Отправлено: canalizator 13:08 10/11/08
kdar
дает билетики, заказанные через интернет сразу и кому угодно, знающему пароль!!!!!! Суперавтоматтт!!!:)))
Head
а вы что, свой пароль от билета публикуете на фонарном столбе для всеобщего сведения? )
===
Увы, быть более-менее уверенным в конфиденциальности доступа возможно не во всех ситуациях покупки билета.
Если у себя дома я могу установить на машине всё что душе угодно, после чего по факту разглашения предъявлять претензии самому себе, то при покупке билета в компьютерном клубе уверенность в конфиденциальности... кхм... неполная.
В случае с коммуникатором с предустановленным ПО тоже нет 100% уверенности.
Соединение по https, безусловно, радует, но спереть ID заказа проще пользуясь лопоухостью юзера (либо невозможностью защитить машину по объективным причинам).
Проблема imho решается двумя путями:
1. Выдачей юзеру списка одноразовых паролей вида
Список #23 от 23.11.2008 07:56
Пароль №01 - 63A45FC2
Пароль №02 - D3F51978
...
Пароль №10 - 7E45D29B
с факультативным вводом при покупке билета на портале РЖД номера списка и номера пароля (к примеру, 23 02) и выдаче билета через ТТС после ввода пароля (в данном случае D3F51978).
Забыл пароль / потерял бумагу со списком - получай билет в живой кассе с авторизацией по паспорту с подписью.
2. Отправкой пароля посредством СМС на телефон, указанный при регистрации на сайте РЖД (кстати, неплохо бы дополнить анкету графой "мобильный телефон").