fast Ethernet). Тогда проще будет Не рубящему инспектору, проверять давление скорость, подключая со стороны абонента манометр нбук и потом на основании этого напрягать сантехника оператора за не достаточное качество услуги. :)ПС: Не хотел обидеть Уважаемых, сравнением. Читайте выше, ОН не лицензируется.

Видимо приведенный Вами пример не относится к делу по теме, так как инцидент произошел в конце прошлого года. И вопрос был не к скорости, которая могла остаться на прежнем уровне, а к не произведенному абонентом (с его слов) изменению тарифа с безлимитного, на более дорогой с оплатой за трафик. С тех пор произошли некоторые изменения, в том числе и в интерфейсе пользователя. А раньше даже, как сказал один из пользователей ОФ: "У Вебстрима до недавнего времени (до ноября 2009) была такая неразбериха в описании, ценах Тарифов на предоставлении интернет-услуг на их же собственных различных официальных ресурсах что впору за голову было браться, где же верно."

Вам что приятнее будет - попиз*еть или полечиться? Вас, извиняюсь, задел мой "п...ж"?

Менялка тарифов :) сертификации не подлежит. Читайте Правила применения, очень познавательно.Я даже не говорю о том, что эти документы попросту не относятся к делу. Суд не Роскомнадзор, сертификаты проверять не обязан. Ну эти документы и вовсе не имеют никакого отношения к делу. Спасибо за ответ. Понял, что сертифицируется только сама система расчетов, а разные фишки в виде "Личных кабинетов" появились позже и на них закрыли глаза.А зря, отсутствие сертификата и на эти модули и естественно отсутствие испытания на безопасность учетных данных абонента при входе в Личный кабинет, приводит в том числе и к проблемам по теме.

Другой момент, изменяя через веб-интерфейс свой тариф, абонент должен однозначно понять и оценить на что он соглашается, кликая кнопку "Принять". Если на странице изменения тарифа нет условий и описания тарифа в полном объеме, а лишь название тарифа, получается провайдер не все сделал электроно(документально) для исключения ошибок абонентов. Но оферта есть в виде одной строчки названия тарифа, под которой абонент и подписывается :) http://img266.imageshack.us/i/44883357xh6.jpg/

1. В том числе сертификат на АСР, его версию с модулем он-лайн изменения тарифа. Плюс договор поставки и первичные документы на АСР. 3. Через заявление в милицию. А абонент пошел по пути 2.

В таком случае, принять всерьез значить прочитать даже мелкие буковки в нем и отказаться от его заключения, все равно наи.ут? У Вас нет, отлично! Но по постам выше, есть явные проблемы, у некоторых... Любому человеку свойственно ошибаться и "Опыт, сын ошибок трудных..", но можешь в любой момент попасть под машину провайдера по не зависящим от тебя причинам.

Спасибо компетентному и уважаемому человеку за ответ! Еще в начале всей истории абоненту рекомендовалось обратиться к Вам, как к юристу, но... Поэтому не буду Вас, Антон, загружать темой судебного разбирательства, пусть он (абонент) выходит на Вас сам, со своей бедой. Но, все же это частный случай, как говорил выше, ситуация в которую может попасть каждый, даже не по своей воле и даже прочитав договор. В широком смысле, проблемы, которые попробовал донести тут, явно существуют, даже судя по откликам на эту тему.

Гарантии дам я: мне, чтобы заработать кэш, нужно, чтобы абоненты не уходили и приходили новые. В случае, если мой самописный биллинг считает с коэффициентом 1.5 в мою пользу, существующие абоненты разбегутся, новые не подключатся, и останусь я с кучкой железа отвечать перед инвесторами. Вы прям как "однорукого бандита" программите, слишком большой коэффицентик сделаю, "лохи" разбегутся, маленький, "жаба" задавит.

Вот тут то Вы зря, так на прямую правду-матку, тут абоненты то же бывают и получается им это надо. Вы стараетесь покупать качественные сертифицированные продукты, они так же хотят получать качественные услуги, подтвержденные сертификатами. А если Вы используете не сертифицированную АСР (ее версию), так это должны быть Ваши проблемы. Кто даст гарантии, что в Вашем самописном биллинге нет дырок удобных Вам?

Ни в коем случае, виноват - наказать, любую из сторон! Речь о том, что от этой ситуации ни кто не застрахован, ни абонент, по своему знанию или не знанию сделавший это, подставленный "третьими лицами" или не подставленный, ни оператор, при наличии "заинтересованности" некоторых своих сотрудников или не компетенции оных, при отсутствии в полной мере или не исполнению существующей нормативно-правовой базы.

Думаю, зайди он сюда, запинали б сразу.