Когда инструкцию лучше не читать / Хабрахабр. Дыры в информационной безопасности бывают разные. Бывают дыры в софте, бывают в железе, бывают в головах людей. А еще бывают в документации. Вот, к примеру, прямо сейчас на сайте весьма известного в Украине банка лежит инструкция, призывающая пользователей корпоративного интернет- банкинга доверять любым фишинговым сайтам, выдающим себя за банк, забивая при этом на все предупреждения браузера о неверных сертификатах. А ведь хотели, наверное, сделать людям полезную доку. Но получилось как всегда.

О чём речь? Можете не читать всё (там много) — я процитирую ключевое место документа: «Программа генерации ключей находится на сайте банка, для того чтобы ее загрузить на компьютер пользователя необходимо: Установить связь со своим провайдером internet, активировать Internet- обозреватель, в адресной строке IE ввести адрес: — client- bank. Откроется страница: В данном сообщении говорится, что загружаемое программное обеспечение принадлежит Приват. Банку, его подлинность подтверждается сертификатом Tawte Premium Server CA и банк подтверждает безопасность данного приложения. В сообщении под скриншотом это сообщение объясняется как “всё ок, так и должно быть, это сайт приватбанка и его софт». А мы помним, что далеко не все владеют английским на должном уровне и, соответственно, верят этому объяснению. Всё, приехали, сушите весла — если пользователь, начитавшись этой инструкции, увидит предупреждение браузера о фишинговом сайте — он его проигнорирует.

Достаточно один раз установить на компьютере Crypto Plugin – и . Полная инструкция по установке или обновлению Java для Windows. Решение проблемы для всех пользователей Приват24.

И потеряет деньги. Как же такая фигня получилась? Над документом работали 2 человека.

Один (назовем его Программист) был умный и реально понимал что тут и как. Вторая (назовем её Секретарша) была глупой и ничего не понимала, только Вордом умела пользоваться и копипастом еще. Программист, понимая, что от Секретарши чудес ждать не приходится, наделал скриншотов процесса установки ПО, на каждом скриншоте заботливо поместив галочку, обясняющую, что нужно нажимать. Будучи полностью уверенным, что этого хватит и тут уж надо очень постараться, чтобы что- то запороть, он отдал эти скриншоты Секретарше со словами «на, подописывай там между картинками словами что и где нажимать — я там галочками отметил». Но Секретарша всё- равно смогла облажаться!

Логика у неё, я так думаю, была такая. Так, тут человек должен нажать .

Выполните приведенные ниже простые инструкции для скачивания и установки Java (также называется 'среда исполнения Java' или сокращенно . Узнайте, как включить среду выполнения Java (JRE) в браузере. Апплеты не запускаются даже после установки Java.

Но ведь на экране такое страшное окно с ворнингом! Как Пройти Игру Ботаникула. Надо как- то объяснить пользователю, почему всё ок. А перед этим хорошо бы понять самой. А в действительности, то, на что смотрела Секретарша, вовсе не было сообщением браузера об ошибке сертификата. Вернее, это как раз оно и было, но вот только показывал его не тот Firefox, что на экране, а другой браузер, а этот Firefox показывал всего- лишь страничку со скриншотом этого сообщения. И показывал её как раз для того, чтобы предупредить пользователя об опасности.

• Выполните приведенные ниже простые инструкции для скачивания и установки Java (также называется.
• Когда загрузка закончится, закройте Firefox.
• Теперь платежи в "Приват24 для бизнеса" можно подписывать без JAVA. Установка плагина Crypto Plugin выполняется однократно для каждого из .

Вот она, эта страничка в нынешнем её виде. В результате чего нас призывают верить фишинговым сайтам.

Круто, правда? Это всё, конечно, только моя версия происходящего, но мне кажется где- то так и было. Потому что второй вариант — это осознанная диверсия. А как говорит Бритва Хэнлона: «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью». Итог. Фиксить баги нужно везде, и в документации тоже. В Приватбанк отослано письмо со ссылкой на эту статью.

Уведомлять их тайно нужным не считаю, поскольку прямой угрозы банку нет, просто глупости в доках написаны.