Система учётных записей пользователей WebMoney Transfer содержит критическую проблему кибербезопасности на уровне логики, а паразиты из WebMoney Technical Support в замещение её устранения переадресовывают заявление с требованиями об устранении определённым образом персональных последствий, наступивших в её результате, к заведомо некомпетентным её решить специалистам сервиса, к которому никаких вопросов и претензий нет.
Где проблема кибербезопасности состоит в лишении пользователя при определённых обстоятельствах (совершении пользователем простых документированных действий при управлении учётной записью) возможности продолжать использование функционала рекомендованного системой сервиса двухфакторной авторизации E-num, что не является исчерпывающим в перечне негативных последствий таких обстоятельств, а, в свою очередь, под простыми документированными пользовательскими действиями имеются ввиду выпуск системой пользователю по его запросу персонального цифрового сертификата X.509, включение и отключение E-num как метода двухфакторной авторизации и подтверждения операций, изменение адреса электронной почты в учётных записях системы WebMoney Transfer и сервиса E-num соответственно.
Суть состоит в следующем: если пользователь WebMoney Transfer и E-num пройдёт в системе WebMoney Transfer все шаги выпуска системой WebMoney Certification Center цифрового сертификата X.509, и впоследствии, по крайней мере до тех пор пока этот сертификат ключа проверки электронной подписи будет продолжать действовать (по умолчанию — 2 года) решит или окажется вынужден изменить адрес электронной почты, где по крайней мере к случаю "окажется вынужден" безусловно следует добавить: в учётных записях системы WebMoney Transfer и сервиса E-num соответственно — он будет напрочь лишён возможности включить заново E-num как метод двухфакторной авторизации и подтверждения операций (после удаления из сервиса E-num того адреса электронной почты, который он оказался вынужден изменить на другой): точнее — для полноты картины всей дикости — так: до тех пор, пока не зарегистрирует ещё одну учётную запись E-num с удалённым адресом электронной почты или не вернёт удалённый адрес электронной почты по крайней мере в качестве одного из 19 допустимых туда для добавления aliasов.
Самое время объяснить, почему же проблема скорее логического характера:
1. представляете себе: у вас после изменения адреса электронной почты (когда идентификатором для входа в учётную запись системы WebMoney Transfer стал уже новый адрес), отдельно взятая подсистема "security" — та самая, через которую настраиваются методы подтверждения операций и которая для полного доступа к настройкам требует от пользователя прохождение той самой двухфакторной авторизации говорит: пожалуйста, подключай E-num, но только со старым адресом электронной почты. И скажет она это только если этот старый адрес будет являться хотя бы aliasом в учётной записи E-num. В противном случае она, переправив Вас со страницы, где должно начинаться включение E-num (https://security.wmt...ansconfirm.aspx) на страницу, где пользователем должны выполняться последующие шаги (https://security.wmt...all.aspx?email=) обратит Ваше внимание на то, что учётная запись E-num с таким электронным адресом не зарегистрирована и даже не покажет последующего предложения включить E-num. Как вам такое? 
Ещё недостаточно бреда?
2. с тех пор, как вы выключили подтверждение E-num, и до тех пор пока не включите его вновь по условиям, навязываемым на https://security.wmtransfer.comи без вмешательства в решение этого вопроса WebMoney Technical Support при попытке получить вновь доступ к настройкам на https://security.wmtransfer.comчерез повторное прохождение авторизации с верификацией вы узнаете о том, что этому раздел "security" системы WebMoney Transfer вообще побоку: отключили вы перед тем E-num или не отключали, он будет продолжать Вам навязывать этот способ подтверждения, с тем адресом электронной почты, который записан в выпущенном на выше имя сертификате X.509, даже если этот адрес электронной почты из системы E-num полностью удалён.
3. между тем, тот персональный цифровой сертификата X.509 сертификат так и продолжает действовать, без автоматического аннулирования, невзирая на то, что в нём ровно всё вокруг его формальных назначений (OIDов) завязано на сведения в его составе об адресе электронной почты. Изменение адреса электронной почты ввиду прекращения её использования при наличии потребности продолжать использовать сертификат — автоматический повод для подачи заявки лицом, на чьё имя он выпущен о его аннулировании (отзыве), которая должна влечь внесение данных о нём в соответствующий список отзывов (CRL) лицом, его выпустившим.
Да-да, этот сертификат ввиду изменения адреса электронной почты не прекращает учитываться системой WebMoney Transfer в качестве того, относительного которого не строго, но чисто логически скорее наступили обстоятельства, связанные с досрочным прекрашением его действия, когда пользователю должна быть предоставлена возможность вновь выпустить сертификат с обновлёнными данными.
Но суть вокруг обозначенной проблемы здесь состоит в том, что именно те данные о нём, которые продолжает хранить на своих серверах система WebMoney Transfer, в частности об адресе электронной почты из состава выпущенного ей пользовательского сертификата, вместе с тем обстоятельством, что сертификат по умолчанию продолжает числиться действующим до истечения указанного в нём срока и опять же без вмешательства WebMoney Technical Support в список отзывов (единственный легальный способ прекратить досрочно его действие — внести данные о нём туда) не попадёт и является причиной возникновения описанной проблемы.
Подтверждением чему служит следующее.
Без учёта выпуска сертификата, вместе с этим — того факта, что на сервере, на котором за счёт него проходит или не проходит авторизация в том или ином виде хранятся данные о нём нет ни одной легальной причины для продолжения хранения на серверах системы WebMoney Transfer или таких её отдельных подсистем как "security" старого адреса электронной почты пользователя после его изменения на новый.
Кроме того, не случайно, надо полагать, на странице https://cert.wmtrans.../info.aspx?l=ru сведения о сертфикате и E-num расположены в разных половинах страницы по её ширине, в качестве стравнения способов авторизации.
Если у сообщества (форумчан, администрации) есть конкретное решение прямо сейчас — делитесь, буду признателен.
Сообщение отредактировал Juniversus: 10 сентября 2023 - 18:28
