Miałem dziś taki incydent:

Zalogowałem się do VW Bank. W tym samym czasie w tle pracował Outlook
Express, w którym w emailu miałem link do strony allegro z opisem jak
dokładnie mam dokonać przelew (kwota, tytuł przelewu, etc.) Robiłem taki
przelew kilkadziesiąt razy. Po kliknięciu na link allegro, przeglądarka
(Netscape 7.2) poinformowała mnie, że opuszcza stronę zabezpieczoną SSL. Tak
jakoś się złożyło, że OE otworzył link w otwartym już okienku Netscape.
Trudno. Wylogowało mnie, a przynajmniej tak sądziłem. Przepisałem wszystko
co mi potrzebne do notepada, pozamykałem wszystkie okienka i uruchamiam
zupełnie nową (!) instancję Netscape, wybieram link "VW Bank" i bum! jestem
od razu zalogowany! Nie pyta się ani o hasło, ani o numer z tokena. Od razu
mogę dokonywać przelewów! Tak chyba nie powinno być...

Faf

do góry

Faf wrote:
> Miałem dziś taki incydent:
>
> Zalogowałem się do VW Bank. W tym samym czasie w tle pracował Outlook
> Express, w którym w emailu miałem link do strony allegro z opisem jak
> dokładnie mam dokonać przelew (kwota, tytuł przelewu, etc.) Robiłem taki
> przelew kilkadziesiąt razy. Po kliknięciu na link allegro, przeglądarka
> (Netscape 7.2) poinformowała mnie, że opuszcza stronę zabezpieczoną SSL. Tak
> jakoś się złożyło, że OE otworzył link w otwartym już okienku Netscape.
> Trudno. Wylogowało mnie, a przynajmniej tak sądziłem.

Oczywiście, że cię nie wylogowało. Serwer VW nei dostał żadnej
informacji że opuściłeś strony VWBank, tak jak nie dostaje żadnej
informacji jak zamykasz przeglądarkę.

Przepisałem wszystko
> co mi potrzebne do notepada, pozamykałem wszystkie okienka i uruchamiam
> zupełnie nową (!) instancję Netscape, wybieram link "VW Bank" i bum! jestem
> od razu zalogowany! Nie pyta się ani o hasło, ani o numer z tokena. Od razu
> mogę dokonywać przelewów! Tak chyba nie powinno być...

Jak to zrobiłeś dostateczenie szybko to na dysku było jeszcze cookie z
numerem sesji w VW (sesja jest tam pamiętana chyba 5 minut).

Na przyszłość jak chcesz się wylogowac to naciskaj przycisk "Wyloguj".
Zamknięcie przeglądarki / zmiana strony na inną nie powoduje wylogowania
z żadnego systemu dostępnego przez WWW (VW nei jest tu wyjątkiem).


reik.

do góry

Remigiusz Babicz <r...@p...onet.pl> wrote:
> Na przyszłość jak chcesz się wylogowac to naciskaj przycisk "Wyloguj".
> Zamknięcie przeglądarki / zmiana strony na inną nie powoduje
> wylogowania z żadnego systemu dostępnego przez WWW (VW nei jest tu
> wyjątkiem).

No i warto powiedziec, ze ten przelew trzeba bylo podpisac nowym wskazaniem
tokena...

--
Michał 'Amra' Macierzyński || http://PRnews.pl
Banki, karty, konta oraz public relations.
Zadbaj o swoje pieniądze!

do góry

Użytkownik "Remigiusz Babicz" <r...@p...onet.pl> napisał w wiadomości
news:csfruc$r99$1@news.onet.pl...
> Faf wrote:
> > Miałem dziś taki incydent:
> >
> Zamknięcie przeglądarki / zmiana strony na inną nie powoduje wylogowania
> z żadnego systemu dostępnego przez WWW (VW nei jest tu wyjątkiem).

Akurat!
Sproboj zrobic taki manewr z Inteligo...
Nie wrocisz do przerwanej sesji bez ponownego podania hasla

--
Pozdrowienia
---
Slawek Kos --> s...@p...com

do góry

Remigiusz Babicz wrote:

> Na przyszłość jak chcesz się wylogowac to naciskaj przycisk "Wyloguj".
> Zamknięcie przeglądarki / zmiana strony na inną nie powoduje wylogowania
> z żadnego systemu dostępnego przez WWW (VW nei jest tu wyjątkiem).

Ale bzdury Pan prawisz.. przy dobrze skonstruowanym systemie
zabezpieczen wykorzystywany jest identyfikator sesji a nie cookie. Po
zamknieciu przegladarki czy nawet probie odswiezenia strony z tym samym
identyfikatorem (ten moze byc w cookie) powinien powrocic do ekranu
logowania.

Proponuje potestowac na inteligo. Bardzo dobrze zabezpieczony system.
Sam bym to wlasnie tak zrobil :)

Pozdrawiam
Krzysztof
no SiG

do góry

Krzysztof <k...@s...800.pl> wrote:
> Proponuje potestowac na inteligo. Bardzo dobrze zabezpieczony system.
> Sam bym to wlasnie tak zrobil :)

No a w Chipie tak go zjechali ;)
Moim zdaniem autor wyglupil sie w kilku przypadkach

--
Michał 'Amra' Macierzyński || http://PRnews.pl
Banki, karty, konta oraz public relations.
Zadbaj o swoje pieniądze!

do góry

Michał 'Amra' Macierzyński wrote:

> No a w Chipie tak go zjechali ;)
> Moim zdaniem autor wyglupil sie w kilku przypadkach
>
w kilku?? caly ten artykol to bylo duze nieporozumienie :-)

--
GideoN

-------------------------------------------
Cry 'Havock' and let slip...the dogs of war
-------------------------------------------

do góry

GideoN <z...@p...pl> wrote:
> w kilku?? caly ten artykol to bylo duze nieporozumienie :-)

Ale to juz Ty powiedziales ;)

--
Michał 'Amra' Macierzyński || http://PRnews.pl
Banki, karty, konta oraz public relations.
Zadbaj o swoje pieniądze!

do góry

Mon, 17 Jan 2005 11:01:23 +0100, w <4...@s...800.pl>,
Krzysztof <k...@s...800.pl> napisał(-a):

> Ale bzdury Pan prawisz.. przy dobrze skonstruowanym systemie
> zabezpieczen wykorzystywany jest identyfikator sesji a nie cookie.

A w cookie co jest trzymane jak nie identyfikator sesji?

do góry

Mon, 17 Jan 2005 11:01:23 +0100, w <4...@s...800.pl>,
Krzysztof <k...@s...800.pl> napisał(-a):

> Po
> zamknieciu przegladarki czy nawet probie odswiezenia strony z tym samym
> identyfikatorem (ten moze byc w cookie) powinien powrocic do ekranu
> logowania.

I to jest właśnie największa wada Inteligo -- tam nawet Back nie da się zrobić.

do góry