Плохая проработка сценария аутентификации. Или нет?
На глаза попалась статья о том, как молодой банк запустил веб-приложение для обслуживания клиентов. Я — директор по маркетингу RooX (специализируемся на аутентификации и авторизации внешних пользователей), так что мне стало интересно, как банк реализовал вход.
Я не являюсь клиентом этого банка. Этот факт стал катализатором исследования.
"А если капчи нет, может перебором составить базу телефонов клиентов".
Это действительно серьезная проблема для небольшого банка? Перебирать гигантский массив телефонов неклиентов, чтобы создать базу телефонов клиентов? Так кто-то делает?
Делают ли? Зависит от целей. Базу можно достать разными способами, но если интерфейс почему-то сразу дает ответ, клиент ты или нет, скрипт пробега по базе, даже по гигантской, не очень сложная задача.
Серьезная ли проблема? Беглое знакомство с сайтом оставило впечатление, что ребята создают образ удобного и человечного сервиса. Этот образ может пострадать от слива. Другое дело, что реальность наша такова, что после регистрации телефона в любом месте звонки мошенников и спамеров воспринимаются как неизбежное зло. В общем, не знаю, в какую сторону качнутся весы.