etspring
@etspring
Начитанное быдло

Какие есть методы борьбы с фродами при авторизации пользователя с использованием MSISDN?

Доброго времени суток.

Для начала расскажу, что такое MSISDN.
MSISDN - параметр HTTP-заголовка ( например X-MSISDN ), который дописывает оператор сотовой связи при входе абонента на тот или иной ресурс посредством WAP/GPRS/etc.. .
Почти всегда данный параметр содержит телефонный номер ( в редких случаях HASH, но это справедливо только для Вымпелкома =))) ) абонента. Те, используя данный параметр, мы можем избавить абонента от ввода логинов и паролей для авторизации при заказе разного рода услуг и тд.

Теперь вопрос.
Например у нас имеется портал оператора, на котором есть личный кабинет абонента, идентификация абонента происходит посредством MSISDN. В кабинете ему выводятся разные данные о состоянии лицевого счета, детализация звонков любовницам и тд.
Каким образом я могу проверить, что это именно тот абонент, а не Вася Пупкин, добавивший в HTTP-заголовок параметр с номером, по которому он хочет получить инфу?
  • Вопрос задан
  • 3490 просмотров
Пригласить эксперта
Ответы на вопрос 2
NeLexa
@NeLexa
Что-то я не припомню, чтобы MSISDN еще передавался заголовком, годом так с 2006-го. А по делу, авторизацию нужно проводить, либо через смс код, либо по логин-паролю. Полностью доверять заголовкам никогда нельзя.
Ответ написан
etspring
@etspring Автор вопроса
Начитанное быдло
Пообщался я со спецами ОпСоСа - пришли к заключению, что единственным более-менее годным способом защиты является изменение названия заголовка - возможность настройки имени заголовка для определенного ресурса присутствует.
Идеальный вариант - hash.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы