Date: 2010-12-30 10:51 am (UTC)
From: [identity profile] object.livejournal.com
Молодцы!

Date: 2010-12-30 11:50 am (UTC)
From: [identity profile] oldkettle.livejournal.com
Да, я вчера где-то видел эту историю. Правда, не уверен, к месту ли там упомянут Ньютон :-), но в остальном - отлично.

Date: 2010-12-30 12:20 pm (UTC)
From: [identity profile] darsh.livejournal.com
К месту:
In June 1661, he was admitted to Trinity College, Cambridge
Soon after Newton had obtained his degree in August 1665, the university temporarily closed as a precaution against the Great Plague.
In 1667, he returned to Cambridge as a fellow of Trinity.

Date: 2010-12-30 12:23 pm (UTC)
From: [identity profile] oldkettle.livejournal.com
Это понятно, мне просто упоминание великих показалось слегка пафосным, особенно по сравнению с остальным текстом.

Date: 2010-12-30 01:06 pm (UTC)
From: [identity profile] darsh.livejournal.com
Вполне уместное упоминание. Сколько лет Кембриджу - и сколько той UK Card? Ребята забылись слегка - упоминание великих должно было их немного отрезвить.

Date: 2010-12-30 07:23 pm (UTC)
From: [identity profile] spivaki.livejournal.com
+1 показалось слегка пафосным

Date: 2010-12-30 12:07 pm (UTC)
vladimir000: (Default)
From: [personal profile] vladimir000
Молодец какой!

Date: 2010-12-30 12:24 pm (UTC)
From: [identity profile] rev-andre.livejournal.com
Как он его. Его ответ можно суммировать тремя словами: "Нах%й - это туда" :)

Date: 2010-12-30 04:28 pm (UTC)
From: [identity profile] spivaki.livejournal.com
а объясните мне смысл конфликта? в Кембридже придумали как можно обойти систему безопасности Чип & Пина и опубликовали в общественном доступе, а банки возмущались? а почему Кембридж просто чатным образом не продал эту технологию банкам, и для чего нужна была передача на ТВ? Просто чтобы показать, какие они в Кембридже умные, а в банках дураки, или я не понимаю чего-то?

Date: 2010-12-30 05:04 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
Представь себе, что ты потерял карточку. На следующий день ты это обнаружил, сообщил в банк, карточку заблокировали, вроде бы все в порядке. Но за этот день по твоей карточке было накуплено товаров на весь кредитный лимит. Ты звонишь в банк, жалуешься, а они тебе отвечают, что все транзакции были сделаны по технологии Chip&PIN, а поскольку эта система абсолютно надежна - стало быть, ты сам виноват. Нацарапал pin на карточке, или еще что-нибудь в этом духе. Negligence, одним словом. Система Chip&PIN незаметно перенесла ответственность за мошеннические транзакции с банков на пользователей.

Тут появляются ребята из Кембриджа и говорят, что система не так уж и надежна. Oни это еще в 2009 году продемострировали, но за это время только Барклай удосужился заткнуть эту дыру. По крайней мере, они так утверждают. Остальные считают, что правильнее заткнуть рот этим умникам, чтобы не сеяли панику.

Насчет того, чтобы продать эту технологию банкам - так банкам она не нужна. Банкам нужно, чтобы никто другой о ней не узнал.

Date: 2010-12-30 07:21 pm (UTC)
From: [identity profile] spivaki.livejournal.com
Извините, что порчу консенсус, но возникает ряд комментариев:
1) у нас с Викой лично в жизни было 2 случая, когда с нашей карточки снимали жулики деньги, и оба раза банк нам сам позвонил, сказал об этом и сразу же без всяких вопросов полностью компенсировал убытки.
2) если банки нарушают права потребителей, не выплачивая компенсацию жертвам мошенничества, этим должен заниматься Financial Ombudsman, FSA, а не ученый из Кембриджа. банки и другие финансовые организации получают сейчас свою долю перца от этих организаций под малейшим предлогом. А ученые должны заниматься академическими исследованиями
3) по стилю, письмо этого профессора написано очень помпезно и с большим количеством ненужного снобизма, увы столь типичного для академической среды. и к чему он приплел Ньютона я абсолютно не понял: надо придерживаться реальности, а не бряцать знаменитыми именами. Возникает подозрение, что возможно этот профессор - просто по натуре скандалист...

Ага, такой исследователь

Date: 2010-12-30 07:52 pm (UTC)
From: [identity profile] igorm.livejournal.com
глобального потепления кредитных карточек.

Date: 2010-12-30 08:08 pm (UTC)
From: [identity profile] nameless--one.livejournal.com
1) У меня тоже такое было. И что это доказывает?

2) А вот скажем некто выдал грант на исследования по определённой теме. А как учёному узнать можно ли ему этой темой заниматься? А то вдруг это не академическое исследование? Наверное комиссия специальная нужна?

3) Не без этого.

Date: 2010-12-30 09:17 pm (UTC)
From: [identity profile] spivaki.livejournal.com
1) а я не доказываю, я просто комментирую
2) а этой группе из Кембриджа кто-то выделил грант на это исследование? на конкурсной основе? интересно - кто проводил конкурс и какие были правила?
я не могу ответить на вопрос, как должны распределяться средства на разные исследования, я сам никогда не работал в академической среде. но я представляю, что защитой прав потребителей в обществе должны заниматься не ученые. Я не могу судить о техничекой сути вопроса (а кто-то здесь может?), но если действительно технология была с ошибками, банки бы скоро это признали сами под давлением рыночных сил и возможно под давлением штрафов, налогаемых FSA, и сами бы эти ошибки поправили. У меня вся эта история в стиле "злые банки специально хотели от нас все скрыть" вызывает подозрение - программы на BBC для того чтобы меня убедить не достаточно.
3) :)

Date: 2010-12-30 10:48 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
1) мне один раз даже вернули деньги за покупку, которую я сам сделал :)

2) Ученые не занимались защитой прав потребителя. Они занимались тем, что им интересно, а именно - криптоанализом. Ну да, это не чистая наука, а прикладная, но не вижу ничего странного в том, что такие исследования проводятся в университете. Вряд ли в FSA найдется хотя бы один человек, который хорошо разбирается в криптографических протоколах, туда не за это берут.

А вопрос о том, кто выделил деньги на эти исследования, в данном случае совершенно неважно. Работа уже проделана, результаты получены. Даже тот, кто платил за это, не вправе запретить ученому их опубликовать.

3) Насчет пафоса не берусь судить, а вот Ньютона и прочих он зря приплел, это к делу не относится. Я бы ожидал подобного ответа даже от захолустного университета, созданного 20 лет назад.

Date: 2010-12-30 11:05 pm (UTC)
From: [identity profile] spivaki.livejournal.com
мне сложно ответить, абсолютно не понимая сути предмета, но со стороны это выгладит так, что человек тратит налоговые деньги на изобретение новых способов как взломать банковские коды. И когда мне говорят, что это делают для общественного блага, чтобы вывести злые банки на чистую воду, мне это начинает казаться conspiracy theory. Я не очень верю в то, что какой-то ученый обнаружил лазейку в технологии, а банки взяли и не захотели ее исправлять и надеялись все это дело замять. Какой-то маловероятный сценарий...

Date: 2010-12-31 10:30 am (UTC)
From: [identity profile] ahaxopet.livejournal.com
человек тратит налоговые деньги на изобретение новых способов как взломать банковские коды

Я так понимаю, что человек, тратящий деньги налогоплательщиков на доказательство, скажем, теоремы Ферма, тебя не возмущает?

Вопрос о полезности тех или иных исследований мне вообще кажется странным. Наука - это удовлетворение собственного любопытства за чужой счет :-) Практическая польза может быть прямо сейчас (как в данном случае), через сто лет, или вообще никогда.

А конкретно эти люди делают очень полезное дело. Единственный способ проверить криптосистему на прочность - это попытаться ее взломать.

банки взяли и не захотели ее исправлять и надеялись все это дело замять

Не то, чтобы совсем не захотели.. Они исправляют, но медленно. А без подобных публикаций исправляли бы еще медленнее. Или вообще бы не исправляли. Пока убытки от этих дыр небольшие - проще их терпеть, чем вкладывать деньги в разработку более надежных схем.

Кстати, это не первый случай такого рода. Вот более старый пример (http://www.theregister.co.uk/2003/02/24/citibank_gags_crypto_researchers/).

Date: 2010-12-31 10:44 am (UTC)
From: [identity profile] spivaki.livejournal.com
нет, теорема Ферма меня совсем не возмущает :))
см. мой ответ nameless__one ниже :))

"Пока убытки от этих дыр небольшие - проще их терпеть, чем вкладывать деньги в разработку более надежных схем" - вот это абсолютно верное утверждение. Нужно предоставить банкам и FSA решать, что экономически целесообразнее - инвестировать в новые системы или платить компенсации потребителям. Они в этом профессионалы.

Date: 2010-12-31 10:52 am (UTC)
From: [identity profile] ahaxopet.livejournal.com
Если бы банки теряли только свои деньги - ради бога. Но они действительно пытаются переложить ответственность на потребителей (см ссылку выше), упирая на то, что их системы абсолютно надежны. Для доказательства ненадежности криптосистем тоже нужны профессионалы - ученые-криптографы.

Date: 2010-12-31 11:02 am (UTC)
From: [identity profile] spivaki.livejournal.com
а если нужно инвестировать в компьютерные системы, то банки будут тратить "свои деньги"? все равно в конечном итоге за все будет платить потребитель, в той или иной форме.

Я в криптографии ни в зуб ногой, но интуитивно криптографам и менеджерам, работающим в банках доверяю принимать решения о том, какой путь экономически целесообразнее для потребителя, а этим ислледователям из Кембриджа - нет.

На счет "переложить ответственность" все как раз наоборот: с 2010 года переложили ответственность на банки:
Originally bank customers had to prove that they had not been negligent with their PIN before getting redress, but UK regulations in force from 1 November 2009 placed the onus firmly on the banks to prove that a customer has been negligent in any dispute, with the customer given 13 months to make a claim
http://www.telegraph.co.uk/finance/personalfinance/consumertips/banking/6338659/Bank-payments-13-months-to-dispute-suspicious-transactions.html

Date: 2010-12-31 11:27 am (UTC)
From: [identity profile] ahaxopet.livejournal.com
все равно в конечном итоге за все будет платить потребитель, в той или иной форме.

Ну да, либо платят пострадавшие (скажем, один из ста тысяч), но сразу много, либо все вместе, но понемножку. Тебе не кажется первый вариант несколько несправедливым?

Я в криптографии ни в зуб ногой, но интуитивно криптографам и менеджерам, работающим в банках доверяю принимать решения о том, какой путь экономически целесообразнее для потребителя, а этим ислледователям из Кембриджа - нет.

А я - наоборот :) В криптографии немножко разбираюсь, давно вопросом интересуюсь, и независимым ученым доверяю больше, чем банкам :)

UK regulations in force from 1 November 2009 placed the onus firmly on the banks to prove that a customer has been negligent

Хорошо, если так. Только до сих пор они выставляли доказательства в таком духе: "в транзакции был использован корректный PIN, стало быть, либо пользователь сделал это сам, либо он свой PIN кому-то показал, вольно или невольно." Надо посмотреть на то, как суды будут интерпретировать это новое законодательство, я пока ни одного случая не видел.

Date: 2010-12-31 11:37 am (UTC)
From: [identity profile] spivaki.livejournal.com
для борьбы с несправедливостью и есть это новое законодательство. я лично и до этого не чувствовал, чтобы банки несправедливо зажимали компенсацию, а теперь им это еще сложнее будет делать.

доверяю я больше работникам банков, потому что они несут ответственность за свои решения: перед начальством, перед акционерами, перед ФСА, перед журналистами. А сотрудники университетов - нет.

Date: 2010-12-31 12:19 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
А ты не допускаешь, что одним из толчков к этому новому законодательству и послужили подобные исследования?

Date: 2010-12-31 12:26 pm (UTC)
From: [identity profile] spivaki.livejournal.com
да, вполне может быть. а также может быть: общий климат хронического недоверия и придирок к банкам, который сложился в нашем обществе после 2008 года. а может и какие-то еще факторы. И я совсем не берусь судить, полезное это законодательство для потребителя или вредное, я совсем в этом не разбираюсь.

Date: 2010-12-31 12:35 pm (UTC)
From: [identity profile] spivaki.livejournal.com
До ноября 2009 мы тоже жили не в джунглях. Банки проводили транзакции и выплачивали компенсации, следуя internal Banking Code, разработанному самой индустрией. вопрос как должны регулироваться эти вещи: изнутри или извне совсем не простой. К сожалению, политики, которые принимают решения такого типа, иногда руководствуются не рациональными аргументами, а популистскими и эмоциональными. А общественное мнение и формирование эмоционального климата в стране формируют, в том числе, телепередачи с участием ученых из Кембриджа.

Date: 2010-12-31 03:29 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
Банки проводили транзакции и выплачивали компенсации, следуя internal Banking Code

А иногда не выплачивали, говоря, что сам виноват. И наверняка были такие, которые сами виноваты. Как в этом разбираться - вопрос действительно непростой. Но заметать мусор под ковер - это же не дело.

Date: 2011-01-01 05:11 pm (UTC)
From: [identity profile] spivaki.livejournal.com
согласен, не дело - надо судить индивидуальные случаи и по конкретной статистике, а так сложно сказать, заметали ли мусор под ковер

Date: 2011-01-01 06:40 pm (UTC)
From: [identity profile] spivaki.livejournal.com
и еще, а само письмо из банков кто-то внимательно прочитал? Они же вообще не возражают против этих исследований, они возражают против того, что он в своей статье привел слишком подробные детали: ссылки на исходный код и набросок схемы прибора, необходимого для проведения атаки. Это по-моему абсолютно нормальная постановка вопроса: публикуй свои результаты на высоком уровне, а не чертеж "как это сделать в домашних условиях". Правда, наш продолжатель дела Ньютона в своем ответе отрицает, что там были ссылки на исходники: так что тут немного непонятно кому верить. Может они потом эти ссылки убрали, а может банком это приснилось...

Date: 2010-12-31 11:43 am (UTC)
From: [identity profile] spivaki.livejournal.com
а раз ты следишь за этим - может у тебя есть данные: какая статистика убытков от этой системы (она же уже несколько лет работает?), какие оценки будущих убытков, какие оценки стоимости изменений в системе, какие есть факторы, указывающие на то, что банки несправедливо рассматривают случаи с компенсацией? То есть, на чем строится весь тезис, что банки ведут себя неоптимально или несправедливо? Если есть хоть какие-то данные, я конечно могу перейти к твоей точки зрения.

Date: 2010-12-31 12:07 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
Извини, я не совсем точно выразился. Я криптографией интересуюсь, а не защитой прав потребителей. Статистики нет, есть только отдельные случаи, вроде того, на который я ссылался выше.

Date: 2010-12-31 12:14 pm (UTC)
From: [identity profile] spivaki.livejournal.com
так я против технических знаний и не возражаю - если бы этот ученый не делал из этого публичной шумихи, я был бы не против. И он бы не получил этого письма из банков.

а как все эти технические вопросы спроецируются на плоскость экономики: поживем-увидим. Может, ты окажешься и прав, и надо было его послушать и улучшать технологию, пока жулики не добрались...

Date: 2010-12-30 11:13 pm (UTC)
From: [identity profile] spivaki.livejournal.com
но я согласен с тобой в том, что банкам не нужно было просить не публиковать эту статью, даже если по их мнению она пустая и вредная. единственный способ бороться - вступать в полемику и приводить свои технические аргументы. Или просто игнорировать этого склочника.

Date: 2010-12-31 10:03 am (UTC)
From: [identity profile] nameless--one.livejournal.com
Вопрос финансирования я привнёс в одном контексте. Исхожу из того что заказывает музыку тот кто платит. У вас звучало что есть некие "академические" вещи, которыми учёным заниматься следует, а остальными не следует, что ИМХО неверный подход.

Кто именно финансировал это кэмбриджское исследование - я не знаю. Если из налогов - у вас есть все права быть недовольным. Частное проявление общей порочности финансирования науки из налогов.

Date: 2010-12-31 10:29 am (UTC)
From: [identity profile] spivaki.livejournal.com
Да, я во всем с вами согласен.

Конечно, я и не думал предлагать, чтобы кто-то в общем контролировал темы, которые изучают ученые. Но есть некоторые очевидные исключения. Например, если какой-то ученый будет разрабатывать компьютерные вирусы или новые наркотики и выкладывать результаты на сайте своего универа, то мы наверное все согласимся, что такие исследования финансировать не нужно. Здесь мы конечно имеем дело не с таким явным случаем, а с grey area.

Протестовал я не столько против его исследования как такового, а скорее против того, что оно подается под соусом "защиты прав потребителя от злых банков". против его участия в программе на BBC и в публичных выступлениях в других СМИ.
http://en.wikipedia.org/wiki/EMV#2010:_hidden_hardware_disables_PIN_checking_on_stolen_card

Он, конечно, как любой представитель публики, имеет право выссказывать свое мнение в СМИ, но у меня лично эта активность уважения не вызывает, и я подозреваю, что он тратит на эту свою активность исследовательские ресурсы, которые оплачивают налогоплательщик (я). Поэтому я вас и спросил, получил ли он на это частное финансирование.

Date: 2010-12-31 05:48 pm (UTC)
From: [identity profile] alexander-mikh.livejournal.com
по поводу 2) в UK если ученый занимается темой близкой к стратегическим интересам им очень быстро намекают что публиковаться по этой теме не удастся.

Date: 2010-12-30 05:48 pm (UTC)
From: [identity profile] blacklion.livejournal.com
Отвечал только не директор уже, да и не ясно что такое — директор Кембриджа, там же куча колледжей отдельных.

Date: 2010-12-30 05:53 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
В университетах вообще не бывает директоров, даже в монолитных.

Date: 2010-12-30 09:25 pm (UTC)
From: [identity profile] spivaki.livejournal.com
Письмо было не "директору Кембриджского университета", а "директору отдела по связи с общественностью при Кембриджском университете". То есть, человеку, работой которого является получать запросы от представителей публики и перенаправлять их нужному человеку в Кембридже.

Date: 2010-12-30 10:49 pm (UTC)
From: [identity profile] ahaxopet.livejournal.com
да, это я погорячился :) но пост был не об этом.

Profile

ahaxopet: (Default)
ahaxopet

December 2015

S M T W T F S
  12345
6789101112
13141516171819
202122 23242526
2728293031  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 23rd, 2017 12:43 pm
Powered by Dreamwidth Studios