K. Mackiewicz wrote:

> nie trzymaniem haseł na dysku, zabezpieczanie systemu, nie zapisywanie
> nigdzie niektórych danych itp.

I to ma zapewnić pełną kontrolę ? A co z atakami man in the middle, dns
poisoning itd. Nigdy nie będziesz miał pełnej kontroli...

> to już jest inny problem, co do kart to przy autoryzacji pinem
> dostaniesz zwrot pieniedzy z banku ? ( jesli tak to napisz w ktorym ) (
> oczywiscie mowie o karcie ktora jest niezastrzezona )

pin masz w głowie nad którą chyba masz kontrolę. Jeśli ci zamontują
kamerkę na bankomacie to bank odpowiada za takie przekręty. Oczywiście
powinno byc tak jak w USA, że bank w ogóle nie uzależnia akceptacji
reklamacji od tego czy był użyty pin czy nie. Tylko w taki sposób mozna
zmusić bank aby pomyślał chwilę nad system bezpieczeństwa a nie robił teatr.
W kartach rozwiązano ten problem w sposób akceptowalny dla obu stron.
Nie da się technicznie zapewnić 100% bezpieczeństwa transakcji kartowych
więc używa się ubezpieczenia a nie zwala na klienta całe ryzyko.

> dane prywatne ktorych nie chcemy ujawnic poprostu zabezpieczajmy tak aby
> nikt ich nie poznal

Dane ujawniasz dokonując transakcji w internecie. Wtedy zostają one
skopiowane, sesja przekierowana itd. - sposobów jest mnóstwo.
>
> nie podobają się zabezpieczenia banku lub wydają się za słabe zawsze
> można zmienić bank lub zrezygnowac z bankowosci elektronicznej

Mogę zmienić bank - teraz. Ale artykuł mówił o kolesiu z ZBP, który też
jest za zwalaniem ryzyka na klientów. A to może się skończyć, ze zmiana
bank nic nie da i wtedy rzeczywiście trzeba będzie zrezygnowac z
bankowości internetowej.
>
>>
> a czy ktorys bank zabrania znac system operacyjny itp?

Ale się czujesz mocny w tym swoim Windows - pogratulować... Znasz
wszystkie dziury i pewnie miałeś własne patche na nie zanim MS je napisał.

do góry

GP wrote:
> Ktoś włamał się na konto właściciela niewielkiej firmy z Krakowa i
> ukradł ponad 27 tys. zł. Bank oznajmił, że odszkodowanie się nie
> należy, bo złodziej korzystał z danych, które teoretycznie powinien
> znać tylko szef okradzionej firmy. Tyle że podobnych przypadków jest
> więcej...
> Kiedy rano wrócił
> do pracy i ponownie włączył komputer, okazało się, że nie działa
> system operacyjny.

Wstrząsająca historia...
A cofnijmy się do czasów bez bankowości elektronicznej - inna wersja
historyjki:
Pan Piotr Mazurkiewicz wrócił do domu i zastał totalny bałagan -
skradziono dowód osobisty i papiery z banku. Gdy poszedł do oddziału,
okazało się, że ktoś wyciągnął jego pieniądze.

I co teraz? Bank odpowiada za włamanie do mieszkania?
Popełniono przestępstwo - włamanie do komputera (tak jak do domu).

P.

do góry

Darek pisze:
> K. Mackiewicz wrote:
>
>> nie trzymaniem haseł na dysku, zabezpieczanie systemu, nie zapisywanie
>> nigdzie niektórych danych itp.
>
> I to ma zapewnić pełną kontrolę ? A co z atakami man in the middle, dns
> poisoning itd. Nigdy nie będziesz miał pełnej kontroli...
>
>> to już jest inny problem, co do kart to przy autoryzacji pinem
>> dostaniesz zwrot pieniedzy z banku ? ( jesli tak to napisz w ktorym )
>> ( oczywiscie mowie o karcie ktora jest niezastrzezona )
>
> pin masz w głowie nad którą chyba masz kontrolę. Jeśli ci zamontują
> kamerkę na bankomacie to bank odpowiada za takie przekręty. Oczywiście
> powinno byc tak jak w USA, że bank w ogóle nie uzależnia akceptacji
> reklamacji od tego czy był użyty pin czy nie. Tylko w taki sposób mozna
> zmusić bank aby pomyślał chwilę nad system bezpieczeństwa a nie robił
> teatr.
> W kartach rozwiązano ten problem w sposób akceptowalny dla obu stron.
> Nie da się technicznie zapewnić 100% bezpieczeństwa transakcji kartowych
> więc używa się ubezpieczenia a nie zwala na klienta całe ryzyko.
>
>> dane prywatne ktorych nie chcemy ujawnic poprostu zabezpieczajmy tak
>> aby nikt ich nie poznal
>
> Dane ujawniasz dokonując transakcji w internecie. Wtedy zostają one
> skopiowane, sesja przekierowana itd. - sposobów jest mnóstwo.
>>
>> nie podobają się zabezpieczenia banku lub wydają się za słabe zawsze
>> można zmienić bank lub zrezygnowac z bankowosci elektronicznej
>
> Mogę zmienić bank - teraz. Ale artykuł mówił o kolesiu z ZBP, który też
> jest za zwalaniem ryzyka na klientów. A to może się skończyć, ze zmiana
> bank nic nie da i wtedy rzeczywiście trzeba będzie zrezygnowac z
> bankowości internetowej.
>>
>>>
>> a czy ktorys bank zabrania znac system operacyjny itp?
>
> Ale się czujesz mocny w tym swoim Windows - pogratulować... Znasz
> wszystkie dziury i pewnie miałeś własne patche na nie zanim MS je napisał.
>
Nie znam, nie miałem patch'ow zanim je ms napisal itp., i nie chodzi mi
o to że jestem zabezpieczony w 100% itp. itd. ale chodzi o to że nie o
każde włamanie na konto należy obwiniać bank, jeśli wina leży tylko i
wyłącznie po stronie użytkownika to dlaczego bank ma oddawać pieniądze ?

--
Pozdrawiam
Krzysztof Mackiewicz
gg: 1781586

do góry

> > Kiedy rano wrócił
>> do pracy i ponownie włączył komputer, okazało się, że nie działa
>> system operacyjny.
>
> Wstrząsająca historia...
> A cofnijmy się do czasów bez bankowości elektronicznej - inna wersja
> historyjki:
> Pan Piotr Mazurkiewicz wrócił do domu i zastał totalny bałagan -
> skradziono dowód osobisty i papiery z banku. Gdy poszedł do oddziału,
> okazało się, że ktoś wyciągnął jego pieniądze.
>
> I co teraz? Bank odpowiada za włamanie do mieszkania?

Nie

> Popełniono .......

ale bank odpowiada (odpowiadał) za wypłatę pieniędzy osobie nieupoważnionej

system mają do du..y i tyle

do góry

"Alek" <alek67@PRECZ_ZE_SPAMEM.poczta.onet.pl> writes:

> Oferują dinks na USB w którym przechowywany jest klucz prywatny
> użytkownika. Ma on tam w środku jakąś kryptografię, dostęp
> zabezpieczony pinem. Tyle pamiętam z rozmowy z ichnim konsultantem.

Dostep zabezpieczony PINem wpisywanym przez komputer ma znaczenie
tylko wtedy, gdy nosimy token "po swiecie" i go gdzies np. zgubimy.
Nie ma wiekszego znaczenia przy "wlamaniu".
--
Krzysztof Halasa

do góry

Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał
> >
> > Oferują dinks na USB w którym przechowywany jest klucz prywatny
> > użytkownika. Ma on tam w środku jakąś kryptografię, dostęp
> > zabezpieczony pinem. Tyle pamiętam z rozmowy z ichnim konsultantem.
>
> Dostep zabezpieczony PINem wpisywanym przez komputer ma znaczenie
> tylko wtedy, gdy nosimy token "po swiecie" i go gdzies np. zgubimy.
> Nie ma wiekszego znaczenia przy "wlamaniu".

Owszem, ale zastosowanie tego rozwiązania tak w ogóle ma sens.
Po pierwsze mój klucz nie leży na dysku tylko w tym donglu,
który mogę podpiąć do komputera tylko na czas składania podpisu.
Po drugie klucz ani na chwilę nie pojawia się w pamięci komputera
bo operacja podpisywania/szyfrowania odbywa się wewnątrz dongla.
Nie ma też możliwości wydobycia i skopiowania klucza nawet przez
legalnego posiadacza a co dopiero przez obcego.

do góry

"Alek" <alek67@PRECZ_ZE_SPAMEM.poczta.onet.pl> writes:

> Owszem, ale zastosowanie tego rozwiązania tak w ogóle ma sens.
> Po pierwsze mój klucz nie leży na dysku tylko w tym donglu,
> który mogę podpiąć do komputera tylko na czas składania podpisu.

Jasne. Dobrze by bylo gdyby userzy wlasnie tak robili.

> Nie ma też możliwości wydobycia i skopiowania klucza nawet przez
> legalnego posiadacza a co dopiero przez obcego.

To ostatnie jest nierealne, mozna utrudnic takie cos ale do
niemozliwosci troche brakuje.

Tak czy owak, korzystna sytuacja jest generowanie klucza przez
uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.
Pozwala to na (opcjonalna) archiwizacje klucza, utrudnia jego
wydobycie z dongla, oraz nie ma problemow z jakoscia wygenerowanego
klucza.

Jeszcze jakby to odbywalo sie przy uzyciu standardowych narzedzi itd,
zeby nie bylo ryzyka "autorskich" wad calego procesu...
--
Krzysztof Halasa

do góry

> Nie znam, nie miałem patch'ow zanim je ms napisal itp., i nie chodzi mi
> o to że jestem zabezpieczony w 100% itp. itd. ale chodzi o to że nie o
> każde włamanie na konto należy obwiniać bank, jeśli wina leży tylko i
> wyłącznie po stronie użytkownika to dlaczego bank ma oddawać pieniądze ?
>
> --
> Pozdrawiam
> Krzysztof Mackiewicz
> gg: 1781586

A wina uzytkownika jest to ze nie uzyl telepaty do odczytania z mozgu
pracownikow banku jakiego antywirusa powinien uzyc.
Mam antywirusa, moze nie jest 100% dobry w zabezpieczaniu transakcji
na shttp. nie wiem bank mi nie mowi ze ten a ten program jest lepszy
bo oferuje lepsza ochrone. Wiec sobie uzywam i prowadzam dane ktore
jakis keylogger zczytuje. Ktos potem uzywa tych danych (czyli niku i
pinu dla internetowych przelewow). I co? w innym banku sa
potwierdzenia wysylane na emaile czy telefon ktore trzeba wpisac albo
tokeny z kart zdrapek. Widac rai uznal ze bedzie wine zrzucal na
uzytkownika ze nie powiedzieli mu ze powinien uzywac programu
ochronnego bo oni nie robia weryfikacji.

do góry

On Sat, 05 Apr 2008 17:24:15 +0200, Darek <d...@g...pl>
wrote:

>
>Chyba ich powaliło ;(
>Biorą kasę za trzymanie moich pieniędzy i jeszcze ja mam być
>odpowiedzialny za bezpieczeństwo ich systemów.

Nie ich, a swojego. Na swoim własnym komputerze.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry

On Sat, 05 Apr 2008 20:41:00 +0200, Darek <d...@g...pl>
wrote:

>Zrozum, że jak bank wprowadza usługę dostępu przez internet to klient
>może odpowiadać tylko za bezpieczeństwo spraw, które są pod jego
>całkowitą kontrolą.

Komputer klienta jest pod jego całkowitą kontrolą. Jak ktoś uzywa
windowsów, IE, do tego ściąga warezy i instaluje sobie wszystko jak
leci, to potem ma kuku.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry