Надысь с одним моим знакомымтакая история приключилась.
Заходит он в свой интернет-банк. Понимает, что дело серьёзное. Настороже. Инструкцию внимательно прочитал, безопасность застегнул на все пуговицы. Вдруг – бац! Браузер ему заявляет: «Сменился SSL-сертификат у сайта банка. А до конца срока предыдущего сертификата ещё полгода. Подозрительно.» И в самом деле подозрительно.
Пошёл он сертификаты читать. В новом название банка немного по-другому написано. Раньше было в переводе, а теперь – транслитерацией. Ещё подозрительнее стало.
 — Какой ещё иф-конфиг? Какой Юникс? Я вам говорю: нажмите кнопку "пуск"! |
Не стал он логиниться от греха. Начал в банк звонить, чтоб выяснить. В колл-центре, как водится, сидит попка-дурак. Что такое SSL-сертификат, понятия не имеет. Соединить ни с кем не может, поскольку время нерабочее.
Не буду утомлять подробностями общения с техсаппортом. Скажу только, что даром потерял он времени больше суток. Но в конце концов нашёл он в недрах банка человека, который подтвердил, что таки да, сменили они сертификат досрочно.
Что любопытно. В пользовательской инструкции к интернет-банку на нескольких страницах все риски перечислены. И про сертификаты для HTTPS тоже упомянуто. На тот случай, если клиента взломают, обманут и обворуют. Чтоб ему потом в нужный пункт инструкции пальцем ткнуть: «Видишь, мы тебя предупреждали. Так что сам виноват.» Риски-то перечислены, но как их проверить, не указано. При любом подозрении на фишинг-фарминг возникает альтернатива: либо будешь "сам виноват", либо банком не пользуйся.
Пользователя, конечно обучать-просвещать надо. Но в меру. И для каждой опасности, про которую ему рассказали, надо алгоритм действий прикладывать. Только алгоритм разумный и исполнимый. Про который "на этой стороне" в курсе.
