В полицию нужно обращаться, в отдел «К» пусть ищут злоумышленника. Но к банку-то какие претензии? Он в соответствии с законом, положениями и инструкциями ЦБ исполнил ваше платежное поручение которое поступило в Банк в электронном виде и подписано корректной Электронной подписью. Как оно было сделано, кем, и где… Банку фиолетово. Главное что ЭП есть под документом.
Если бы вы по неосторожности расписались бы на чистом листе, потом на этом листе кто-то напечатал договор, что вы ему должны денег или подарили ему квартиру… Там стоит ваша подпись, и хрен вы докажите, что ее не ставили. Вот и все.
> если обмениваться открытыми ключами по доверенному каналу, то они вовсе не нужны.
Как раз-то нужны, чтобы можно было генерить сессионный ключ который не сможет перехватить злоумышленник.
> Можно использовать синхронное шифрование. Сессионный ключ тут не поможет, злоумышленнику не обязательно
> расшифровывать данные, он просто отправит зашифрованные данные серверу
Ну отправил он данные серверу, и что? Получит ответ от сервера, а что он с ним будет делать не знаю сессионного ключа???
>а сервер уже не поймет, что это не клиент и выполнит какое-то действие.
В каждом запросе можно передавать ID сессии который генерить Сервер при первом обращении Клиента.
Видимо не так понял… Тогда тут только SSL или что-то подобное.
Клиент с Сервером должны обменяться открытыми ключами по доверенному каналу. Далее Клиент обращается к Серверу. Сервер генерит сессионный ключ, зашифровывает его открытым ключом Клиента и отправляет его.
Клиент получает сессионный ключ и расшифровывает его своим закрытым ключом.
Далее вся информация шифруется этим сессионным ключом. Т.к. злоумышленник не будет знать этот ключ то и данные он не подменит и не прочитает.
Если обеспечить безопасный обмен открытыми ключами и надежно хранить закрытые, то все будет ОК.
> Какой закон запрещает так делать?
Так делать никто не запрещает. Но Вам не кажется, что если директор и ИП одно лицо, и работая по такой схеме то это очень похоже на обнал? Вот это налоговой и не нравится… придут с проверкой да еще и ОБЭПом :)
> расход и налог с этого не платим
> Это с какого перепоя?
ООО на УСН 15%. Приход 100 000р., расход 100 000р. (переводим на ИП). Итого 100 000-100 000=0, к уплате только минимальный налог если не ошибаюсь — 1200р. т.к. прибыли у нас никакой нету.
У Ходорковский тоже было ИП и он сам себе (компании) услуги оказывал ))) Таким образом уменьшал сумму налога.
Допустим есть ООО, приходят туда деньги. Все эти деньги переводим на ИП по договору оказания услуг. Для ООО это расход и налог с этого не платим. С ИП заплатили 6% и обналичили. В итоге мы заплатили всего 6% налога и деньги у нас в кармане.
Если бы это проходило без проблем, то любая компания так деньги обналичивала бы.
Да с точки зрения закона тут вроде все гладко, но налоговая может придраться к тому, что гендир заключает договор с самим собой (ИП) и с ООО переводит на ИП платит налог (к примеру 6%) и обналичивает деньги. В ООО это расход уменьшающий налоговую базу. Т.е. получается если деньги переводить на ИП, то не нужно платить всех налогов на ЗП и пр.
Я сам так хотел сделать… но уже несколько опытных бухгалтеров советовали так не делать. За что все за то и продаю :)
С этим не сталкивался. ИМХО смысла в этом нет т.к. если данные будут изменены то вы их увидите… и сразу же обратитесь в банк для отзыва платежки. Лучше замаскировать платежку злоумышленника, чтобы вы даже не заподозрили, что ваш счет обнулили…
И самое интересно, что даже в таком случае банк ответственности не несет т.к. платеж был подписан Вашей ЭЦП.
Если он будет вставлен в комп, то вирус может получить к нему доступ. Пароль от токена перехватывает, в фоне делается платежка. Визуально платежку видно не будет и вы ничего не заметите. А OTP-токен как раз от этого и спасает т.к. нужно физически подтвердить платеж введя одноразовый код.
Уж поверьте, я в этой области 12 лет работаю.
