agievich
commented
1 year ago В ПЛ.9 отправка секретного кода предусмотрена только
если физический [или электронный] адрес пользователя не проверен как элемент удостоверения.
Если адрес проверен (например, с помощью сервисов ОАИС), то отправлять код не нужно.
Проверка физического адреса ПЛ.9 путем отправки почтового отправления в РБ является ненадежным механизмом из за простоты вскрытия почтового ящика указанного адреса.
СИ проверяет физический адрес, отправляя на него секретный код. Злоумышленник открывает почтовый ящик получателя и узнает код. Чтобы его самостоятельно ввести? Нет смысла, ведь тогда злоумышленник просто завершит проверку адреса в роли пользователя. Чтобы переслать код по настоящему адресу и навязать СИ ошибочный адрес? Да, это атака (противник посередине). Механизм проверки адреса не является совершенным. Но других механизмов фактически нет.
Отметим, что механизм проверки адреса через сервисы ОАИС также не является совершенным -- он не гарантирует, что пользователь действительно проживает по указанному адресу в настоящее время.
Проверка физического адреса ПЛ.9 путем отправки почтового отправления в РБ является ненадежным механизмом из за простоты вскрытия почтового ящика указанного адреса, в ОАИС имеется сервис проверки адреса.