Блог им. trouvor

Обращение к разработчикам "ВТБ Мои инвестиции" (онлайн-версия)

Уважаемые представители брокера ВТБ, если Вы присутствуете на SMART-LAB — донесите эту информацию до Ваших разработчиков.

На этой неделе довелось поюзать онлайн-версию «ВТБ Мои инвестиции» (https://lk.broker.vtb.ru/home).
Довольно грамотно сделанное веб приложение, но есть один серьезный изъян в плане безопасности — отсутствует двухфакторная авторизация, т.е. вход просто: по логину и паролю, как на какой-то обычный сайт. 
При том что в этой версии личного кабинета есть возможность совершать сделки с ценными бумагами на бирже (в старой версии Log On (olb.ru) такой возможности вроде бы не было).

Прошу сделать двухфакторную авторизацию в онлайн-версии «ВТБ Мои инвестиции» (https://lk.broker.vtb.ru/home).

PS. Свое замечание уже отправил в техподдержку, надеюсь, после этой публикации на SMART-LAB процесс хоть немного ускорится.

Спасибо!
9 комментариев
Там логин, пароль и отпечаток пальца и так у всех известных мне банков сделано. Вывод средств все равно только на свой счет можно выполнить с подтверждением по смс.
avatar
Mantis, Чисто гипотетически, имея доступ к торговому счёту, злоумышленник может перелить деньги на «мурзилку» например, в дальних неликвидных опционах, где ММ не стоИт крупно лимитками. И даже в дальних ликвидных фьючах я видел мощные прострелы, глянь вчерашнюю соплю в 10К. п. в RTSM-3.22 всего лишь на 2К. коней.
avatar
О'Грин, чисто гипотетически, как открыть счёт на бомжа дропа не спалив себя, денег ещё бомжу на го занести
avatar
NikolasM, Это всё я понимаю, это муторно и рискованно, и бессмысленно для разуть клиента на лям, им проще на звонках на доверии выкачивать деньги с банковских карт с глупых буратин.
 мне самому иногда двухфакторная идентификация в Квик доставляет неудобства в загран.командировках, я бы лучше иногда работал по логин\пароль, но не дают…
avatar
О'Грин, у ВТБ в этом плане в Quik генерируется публичный ключ (раньше его надо было нести в офис ВТБ, теперь можно в ЛК подписать его) и вход по логину и паролю происходит
avatar
Эта новая версия просто еще не доделанная, там даже нет возможности покупки однодневных облигаций.
Поэтому просить доделать какие то отдельные фичи бессмысленно, они и так прям щас сидят и доделывают ее
avatar
для тех кто не в теме втб, у них только логин и пароль без верификации по смс? я правильно понял?
Домовой / Максим Сергеев,  да.
avatar
Там точно не хватает раздела «связь с разработчиками». Раньше вроде бы было…

Приложение замечательно, но хочется совершества…
Например, в разделе дивиденды и купоны хорошо бы прикрутить фильтр по крайней дате выплаты. Или в разделе «биржа» добавить больше типов сортировок инструментов, а не только самые очевидные.
Или чтобы по портфелю облигаций вычислялась дюрация и график выплат..
И тогда… короче, вся красота и тонкость — она в мелочах.

А про авторизацию — все верно. Та же болезнь и приложении ИБ ВТБ.
avatar

теги блога Андрей

....все тэги



UPDONW
Новый дизайн