Chris napisał(a):

> Wygląda interesująco, ale mimo wszystko strach instalować :(

Zapewniam, że nie ma się czego bać :)

> Czy istnieje jakaś możliwość obejrzenia w działaniu wersji
> demonstracyjnej?

Pobrany z www.bankonet.pl program posiada pełną funkcjonalność przez 60
dni. To wystarczający, naszym zdaniem, czas na poznanie wszystkich zalet
i wad programu.

--
Pozdrawiam,
Paweł Mondzelewski
m...@n...spam.post.pl

do góry

Marcin Nowakowski napisał(a):
> Dnia 2006-08-11 08:05, osobnik Jacek stwierdził, iż:
>> * Inteligo - PKO Bank Polski
>
> Zdaje się Polska Kasa Oszczędności Bank Polski.

A ściślej - "Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna". W
skrócie PKO Bank Polski - sami używają tego skrótu na swoich stronach -
na stronie https://www.pkointeligo.pl/ w stopce : "Copyright (C) PKO Bank
Polski" :)

>> * BPH - Bank Przemysłowo-Handlowy SA
>
> A BPH, to Bank BPH Spółka Akcyjna, a nie żaden przemysłowy ani handlowy.

Zgadza się, dowiedziałem się w banku że obecnie skrótu "BPH" się już nie
rozwija, choć poprzednio znaczył to co napisaliśmy powyżej. Poprawimy :)

>> * PKO Inteligo - PKO Bank Polski
>
> I tu zdaje się też Polska Kasa Oszczędności (tak chyba mają w KRSie?).

Powszechna, nie Polska. PKO Inteligo i Inteligo są prowadzone przez PKO BP

> I to tyle ;)

:)


--
Pozdrawiam,
Paweł Mondzelewski
p...@s...pl

do góry

Stregor napisał(a):
> perio napisał(a):
>> Jacek napisał:
>
>> 1. Monitorowanie MOŻE jedynie pokazać, że DOTYCHCZAS dane nie były
>> wysyłane.
>
> A raczej pokaże, że W TEJ CHWILI nie są wysyłane :)
>
>> 2. Monitorowanie jedynie pokaże, że dane ZOSTAŁY wysłane, nie
>> zapobiegnie temu.

Miło mi, że zgadza sie Pan z moimi obiekcjami. :-)
Pragnę jednak przypomnieć, że dotyczą one wypowiedzi
j...@U...pl:
"Po drugie NIKT poza Panem i programem nie uzyskuje dostepu do konta,
jak juz pisalem mozna to sprawdzic. Wystarczy monitorowac polaczenia,
jakie wykonuje Bankonet i okaze sie, ze zadne dane nie sa nigdzie wysylane."
Obaj Panowie macie w stopkach słowo "sokaris". ;-)

> Przecież - gdybając sobie - nie ma to żadnego znaczenia. Widzi Pan, że
> dane zostały wysłane i:
> a) zmienia Pan loginy/hasła/co tam w Pańskim banku można zmienić
> b) podaje Pan nas do sądu

I co z tego bym miał? ;-)
1. Skoro program sam się aktualizuje, czy też sprawdza dostępność nowej
wersji - samodzielnie nawiązuje połączenie z jakimś serwerem, to jak w
prosty sposób stwierdzić czy w czasie zapytania o nową wersję program
nie wysyła danych klienta?
2. Udowodnienie istnienia procedury wysyłającej dane klienta trochę
czasu by zajęło biorąc pod uwagę mnogość wersji pomiędzy momentem
wysłania danych a zauważeniem na wyciągu "podejrzanej transakcji".
3. Czy wyłudzenie haseł czyniłoby Was odpowiedzialnymi za szkody?
4. Nawet jeśli, to pieniądze i ich nowi posiadacze już dawno byłyby w
bajecznych krajach.
5. Reklamacja transakcji w banku też by nic nie dała, gdyż bank słusznie
stwierdziłby, że winę ponosi klient, który nienależycie starannie
przechowywał hasła dostępu etc.

>> 3. Zapewne prędzej lub później pojawi się w programie opcja "sprawdź
>> dostępność aktualizacji", etc. - połączenie ze stroną producenta.
>
> Taka opcja JUŻ jest, jest wielce przydatna - Bankonet jest aktualizowany
> dosyć często - wynika to ze specyfiki produktu o której było już wiele
> wcześniej :)

No właśnie.

Na zakończenie pozwolę sobie zacytować słowa Macieja Bójko z tego wątku,
z którymi się w pełni zgadzam (no, może poza sformułowaniem "raczej nie
sądzę" ;-) ).
"Żeby było jasne: nie chcę sugerować, i raczej nie sądzę, żeby Bankonet
służył do okradania klientów. Ale program o takiej funkcjonalności
MÓGŁBY do tego służyć. A w obchodzeniu się z finansami pewien poziom
zdrowej paranoi jest wskazany."

Pozdrawiam
Jarek

do góry

perio napisał(a):

>>> 2. Monitorowanie jedynie pokaże, że dane ZOSTAŁY wysłane, nie
>>> zapobiegnie temu.
>
> Miło mi, że zgadza sie Pan z moimi obiekcjami. :-)
> Pragnę jednak przypomnieć, że dotyczą one wypowiedzi
> j...@U...pl:
> "Po drugie NIKT poza Panem i programem nie uzyskuje dostepu do konta,
> jak juz pisalem mozna to sprawdzic. Wystarczy monitorowac polaczenia,
> jakie wykonuje Bankonet i okaze sie, ze zadne dane nie sa nigdzie wysylane."
> Obaj Panowie macie w stopkach słowo "sokaris". ;-)

Celowo mamy w stopkach słowo "Sokaris", nie wstydzimy się tego :) I nie
widzę tu sprzeczności - Jacek napisał że łatwo można sprawdzić że
program nie wysyła nic do producenta. To prawda, więc napisał to w
dobrej wierze. Jednak w następnym poście poprzeczka "zdrowej paranoi"
została podniesiona, więc celowo podniosłem ją jeszcze troszkę,
wskazując inne hipotetyczne sposoby ukrycia faktu komunikacji :)

>> Przecież - gdybając sobie - nie ma to żadnego znaczenia. Widzi Pan, że
>> dane zostały wysłane i:
>> a) zmienia Pan loginy/hasła/co tam w Pańskim banku można zmienić
>> b) podaje Pan nas do sądu
>
> I co z tego bym miał? ;-)

Jak to co? sprawę o odszkodowanie na 100% by Pan wygrał mając dowody
przestępczej działalności programu, nie wspominając o odpowiedzialności
karnej

> 1. Skoro program sam się aktualizuje, czy też sprawdza dostępność nowej
> wersji - samodzielnie nawiązuje połączenie z jakimś serwerem, to jak w
> prosty sposób stwierdzić czy w czasie zapytania o nową wersję program
> nie wysyła danych klienta?

Program nie aktualizuje się SAM - jest opcja którą ręcznie trzeba
wywołać, powoduje ona uruchomienie OSOBNEGO programu, nie mającego w
żadnym stopniu związku z samym Bankonetem, który służy do aktualizacji
wszystkich programów naszej firmy, w tym również Bankonetu

> 2. Udowodnienie istnienia procedury wysyłającej dane klienta trochę
> czasu by zajęło biorąc pod uwagę mnogość wersji pomiędzy momentem
> wysłania danych a zauważeniem na wyciągu "podejrzanej transakcji".

Przecież nie polegałoby to na udowadnianiu istnienia procedury tylko na
fakcie przelewu z konta a to fakt bezsprzeczny byłby. Nieistotne w końcu
w jaki sposób przestępca zdobył hasła, tylko fakt że je miał a
następnie ich użył

> 3. Czy wyłudzenie haseł czyniłoby Was odpowiedzialnymi za szkody?

Nie wiem, nigdy niczego nie wyłudzaliśmy, ale tak podejrzewam, na zdrowy
rozsądek jak mawia znany pan z reklamy ING :)

> 4. Nawet jeśli, to pieniądze i ich nowi posiadacze już dawno byłyby w
> bajecznych krajach.

Tu się nie wypowiadam, nie mam doświadczenia :) Parę filmów sensacyjnych
które obejrzałem nie upoważnia mnie do stwierdzenia że znam się na
ucieczkach z kasą za granicę :)

> 5. Reklamacja transakcji w banku też by nic nie dała, gdyż bank słusznie
> stwierdziłby, że winę ponosi klient, który nienależycie starannie
> przechowywał hasła dostępu etc.

To tak jak z kradzieżą samochodu - klient jest winny tego że zostawił
kluczyki ale to nie zwalnia złodzieja z odpowiedzialności za kradzież.
Nie chodziło mi o anulowanie ewentualnej transakcji tylko po prostu o
pozwanie sprawcy i o odszkodowanie zasądzone przez sąd

> Na zakończenie pozwolę sobie zacytować słowa Macieja Bójko z tego wątku,
> z którymi się w pełni zgadzam (no, może poza sformułowaniem "raczej nie
> sądzę" ;-) ).
> "Żeby było jasne: nie chcę sugerować, i raczej nie sądzę, żeby Bankonet
> służył do okradania klientów. Ale program o takiej funkcjonalności
> MÓGŁBY do tego służyć. A w obchodzeniu się z finansami pewien poziom
> zdrowej paranoi jest wskazany."

Oczywiście, mam nadzieję że wszyscy czytelnicy tego wątku zdają sobie
sprawę że nasze dywagacje mają charakter czysto teoretyczny. Paranoja na
pewnym poziomie też jest wskazana i zdrowa. W końcu hasła się chroni i
nikomu nie podaje. Ale z paranoją też nie można przesadzać - najsłabszym
ogniwem i tak zwykle jest pojedynczy człowiek, więc aż strach pomyśleć
co może zrobić taki na przykład pracownik banku który ma dostęp do
wszystkich kont klientów oddziału na których leżą naprawdę konkretne
pieniądze. Idąc tym tokiem rozumowania pozostaje jedynie skarpeta :)

> Pozdrawiam
> Jarek


--
Pozdrawiam,
Paweł Mondzelewski
m...@n...spam.sokaris.pl

do góry

Mon, 21 Aug 2006 10:19:34 +0200, w <ecbqfk$o12$1@nemesis.news.tpi.pl>, Stregor
<m...@n...post.pl> napisał(-a):

> > Mi niestety mimo komunikatu o pobieraniu czegoś z Lukasa nie wyświetla
> > operacji na koncie, tak jakby nic nie zostało ściągnięte. Nie wiem czy po
> > zarejestrowaniu się coś zmieni, na razie tak jakby nie działało...
>
> Rejestracja programu w okresie próbnym nie zmienia jego funkcjonalności.
> Przez 60 dni działa on jak wersja pełna.
>
> Co do wyświetlania - program w logu pokazywał że pobrał jakieś wyciągi?
> Być może winę za niewyświetlanie operacji ponosi jakiś włączony filtr?

U mnie też niczego z Lukasa nie ściąga. Co prawda chodzi mi o Wyciągi, ale
pewnie procedura jest ta sama.

do góry

Jacek napisał(a):
> Witam
>
> Zapraszam do testowania pierwszego w Polsce programu do obsługi kont
> bankowych, konkretnie do pobierania wyciągów, archwizacji, raportowania,
> powiadamiania o zmianach salda (SMS,mail) itp.
> Strona programu:
>
> http://www.bankonet.pl
>
> Zapraszam do testowania

Przetestowałem - program sie zawiesza przy probie anulowania pobierania
wyciagu z radosnym komunikatem "Acces violation at adress 00000000. Read
of address 00000000" i dzwiekiem bledu - po czym wpada w petle
komunikatu i trzeba go "zkillowac".
NIe uwzglednia wplywu mojego wynagrodzenia co sprawia ze mam same
wyplywy i zero wplywow od pracodawcy ;>
Robi sie kosmiczny debet na koncie. Podejrzewam ze to kwestia
akceptowalnej ilosci znakow w tytule przelewu - ja mam ich sporo taka
procedura w firmie. Ilosc znakow - 50.

Konto w Multibanku.

Mysle ze musicie jeszcze chyba sporo nad nim popracowac.
--
pzdr
robbi

do góry

Stregor napisał(a):
> Celowo mamy w stopkach słowo "Sokaris", nie wstydzimy się tego :) I nie
> widzę tu sprzeczności - Jacek napisał że łatwo można sprawdzić że
> program nie wysyła nic do producenta. To prawda, więc napisał to w
> dobrej wierze. Jednak w następnym poście poprzeczka "zdrowej paranoi"

Zakładam, że "to prawda" dotyczy niewysyłania, a nie możności
sprawdzenia. :-)
"Przemycić" dane jest bardzo prosto, wystarczy, że program łączy się z
określonym serwerem. Interesujące dane (login/hasło, dane karty
kredytowej) to raptem kilkanaście znaków. Przykład?
Aktualizacje znajdują się na niepozornym serwerze www. Dostęp do zasobów
zabezpieczony jest "losowym" hasłem. Hasło wysyłane do serwera składa
się z danych klienta (np. dane z karty kredytowej) i jakiegoś ich
skrótu. Serwer sprawdza poprawność skrótu i na tej podstawie udostępnia
zasoby.
Zawsze można też zaszyć w programie "dodatkową funkcjonalność" np.
zrobienie przelewu za rok. Są banki, w których wykonywanie operacji
przez internet potwierdzane jest tylko stałym hasłem.

> Jak to co? sprawę o odszkodowanie na 100% by Pan wygrał mając dowody
> przestępczej działalności programu, nie wspominając o odpowiedzialności
> karnej

Nie wnikajmy co bym wygrał w sądzie. Istotne jest, czy byłoby z czego
"ściągnąć" odszkodowanie. Firma robiąca taki "numer" zapewne okazałaby
się firmą bez majątku, wszystko wynajęte.

[...]
Samo udowadnianie istnienia procedury wysyłającej dane służyłoby
powiązaniu producenta z faktem zniknięcia pieniędzy celem uzyskania
odszkodowania odeń. Nie jestem aż takim optymistą, by liczyć na
odzyskanie pieniędzy od zleceniodawcy lub adresata przelewu.

> Oczywiście, mam nadzieję że wszyscy czytelnicy tego wątku zdają sobie
> sprawę że nasze dywagacje mają charakter czysto teoretyczny. Paranoja na
> pewnym poziomie też jest wskazana i zdrowa. W końcu hasła się chroni i
> nikomu nie podaje. Ale z paranoją też nie można przesadzać - najsłabszym
> ogniwem i tak zwykle jest pojedynczy człowiek, więc aż strach pomyśleć
> co może zrobić taki na przykład pracownik banku który ma dostęp do
> wszystkich kont klientów oddziału na których leżą naprawdę konkretne
> pieniądze. Idąc tym tokiem rozumowania pozostaje jedynie skarpeta :)

Skarpetę też łatwo stracić (pożar, kradzież), nawet śladu nie będzie. :-)

W zasadzie ten wątek powinien już dawno temu zakończyć się
stwierdzeniem, że bezpieczeństwo używania tego rodzaju oprogramowania
opiera się jedynie na założeniu, iż jego producentowi bardziej się
opłaca kontynuowanie dotychczasowej działalności (produkcja
oprogramowania) niż efektowne (i efektywne) jej zakończenie. Czy jest to
"jedynie", czy "aż", to już zależy od konkretnego przypadku.

Pozdrawiam
Jarek

do góry

Dnia Mon, 21 Aug 2006 10:19:34 +0200, Stregor napisał(a):

> Stefan napisał(a):
>
>> Mi niestety mimo komunikatu o pobieraniu czegoś z Lukasa nie wyświetla
>> operacji na koncie, tak jakby nic nie zostało ściągnięte. Nie wiem czy po
>> zarejestrowaniu się coś zmieni, na razie tak jakby nie działało...
>
> Rejestracja programu w okresie próbnym nie zmienia jego funkcjonalności.
> Przez 60 dni działa on jak wersja pełna.
>
> Co do wyświetlania - program w logu pokazywał że pobrał jakieś wyciągi?
> Być może winę za niewyświetlanie operacji ponosi jakiś włączony filtr?

Program nawiązuje połączenie, przesuwają się procenty zadania i na końcu
wyświetla się komunikat: ściągnieto 0 operacji (czy jakoś podobnie).
Program przeinstalowałem, niestety ciągle nie da się nic pobrać.

do góry

Stefan napisał(a):

> Program nawiązuje połączenie, przesuwają się procenty zadania i na końcu
> wyświetla się komunikat: ściągnieto 0 operacji (czy jakoś podobnie).
> Program przeinstalowałem, niestety ciągle nie da się nic pobrać.

Skontaktujemy się z Panem w najbliższym czasie (mail z którego Pan
wysyła posty na grupę jest aktualny?) w celu ustalenia przyczyny problemu

--
Pozdrawiam,
Paweł Mondzelewski
p...@n...spam.sokaris.pl

do góry

robbi napisał(a):

> Przetestowałem - program sie zawiesza przy probie anulowania pobierania
> wyciagu z radosnym komunikatem "Acces violation at adress 00000000. Read
> of address 00000000" i dzwiekiem bledu - po czym wpada w petle
> komunikatu i trzeba go "zkillowac".
> NIe uwzglednia wplywu mojego wynagrodzenia co sprawia ze mam same
> wyplywy i zero wplywow od pracodawcy ;>
> Robi sie kosmiczny debet na koncie. Podejrzewam ze to kwestia
> akceptowalnej ilosci znakow w tytule przelewu - ja mam ich sporo taka
> procedura w firmie. Ilosc znakow - 50.
>
> Konto w Multibanku.
>
> Mysle ze musicie jeszcze chyba sporo nad nim popracowac.

Bardzo bym prosił o wysłanie na adres ze stopki (po usunięciu jego
zbędnej części) dokładnej procedury prowadzącej do wystąpienia błędu -
czy pobiera Pan konto z panelu "na skróty" czy z okna wyciągu, czy może
jest to pobieranie automatyczne, w którym momencie próbuje Pan przerwać
pobieranie, czy to jest pobieranie tego właśnie konta czy wszystkich
naraz (jeśli ma Pan ich więcej) itd.

Co do nieimportowanych wyciągów - następna prośba -
1. proszę zalogować się na stronę www banku, wybrać przelew którego
Bankonet nie importuje i wejść w szczegóły operacji
2. Zapisać ramkę ze szczegółami operacji na dysk
3. Pozmieniać prywatne dane - numery kont, tytuł operacji, kwotę itd,
ale ze ścisłym zachowaniem struktury dokumentu, tzn. jeśli kwota
przelewu to przykładowo 1,234.56 to proszę zmienić ją na 0,000.00, tytuł
operacji niech ma tyle samo znaków co miał ale literki proszę pozmieniać
na xxx xxxxxx xxx itd itd, analogicznie numery kont.
4. Tak spreparowany plik proszę wysłać na adres podany w stopce

Wiem, że to sporo zachodu od Pana wymaga ale nam pozwoli ustalić
przyczynę nieimportowania tego wyciągu z Pańskiego banku. Z góry dziękuję.

--
Pozdrawiam,
Paweł Mondzelewski
p...@n...spam.sokaris.pl

do góry