> I to, moim zdaniem, byłoby najlepsze rozwiązanie. Robisz kilkanaście czy
> kilkadziesiąt przelewów miesięcznie do określonych odbiorców? Zdefiniuj te
> przelewy jako wzorcowe, a przed wysłaniem będziesz miał do wyboru czy
> chcesz aby każdy kolejny przelew do tego odbiorcy wymagał autoryzacji czy
> też nie. Jeśli zaznaczysz kwadracik, że nie, to przy wysyłaniu tego
> przelewu zostanie Ci przesłany kod autoryzacyjny, ale po raz ostatni. Przy
> kolejnej próbie wysłania przelewu do tegoż odbiorcy autoryzacja nie będzie
> wymagana.
>
Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
logowania i dla _żartu_ wyczyści Ci konto przelewem na konto powiedzmy
operatora telewizji kablowej. Użeraj się później o zwrot kasy.
Większość tzw. hakerów nie działa dla zysku tylko dla "fanu". Zrobią Ci
krzywdę chociaż nic z tego nie będą mieli opróćz satysfakcji. Zastanów się
zanim zaczniesz uważać, że dopuszczalne są przelewy bez autoryzacji.

Pozdrawiam
e-kran

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik "e+kran" <e...@o...pl> napisał w wiadomości
news:609f.000000e9.47d31bf9@newsgate.onet.pl...

>>
> Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
> logowania

Niech sobie podpatrzy. Kilka znaków z 30 znakowego hasła. Duzo mu to da.

--
Le5zek Grelak
'I thought I was someone else, someone good.'

do góry

krzysztofsf napisał(a):

> no to jest dokladnie cytat z regulaminu, ktory ja znalazlem.
> Ty odpowiadasz interpretacja, a nie cytatem z regulaminu na jej
> poparcie.

Właśnie tłumaczę, że zinterpretowałem podany cytat ;)

> "Moim zdaniem zalogowanie do systemu i autoryzacja transakcji
> wykonanych w tym systemie to osobne elementy"

I to jest dokładnie cytat z mojej interpretacji zacytowanego
fragmentu regulaminu.

> Udowodnij powyzsze "twoje zdanie" regulaminem (cytat) wyraznie
> rozdzielajacym te operacje. i stwierdzajacym, ze wykonanie transakcji
> nieautoryzowanej po poprawnym zalogowaniu nie jest rownoznaczne z
> wykonaniem poprawnej dyspozycji.

Jak mam to zrobić? Zamach stanu? Rewolucja? Bo tylko takie metody
zostają, jeżeli logika nie wchodzi w grę bo skoro w regulaminie
rożróżnia się zalogowanie i autoryzowanie to logicznie rzecz biorąc są
to dwa oddzielne elementy.

j.

do góry

On 9 Mar, 08:31, januszek <j...@p...irc.pl> wrote:
> krzysztofsf napisał(a):
>
> > no to jest dokladnie cytat z regulaminu, ktory ja znalazlem.
> > Ty odpowiadasz interpretacja, a nie cytatem z regulaminu na jej
> > poparcie.
>
> Właśnie tłumaczę, że zinterpretowałem podany cytat ;)
>
> > "Moim zdaniem zalogowanie do systemu i autoryzacja transakcji
> > wykonanych w tym systemie to osobne elementy"
>
> I to jest dokładnie cytat z mojej interpretacji zacytowanego
> fragmentu regulaminu.
>
> > Udowodnij powyzsze "twoje zdanie" regulaminem (cytat) wyraznie
> > rozdzielajacym te operacje. i stwierdzajacym, ze wykonanie transakcji
> > nieautoryzowanej po poprawnym zalogowaniu nie jest rownoznaczne z
> > wykonaniem poprawnej dyspozycji.
>
> Jak mam to zrobić? Zamach stanu? Rewolucja? Bo tylko takie metody
> zostają, jeżeli logika nie wchodzi w grę bo skoro w regulaminie
> rożróżnia się zalogowanie i autoryzowanie to logicznie rzecz biorąc są
> to dwa oddzielne elementy.
>

No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
definicji transakcji poprawnie zautoryzowanej.

Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
jaki sposob byly autoryzowane?
Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
autoryzowana sms, a tamta tylko przycisnieciem OK?

do góry

krzysztofsf napisał(a):

> No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
> transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
> czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
> poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
> autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
> definicji transakcji poprawnie zautoryzowanej.

Ty mnie najwyraźniej pomyliłeś z autorem tego regulaminu. Powinieneś się
zwrócić z powyższym pytaniem do Banku. Ja swoją interpretację podałem i
na tym to się kończy :)

> Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
> jaki sposob byly autoryzowane?

To też pytanie do Banku.

> Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
> autoryzowana sms, a tamta tylko przycisnieciem OK?

Hmm... A nie moze? Przeciez masz historie sms-ow w telefonie. A w
sytuacji naprawde spornej mozna wystapic do organow scigania o
zabezpieczenie dowodow u operatora telefonicznego.

j.

do góry

krzysztofsf napisał(a):

> Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
> jaki sposob byly autoryzowane?
> Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
> autoryzowana sms, a tamta tylko przycisnieciem OK?

Nawet jeśli zachowuje, to i tak jest to mało pocieszające. Bo nawet jeśli
byś zakwestionował transakcję, która nie wymagała dodatkowej autoryzacji,
to i tak udowodnij, że to nie ty zalogowałeś się do systemu i ją
wykonałeś. Zdaję sobie sprawę, że odgadnięcie czyjegoś hasła jest mało
prawdopodobne, ale i tak uważam, że obecne rozwiązanie stwarza pole do
popisu dla przekrętów. Opisywałem to już wielokrotnie i nie będę się
powtarzał, ale chcę podkreślić, że wprowadzone rozwiązanie jest dalece
niedoskonałe. Nie przekonują mnie bowiem jakieś tam slogany, że algorytm
poddaje każdą transakcję wnikliwej analizie. Jaka analiza do ciężkiej
cholery? Robię po raz pierwszy przelew na dany rachunek i jest on
puszczany bez autoryzacji. Czy to jest normalne? Nie, to jest chore!

Więc jeszcze raz. Gdyby wszystkie przelewy wymagały autoryzacji, to samo
poznanie przez potencjalnego hakera hasła nie stwarza wielkiego
zagrożenia, bo właściciel konta musiałby jeszcze na dodatek zostawić w tym
miejscu telefon, kartę kodów jednorazowych, token czy cokolwiek innego, co
stanowiło by dodatkowy element potrzebny do autoryzowania transakcji. W
tej chwili użytkownik naraża się na niebezpieczeństwo jedynie korzystając
z komputera w obcym miejscu.

Wiem, że hasło jest wklepywane fragmentarycznie i potrzeba byłoby kilku
wizyt by osoba szpiegująca weszła w posiadanie kompletnego hasła. Może i
jest to mało prawdopodobne, ale nie jest niemożliwe. Ktoś powie, że jest
klawiatura ekranowa. No jest. I co z tego? Wygodniej jest wklepywać z
normalnej klawiatury.

Tak więc uważam, że w tej chwili całą odpowiedzialność za bezpieczeństwo
przerzucono na użytkownika. Nie twierdzę, że ów użytkownik powinien być
zwolniony z myślenia, ostrożności, odpowiedzialności, itp., ale bank, w
trosce o bezpieczeństwo swoich klientów, powinien przede wszystkim zadbać
o to aby jego klienci mogli czuć się bezpiecznie. W tej chwili uważam, że
tak nie jest.

--
Pozdrawiam
chairon

do góry

On 9 Mar, 12:27, januszek <j...@p...irc.pl> wrote:
> krzysztofsf napisał(a):
>
> > No to zacytuj za regulaminem definicje zalogowania sie i autoryzacji
> > transakcji, jesli twierdzisz, ze sa w nim rozroznione jako osobne
> > czynnosci. Moze to umozliwi zinterpretowanie, co wg banku jest
> > poprawna autoryzacja i czy transakcja, ktora bank puszcza bez
> > autoryzacji, poprzestajac na uwiarygodnieniu logowaniem, miesci sie w
> > definicji transakcji poprawnie zautoryzowanej.
>
> Ty mnie najwyraźniej pomyliłeś z autorem tego regulaminu. Powinieneś się
> zwrócić z powyższym pytaniem do Banku. Ja swoją interpretację podałem i
> na tym to się kończy :)


Wiec wymienilismy wylacznie poglady, przy czym uwazam, ze twoja
interpretacja nie ma nic na poparcie w regulaminie. Ja przytoczylem
fragment o tym, ze kazda poprawna autoryzacja nie podlega reklamacji.

> > Czy bank zachowuje przy wykonanych transakcjach informacje o tym, w
> > jaki sposob byly autoryzowane?
>
> To też pytanie do Banku.
>
> > Tak, zeby wlasciciel konta mogl stwierdzic, ze ta transakcja byla
> > autoryzowana sms, a tamta tylko przycisnieciem OK?
>
> Hmm... A nie moze? Przeciez masz historie sms-ow w telefonie. A w
> sytuacji naprawde spornej mozna wystapic do organow scigania o
> zabezpieczenie dowodow u operatora telefonicznego.


Duzy moze wiecej.
Jesli sporna sprawa dotyczy duzych sum (pytanie, kto takimi obraca na
tym koncie direct?) to procedury wyjasniajace sa do uruchomienia.
Jesli ktos ci podprowadzi dwa tysiace, to zycze powodzenia w
wyjasnianiu tego przez organy scigania z operatorem telefonicznym do
spolki.

do góry

krzysztofsf napisał(a):

> Wiec wymienilismy wylacznie poglady, przy czym uwazam, ze twoja
> interpretacja nie ma nic na poparcie w regulaminie. Ja przytoczylem
> fragment o tym, ze kazda poprawna autoryzacja nie podlega reklamacji.

Na co odpowiedziałem, że logicznym jest, że skoro w regulaminie
rozróżnia się logowanie i autoryzowanie to są to różne elementy.
Napisałem, też, że możesz to jednoznacznie roztrzygnąc zwracająć się do
banku z pytaniem jak nalezy ten zapis interpretować. Mysle, ze jak
otrzymasz odpowiedz z banku to mozemy kontynuowac ;)

> Jesli sporna sprawa dotyczy duzych sum (pytanie, kto takimi obraca na
> tym koncie direct?) to procedury wyjasniajace sa do uruchomienia.
> Jesli ktos ci podprowadzi dwa tysiace, to zycze powodzenia w
> wyjasnianiu tego przez organy scigania z operatorem telefonicznym do
> spolki.

Hmm... Ale to dotyczy w zasadzie calego systemu bankowego i nijak ma sie
do omawianego tu problemu polegającego na tym, że ING wprowadziło
pojęcie "transakcji niskiego ryzyka". Nawiasem mówiąc czy znasz chociaz
jedna osobe, ktorej ukradziono (w Polsce) metoda wlamu na konto 2 tys zl
i byla to wina slabych zabezpieczen i taka osobe bank odmowil uznania
reklamacji?

j.

do góry

W dniu 2008-03-08 09:29 chairon pięknie wystukał/a:
> Sigma napisał(a):
>
>> Ja sadzę, że ING Bank online jest bardzo bezpieczny. Jeszcze nigdy
>> niczego nie przepuścił. Zawsze przy wysyłaniu przelewu wpisuję swój
>> klucz. Ponadto jak Java źle dziala, to w ogóle w przelewy się nie
>> wejdzie. Nawet przelewu wzorcowego nie zapiszesz jak nie masz swojego
>> klucza...itd.
>
> Mówimy tutaj o *NOWEJ* metodzie autoryzacji - za pomocą kodów
> jednorazowych, a nie haseł. Po drugie przy nowej metodzie nie potrzebujesz
> nawet mieć zainstalowanej Javy.

To znaczy, ze można jeszcze korzystać ze starej zasady i ja korzystam ze
starej zasady.

--
sigma

do góry

Dnia 09.03.2008 Le5zek <l...@p...onet.pl> napisał/a:
>> Nie zgodzę się, że najlepszy. Wystarczy, że ktoś podpatrzy Twoje hasło
>> logowania
>
> Niech sobie podpatrzy. Kilka znaków z 30 znakowego hasła. Duzo mu to da.

Raz te kilka znaków, raz inne. W końcu wyczai tyle, żeby móc się zalogować.
Większość ludzi nie ma 30-znakowego hasła, tylko kilkunastoznakowe. Kilka
prób i masz co najmniej połowę znaków.
--
Samotnik
Kosmetyki: http://www.pachnidelko.pl/
Biżuteria: http://www.bizuteria-artystyczna.pl/

do góry