In news:574f.0000079f.3e01ba74@newsgate.onet.pl, Użytkownik wrote:

> Jakos inni umieja :)) Sprawdz w interfejsach bankow, o ktorych
> pisalem.

Jeśli masz token, to w Lukasie nie wykonasz bez wskazania tokena żadnej
operacji finansowej, a więc bezpieczeństwo nie jest w istotny sposób
zagrożone.

Nie wiem, jak to wygląda w koncie bez tokena, ale chyba inaczej.

--
Robert
To reply by email, use ->mkarta<- in place of ->spamtrap<-
Emaile adresuj do ->mkarta<- zamiast do ->spamtrap<-

do góry

> In news:574f.00000754.3e01aa9f@newsgate.onet.pl, Użytkownik wrote:
>
> > Niektorzy po prostu chca, zeby to dzialalo intuicyjnie, wiarygodnie,
> > szybko i niezawodnie. Bo tak powinno byc w kazdym banku :))
>
> No intuicyjnie to jest dla mnie tak, że jak skończyłeś załatwianie, to
> wychodzisz z banku. Czy nie?
>
>

Robert, ustalmy jedno.

Ja nie jestem przeciwnikiem Lukasa, mam tam rachunek i zostawie tam rachunek.
Ale bug, babol, blad, niedoroba to bug, babol, blad, niedoroba. I kropka.
Trzeba to poprawic i koniec.

A nie wybierac z z czterech slow: "intuicyjnie, wiarygodnie, szybko i
niezawodnie" jedno i to najbardziej podatne na dowolne interpretacje. I
naprawde nie chodzi tu o to, ktory z mozliwych sposobow wyjscia jest
najbardziej intuicyjny czy poprawny.

Swoja droga, gdyby moj projektant czy programista cos takiego zrobil i sie
dowiedzial, ze tak dziala, poprawilby bez zbednego filozofowania, bo po prostu
byloby dla niego oczywiste, ze trzeba to poprawic. A ja bym oczywiscie to
potraktowal jako normalny wypadek przy pracy.

Ale gdyby mi zaczal opowiadac o intuicyjnych sposobach wychodzenia z
aplikacji .... Nie, no ja jakos sobie nie moge tego wyobrazic :)))

Chyba wlasciwie juz wszystko napisalismy na ten temat.

pzdr
wkg



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

> Hmmm, dziwne podejscie.
>
> mBank umie, Fortis tez, Lukas nie.

Ale CO mBank umie??? Możesz bez problemu wpisać inny adres do okna, a potem
wrócić do mBanku - i nie ma w tym nic dziwnego. (o czym niżej)

>
> Ale widzisz.... ja to jestem starej daty i sie nigdy nie wylogowuje.
>
> Moze wzielo sie to stad, ze dawno, kiedy jeszcze pisalem aplikacje (
brrrr )
> podczas zamykania aplikacji robilo sie tzw "cleanup" - zamykanie
wszystkich
> otwartych sesji, plikow, zwalnianie pamieci, zapis do logow i inne takie
...
> sprzatanie smieci.

To naprawdę super, ale co to ma do rzeczy? Pojęcia widać nie masz większego
o protokole HTTP. To, że ktoś zna się na autobusach nie znaczy, że będzie
znał sie od razu też na trolejbusach!

>
> Czasem tez, w bardziej odpowiedzialnych aplikacjach ( banki, duze sieciowe
> instalacje z wieloma uzytkownikami ) montowalo sie procedury sprawdzajace
> uprawnienia uzytkownika ( mogly sie zmienic w trakcie sesji ), ilosc
otwartych
> sesji i inne takie pierdy - czy to co jakis czas, czy to podczas
wykonywania
> operacji.

Ale co to ma do rzeczy?

>
> No, ale teraz mamy MSFT, balaganiarskie systemy to standard i nikt nie
zwraca
> uwagi bo:
>
> - sie nie wylogowales !!!!
> - bo nie wiesz co to sesja !!!
> - bo nie wiesz co to asp, html, jsp !!!

A co MSFT (cokolwiek by to było - wygląda na jakieś kompleksy wobec MS :-)
do systemu sesji w HTTP? Sesje w HTTP zostały opracowane przez W3C i są
pewnym standardem.

>
> Ale nie wszyscy chca wiedziec.

Nie rozumiesz idei tego protokołu.

>
> Niektorzy po prostu chca, zeby to dzialalo intuicyjnie, wiarygodnie,
szybko i
> niezawodnie. Bo tak powinno byc w kazdym banku :))

A ja bym chciał, zeby auta jeździły 500km/h i były super bezpieczne - i co z
tego?

>
> Ale moze ja sie nie znam :((

Oj, z tego co napisałeś - to nie bardzo :-)

Pozdrawiam
K. Kowalski

do góry

Witam

> > Hmmm, dziwne podejscie.
> >
> > mBank umie, Fortis tez, Lukas nie.
>
> Ale CO mBank umie??? Możesz bez problemu wpisać inny adres do okna, a potem
> wrócić do mBanku - i nie ma w tym nic dziwnego. (o czym niżej)
>

Sprawdzalem to kilka razy na kilku stacjach. Nie pisalem o wpisaniu adresu,
tylko o wpisaniu adresu i sciagnieciu nowej strony ( no, chyba, ze to wlasnie
miales na mysli ). Za kazdym razem tak Fortis jak i mBank wymagaly ponownego
wpisania hasla.

>
> To naprawdę super, ale co to ma do rzeczy? Pojęcia widać nie masz większego
> o protokole HTTP. To, że ktoś zna się na autobusach nie znaczy, że będzie
> znał sie od razu też na trolejbusach!
>

Ależ oczywiście :)) Ani zbyt wielkiego o HTTP ani o trolejbusach. Od tego sa
ludzie od HTTP albo od trolejbusow. I cale szczescie. Zauwazylem luke, ktorej
nie ma ( przynajmniej wg moich obserwacji ) w innych znanych mi bankach.


>
> >
> > Ale nie wszyscy chca wiedziec.
>
> Nie rozumiesz idei tego protokołu.
>

To Ty nie rozumiesz idei tego postu. Interfejsy internetowe bankow nie powinny
wymagac znajomosci jakichkolwiek protokolow, tak jak - tu bardzo dobrze
kombinujesz - przejazd autobusem, trolejbusem czy innym srodkiem transportu nie
wymaga dyplomu politechniki czy prawa jazdy. Wymaga zakupienia biletu ( w
banku - oplaty za prowadzenie rachunku, zeby juz bylo jasne :))) ).

Pozdrawiam
wkg

PS. Ale zdziwily mnie twoje slowa o tym, ze tak samo to dziala w mBanku.
Testowalem dosyc dokladnie.

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

In news:atss18$v8v$1@shilo.silesia.pik-net.pl, Krzysztof Kowalski wrote:
> > Hmmm, dziwne podejscie.
> >
> > mBank umie, Fortis tez, Lukas nie.
>
> Ale CO mBank umie??? Możesz bez problemu wpisać inny adres do okna, a
> potem wrócić do mBanku - i nie ma w tym nic dziwnego. (o czym niżej)

No właśnie, co mBank umie? Przed chwilą sprawdziłem. W oknie z syst.
transakcyjnym wpisałem adres info.onet.pl, załadowałem, potem wstecz.
Dostałem ostrzeżenie, że strona wygasła i trzeba odświeżyć, a po naciśnięciu
F5 dalej mogłem wykonywać operacje w mBanku. Czy zabezpieczeniem przed tego
typu "hakerem", co siada po mnie do komputera, ma być to, że musi nacisnąć
F5, bo nie rozumiem?

Mam skonfigurowaną przeglądarkę dokładnie zgodnie z zaleceniami mBanku.

--
Robert
To reply by email, use ->mkarta<- in place of ->spamtrap<-
Emaile adresuj do ->mkarta<- zamiast do ->spamtrap<-

do góry

>
> To Ty nie rozumiesz idei tego postu. Interfejsy internetowe bankow nie
powinny
> wymagac znajomosci jakichkolwiek protokolow, tak jak - tu bardzo dobrze
> kombinujesz - przejazd autobusem, trolejbusem czy innym srodkiem
transportu nie
> wymaga dyplomu politechniki czy prawa jazdy. Wymaga zakupienia biletu ( w
> banku - oplaty za prowadzenie rachunku, zeby juz bylo jasne :))) ).

Ale Ty oprócz tego że kupiłeś bilet zaczynasz się zastanawiać czy w oponach
jest odpowiednie ciśnienie bo jak po tobie wsiadała jakaś babcia to autobus
zaczął się przechylać na jej stronę. :-)


W tym wątku padła też opinia, że w danej chwili powinno dać się zalogować
wyłącznie z jednego miejsca.
Pomysł nie do końca mądry.
Powiedzmy że ktoś się zalogował a za moment "siadło" zasilanie.
Za chwilę się loguje ponownie a tu błąd! Już jest zalogowany.
To dopiero by było marudzenie na bank.

do góry

> Sprawdzalem to kilka razy na kilku stacjach. Nie pisalem o wpisaniu
adresu,
> tylko o wpisaniu adresu i sciagnieciu nowej strony ( no, chyba, ze to
wlasnie
> miales na mysli ). Za kazdym razem tak Fortis jak i mBank wymagaly
ponownego
> wpisania hasla.

Widocznie korzystamy z innych mBanków :-))) Bo ja mogę pochodzić np po
onecie, powsteczować ;-) i wrócić do serwisu, który DZIAŁA. Nie wiem czy Ty
przypadkiem nie wpisujesz spowrotem adresu
https://www.mbank.com.pl/ib_fr_homebanking.asp - wtedy rzeczywiście trzeba
się logować. Ale sprawdzenie tego jest możliwe bo znamy adres, który wywołał
ten adres.

> Ależ oczywiście :)) Ani zbyt wielkiego o HTTP ani o trolejbusach. Od tego
sa
> ludzie od HTTP albo od trolejbusow. I cale szczescie. Zauwazylem luke,
ktorej
> nie ma ( przynajmniej wg moich obserwacji ) w innych znanych mi bankach.

Pisałem Ci więc, że chciałbym mieć auto, które jeździ 500km/h i jest super
bezpieczne. I co - mam twierdzić, że od tego są ludzie, którzy się na tym
znają i już? :-) Poprzez protokół HTTP nie da się skutecznie poinformować
serwera, że klient zamknął okno przeglądarki. I nikt na to nic nie poradzi -
od tego jest protokół HTTP (tak jak trolejbus jedzie tam gdzie druty - i to,
że ktoś by chciał by skręcił gdzieś w lewo niczego nie zmieni).

> To Ty nie rozumiesz idei tego postu. Interfejsy internetowe bankow nie
powinny
> wymagac znajomosci jakichkolwiek protokolow, tak jak - tu bardzo dobrze
> kombinujesz - przejazd autobusem, trolejbusem czy innym srodkiem
transportu nie
> wymaga dyplomu politechniki czy prawa jazdy. Wymaga zakupienia biletu ( w
> banku - oplaty za prowadzenie rachunku, zeby juz bylo jasne :))) ).

Tu już wpadam niemal w ROFTL :-))) Jako informatyk znasz chyba pojęcie
pokory przed specyfikacją danej technologi? Klient nasz pan powiadasz? ;-)

> PS. Ale zdziwily mnie twoje slowa o tym, ze tak samo to dziala w mBanku.
> Testowalem dosyc dokladnie.

Testujmy dalej - bo być może piszemy o czymś innym :-)

K. Kowalski

do góry

> No właśnie, co mBank umie? Przed chwilą sprawdziłem. W oknie z syst.
> transakcyjnym wpisałem adres info.onet.pl, załadowałem, potem wstecz.
> Dostałem ostrzeżenie, że strona wygasła i trzeba odświeżyć, a po
naciśnięciu
> F5 dalej mogłem wykonywać operacje w mBanku. Czy zabezpieczeniem przed
tego
> typu "hakerem", co siada po mnie do komputera, ma być to, że musi nacisnąć
> F5, bo nie rozumiem?

Więc nie tylko mi działa poprawnie :-) Przed tym się nie da zabezpieczyć. Co
prawda chodzi mi po głowie pomysł aby w momencie gdy klient wpisze adres
innej strony skrypt otwierał w pop-upie stronkę, która by zabijała na
serwerze sesję. Być może jest to możliwe - ale moje wieloletnie
doświadczenie webmastera mówi mi, że bardzo karkołomne i zawodne! :-)
Poza tym - bardzo dobre pytanie - przed czym ma to właściwie zabezpieczać?
Jeśli się wchodzi do auta to się zapina pasy - a nie marudzi po wypadku, że
powinny się same zapiąć. Jeśli się kończy pracę z bankiem online to się
klika WYLOGUJ - i to cała filozofia. Dopóki klient się nie wyloguje znaczy
to, że raczej CHCE być zalogowany. Wychodzimy z auta - zamykamy drzwi i
robimy "pik" pilotem ;-). Kończymy wizytę w banku - wylogowujemy się. Wizyta
w banku przez Internet to nie jest gra chat na onecie!

>
> Mam skonfigurowaną przeglądarkę dokładnie zgodnie z zaleceniami mBanku.

I bardzo dobrze :-)

Pozdrawiam
K. Kowalski

do góry

>
>
>W tym wątku padła też opinia, że w danej chwili powinno dać się zalogować
>wyłącznie z jednego miejsca.
>Pomysł nie do końca mądry.
>Powiedzmy że ktoś się zalogował a za moment "siadło" zasilanie.
>Za chwilę się loguje ponownie a tu błąd! Już jest zalogowany.
>

Tak działa LGNet. Jak zamkniesz przeglądarkę bez wylogowania, zapomnij o
ponownym zalogowaniu przez bodajże 30 minut. Tam sesja zapisywana jest
na serwerze. Zesrać się można, jak coś się skopie, a trzeba nagle
skorzystać...

No Ale LGNet ma w ogóle nieużywalny interfejs...


--
Jego Szara Eminencja Czcigodny Tristan hrabia Alder
(ZTJ: Przemysław Adam Śmiejek)

do góry

"Kazimierz" <k...@g...pl> napisał


> Ciekawe czy to byla kwestia jednego komputera czy jednego IP, bo jakby to
> drugie to w kawiarenkach internetowych lepiej nie korzystac.

chyba mbank w ogóle nie nadaje się do kawiarenek - jakiś szpieg wyczuje ci
hasła i potem może nie okradnie, ale zapłacić za telefon z góry za kilka lat
to już pewnie będzie mógł. Pod tym względem to Lukas (z tokenem)górą.

Zbig

do góry