eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiING Bank Slaski i ich "bezpieczny" system
Ilość wypowiedzi w tym wątku: 97

  • 71. Data: 2008-03-08 23:06:34
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "e+kran" <e...@o...pl>

    > I to, moim zdaniem, byłoby najlepsze rozwiązanie. Robisz kilkanaście czy
    > kilkadziesiąt przelewów miesięcznie do określonych odbiorców? Zdefiniuj te
    > przelewy jako wzorcowe, a przed wysłaniem będziesz miał do wyboru czy
    > chcesz aby każdy kolejny przelew do tego odbiorcy wymagał autoryzacji czy
    > też nie. Jeśli zaznaczysz kwadracik, że nie, to przy wysyłaniu tego
    > przelewu zostanie Ci przesłany kod autoryzacyjny, ale po raz ostatni. Przy
    > kolejnej próbie wysłania przelewu do tegoż odbiorcy autoryzacja nie będzie
    > wymagana.
    >
    Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
    logowania i dla _żartu_ wyczyści Ci konto przelewem na konto powiedzmy
    operatora telewizji kablowej. Użeraj się później o zwrot kasy.
    Większość tzw. hakerów nie działa dla zysku tylko dla "fanu". Zrobią Ci
    krzywdę chociaż nic z tego nie będą mieli opróćz satysfakcji. Zastanów się
    zanim zaczniesz uważać, że dopuszczalne są przelewy bez autoryzacji.

    Pozdrawiam
    e-kran

    --
    Wysłano z serwisu OnetNiusy: http://niusy.onet.pl


  • 72. Data: 2008-03-09 05:48:56
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "Le5zek" <l...@p...onet.pl>

    Użytkownik "e+kran" <e...@o...pl> napisał w wiadomości
    news:609f.000000e9.47d31bf9@newsgate.onet.pl...

    >>
    > Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
    > logowania

    Niech sobie podpatrzy. Kilka znaków z 30 znakowego hasła. Duzo mu to da.

    --
    Le5zek Grelak
    'I thought I was someone else, someone good.'


  • 73. Data: 2008-03-09 07:31:26
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    krzysztofsf napisał(a):

    > no to jest dokladnie cytat z regulaminu, ktory ja znalazlem.
    > Ty odpowiadasz interpretacja, a nie cytatem z regulaminu na jej
    > poparcie.

    Właśnie tłumaczę, że zinterpretowałem podany cytat ;)

    > "Moim zdaniem zalogowanie do systemu i autoryzacja transakcji
    > wykonanych w tym systemie to osobne elementy"

    I to jest dokładnie cytat z mojej interpretacji zacytowanego
    fragmentu regulaminu.

    > Udowodnij powyzsze "twoje zdanie" regulaminem (cytat) wyraznie
    > rozdzielajacym te operacje. i stwierdzajacym, ze wykonanie transakcji
    > nieautoryzowanej po poprawnym zalogowaniu nie jest rownoznaczne z
    > wykonaniem poprawnej dyspozycji.

    Jak mam to zrobić? Zamach stanu? Rewolucja? Bo tylko takie metody
    zostają, jeżeli logika nie wchodzi w grę bo skoro w regulaminie
    rożróżnia się zalogowanie i autoryzowanie to logicznie rzecz biorąc są
    to dwa oddzielne elementy.

    j.


  • 74. Data: 2008-03-09 11:14:36
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: krzysztofsf <k...@w...pl>

    On 9 Mar, 08:31, januszek <j...@p...irc.pl> wrote:
    > krzysztofsf napisał(a):
    >
    > > no to jest dokladnie cytat z regulaminu, ktory ja znalazlem.
    > > Ty odpowiadasz interpretacja, a nie cytatem z regulaminu na jej
    > > poparcie.
    >
    > Właśnie tłumaczę, że zinterpretowałem podany cytat ;)
    >
    > > "Moim zdaniem zalogowanie do systemu i autoryzacja transakcji
    > > wykonanych w tym systemie to osobne elementy"
    >
    > I to jest dokładnie cytat z mojej interpretacji zacytowanego
    > fragmentu regulaminu.
    >
    > > Udowodnij powyzsze "twoje zdanie" regulaminem (cytat) wyraznie
    > > rozdzielajacym te operacje. i stwierdzajacym, ze wykonanie transakcji
    > > nieautoryzowanej po poprawnym zalogowaniu nie jest rownoznaczne z
    > > wykonaniem poprawnej dyspozycji.
    >
    > Jak mam to zrobić? Zamach stanu? Rewolucja? Bo tylko takie metody
    > zostają, jeżeli logika nie wchodzi w grę bo skoro w regulaminie
    > rożróżnia się zalogowanie i autoryzowanie to logicznie rzecz biorąc są
    > to dwa oddzielne elementy.
    >

    No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
    transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
    czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
    poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
    autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
    definicji transakcji poprawnie zautoryzowanej.

    Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
    jaki sposob byly autoryzowane?
    Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
    autoryzowana sms, a tamta tylko przycisnieciem OK?




  • 75. Data: 2008-03-09 11:27:50
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    krzysztofsf napisał(a):

    > No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
    > transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
    > czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
    > poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
    > autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
    > definicji transakcji poprawnie zautoryzowanej.

    Ty mnie najwyraźniej pomyliłeś z autorem tego regulaminu. Powinieneś się
    zwrócić z powyższym pytaniem do Banku. Ja swoją interpretację podałem i
    na tym to się kończy :)

    > Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
    > jaki sposob byly autoryzowane?

    To też pytanie do Banku.

    > Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
    > autoryzowana sms, a tamta tylko przycisnieciem OK?

    Hmm... A nie moze? Przeciez masz historie sms-ow w telefonie. A w
    sytuacji naprawde spornej mozna wystapic do organow scigania o
    zabezpieczenie dowodow u operatora telefonicznego.

    j.


  • 76. Data: 2008-03-09 11:38:04
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: "chairon" <c...@i...SKASUJ-TO.pl>

    krzysztofsf napisał(a):

    > Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
    > jaki sposob byly autoryzowane?
    > Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
    > autoryzowana sms, a tamta tylko przycisnieciem OK?

    Nawet jeśli zachowuje, to i tak jest to mało pocieszające. Bo nawet jeśli
    byś zakwestionował transakcję, która nie wymagała dodatkowej autoryzacji,
    to i tak udowodnij, że to nie ty zalogowałeś się do systemu i ją
    wykonałeś. Zdaję sobie sprawę, że odgadnięcie czyjegoś hasła jest mało
    prawdopodobne, ale i tak uważam, że obecne rozwiązanie stwarza pole do
    popisu dla przekrętów. Opisywałem to już wielokrotnie i nie będę się
    powtarzał, ale chcę podkreślić, że wprowadzone rozwiązanie jest dalece
    niedoskonałe. Nie przekonują mnie bowiem jakieś tam slogany, że algorytm
    poddaje każdą transakcję wnikliwej analizie. Jaka analiza do ciężkiej
    cholery? Robię po raz pierwszy przelew na dany rachunek i jest on
    puszczany bez autoryzacji. Czy to jest normalne? Nie, to jest chore!

    Więc jeszcze raz. Gdyby wszystkie przelewy wymagały autoryzacji, to samo
    poznanie przez potencjalnego hakera hasła nie stwarza wielkiego
    zagrożenia, bo właściciel konta musiałby jeszcze na dodatek zostawić w tym
    miejscu telefon, kartę kodów jednorazowych, token czy cokolwiek innego, co
    stanowiło by dodatkowy element potrzebny do autoryzowania transakcji. W
    tej chwili użytkownik naraża się na niebezpieczeństwo jedynie korzystając
    z komputera w obcym miejscu.

    Wiem, że hasło jest wklepywane fragmentarycznie i potrzeba byłoby kilku
    wizyt by osoba szpiegująca weszła w posiadanie kompletnego hasła. Może i
    jest to mało prawdopodobne, ale nie jest niemożliwe. Ktoś powie, że jest
    klawiatura ekranowa. No jest. I co z tego? Wygodniej jest wklepywać z
    normalnej klawiatury.

    Tak więc uważam, że w tej chwili całą odpowiedzialność za bezpieczeństwo
    przerzucono na użytkownika. Nie twierdzę, że ów użytkownik powinien być
    zwolniony z myślenia, ostrożności, odpowiedzialności, itp., ale bank, w
    trosce o bezpieczeństwo swoich klientów, powinien przede wszystkim zadbać
    o to aby jego klienci mogli czuć się bezpiecznie. W tej chwili uważam, że
    tak nie jest.

    --
    Pozdrawiam
    chairon


  • 77. Data: 2008-03-09 11:38:09
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: krzysztofsf <k...@w...pl>

    On 9 Mar, 12:27, januszek <j...@p...irc.pl> wrote:
    > krzysztofsf napisał(a):
    >
    > > No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
    > > transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
    > > czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
    > > poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
    > > autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
    > > definicji transakcji poprawnie zautoryzowanej.
    >
    > Ty mnie najwyraźniej pomyliłeś z autorem tego regulaminu. Powinieneś się
    > zwrócić z powyższym pytaniem do Banku. Ja swoją interpretację podałem i
    > na tym to się kończy :)


    Wiec wymienilismy wylacznie poglady, przy czym uwazam, ze twoja
    interpretacja nie ma nic na poparcie w regulaminie. Ja przytoczylem
    fragment o tym, ze kazda poprawna autoryzacja nie podlega reklamacji.

    > > Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
    > > jaki sposob byly autoryzowane?
    >
    > To też pytanie do Banku.
    >
    > > Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
    > > autoryzowana sms, a tamta tylko przycisnieciem OK?
    >
    > Hmm... A nie moze? Przeciez masz historie sms-ow w telefonie. A w
    > sytuacji naprawde spornej mozna wystapic do organow scigania o
    > zabezpieczenie dowodow u operatora telefonicznego.


    Duzy moze wiecej.
    Jesli sporna sprawa dotyczy duzych sum (pytanie, kto takimi obraca na
    tym koncie direct?) to procedury wyjasniajace sa do uruchomienia.
    Jesli ktos ci podprowadzi dwa tysiace, to zycze powodzenia w
    wyjasnianiu tego przez organy scigania z operatorem telefonicznym do
    spolki.



  • 78. Data: 2008-03-09 11:54:43
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: januszek <j...@p...irc.pl>

    krzysztofsf napisał(a):

    > Wiec wymienilismy wylacznie poglady, przy czym uwazam, ze twoja
    > interpretacja nie ma nic na poparcie w regulaminie. Ja przytoczylem
    > fragment o tym, ze kazda poprawna autoryzacja nie podlega reklamacji.

    Na co odpowiedziałem, że logicznym jest, że skoro w regulaminie
    rozróżnia się logowanie i autoryzowanie to są to różne elementy.
    Napisałem, też, że możesz to jednoznacznie roztrzygnąc zwracająć się do
    banku z pytaniem jak nalezy ten zapis interpretować. Mysle, ze jak
    otrzymasz odpowiedz z banku to mozemy kontynuowac ;)

    > Jesli sporna sprawa dotyczy duzych sum (pytanie, kto takimi obraca na
    > tym koncie direct?) to procedury wyjasniajace sa do uruchomienia.
    > Jesli ktos ci podprowadzi dwa tysiace, to zycze powodzenia w
    > wyjasnianiu tego przez organy scigania z operatorem telefonicznym do
    > spolki.

    Hmm... Ale to dotyczy w zasadzie calego systemu bankowego i nijak ma sie
    do omawianego tu problemu polegającego na tym, że ING wprowadziło
    pojęcie "transakcji niskiego ryzyka". Nawiasem mówiąc czy znasz chociaz
    jedna osobe, ktorej ukradziono (w Polsce) metoda wlamu na konto 2 tys zl
    i byla to wina slabych zabezpieczen i taka osobe bank odmowil uznania
    reklamacji?

    j.


  • 79. Data: 2008-03-09 13:59:20
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: Sigma <s...@o...pl>

    W dniu 2008-03-08 09:29 chairon pięknie wystukał/a:
    > Sigma napisał(a):
    >
    >> Ja sadzę, że ING Bank online jest bardzo bezpieczny. Jeszcze nigdy
    >> niczego nie przepuścił. Zawsze przy wysyłaniu przelewu wpisuję swój
    >> klucz. Ponadto jak Java źle dziala, to w ogóle w przelewy się nie
    >> wejdzie. Nawet przelewu wzorcowego nie zapiszesz jak nie masz swojego
    >> klucza...itd.
    >
    > Mówimy tutaj o *NOWEJ* metodzie autoryzacji - za pomocą kodów
    > jednorazowych, a nie haseł. Po drugie przy nowej metodzie nie potrzebujesz
    > nawet mieć zainstalowanej Javy.

    To znaczy, ze można jeszcze korzystać ze starej zasady i ja korzystam ze
    starej zasady.

    --
    sigma


  • 80. Data: 2008-03-09 15:47:32
    Temat: Re: ING Bank Slaski i ich "bezpieczny" system
    Od: Samotnik <s...@W...samotnik.art.pl>

    Dnia 09.03.2008 Le5zek <l...@p...onet.pl> napisał/a:
    >> Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
    >> logowania
    >
    > Niech sobie podpatrzy. Kilka znaków z 30 znakowego hasła. Duzo mu to da.

    Raz te kilka znaków, raz inne. W końcu wyczai tyle, żeby móc się zalogować.
    Większość ludzi nie ma 30-znakowego hasła, tylko kilkunastoznakowe. Kilka
    prób i masz co najmniej połowę znaków.
    --
    Samotnik
    Kosmetyki: http://www.pachnidelko.pl/
    Biżuteria: http://www.bizuteria-artystyczna.pl/

strony : 1 ... 7 . [ 8 ] . 9 . 10


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1