eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki[mBank] Zmiany w systemie transakcyjnym
Ilość wypowiedzi w tym wątku: 20

  • 11. Data: 2008-07-13 08:20:48
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: "Jarek" <j...@g...SKASUJ-TO.pl>

    No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
    funkcjonalności - np. modyfikacja numeru dokumentu, adresu
    korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
    jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie trochę
    niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać modyfikacji
    danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
    STANOWCZE NIE!


    "Operacja wykonana niepoprawnie
    EFT0804: Potwierdzenie tej operacji jest możliwe tylko przy pomocy haseł
    smsowych. Aby aktywować usługę przejdź do sekcji Hasła jednorazowe i SMS lub
    skontaktuj się z operatorem mLinii"



    --
    Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 12. Data: 2008-07-13 10:46:52
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: "info" <p...@w...pl>

    Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
    news:g5cdt0$ajh$1@inews.gazeta.pl...
    > No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
    > funkcjonalności - np. modyfikacja numeru dokumentu, adresu
    > korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
    > jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie
    > trochę
    > niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać
    > modyfikacji
    > danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
    > STANOWCZE NIE!

    co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
    godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!



  • 13. Data: 2008-07-13 13:46:52
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: "Jarek" <j...@g...SKASUJ-TO.pl>

    info <p...@w...pl> napisał(a):

    > co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
    > godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!

    Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
    internetu w kafejce, która jest w piwnicy.

    --
    Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/


  • 14. Data: 2008-07-13 15:06:59
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: "MarekZ" <marekz_wywal@to_irc.pl>

    Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
    news:g5d10b$586$1@inews.gazeta.pl...

    > Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
    > internetu w kafejce, która jest w piwnicy.

    I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
    jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile taki w
    pobliżu będzie istniał. Telefon stacjonarny albo kafejka internetowa już nie
    rozwiążą problemu. A jak to zadupie jest wm ogóle gdzieś na Antarktydzie to
    co wtedy?

    marekz


  • 15. Data: 2008-07-13 15:26:35
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: Kamil Jońca <k...@p...onet.pl>

    MarekZ pisze:
    > Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
    > news:g5d10b$586$1@inews.gazeta.pl...
    >
    >> Wystarczy, że mieszka gdzieś, gdzie jest słaby zasięg, albo korzysta z
    >> internetu w kafejce, która jest w piwnicy.
    >
    > I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
    > jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile
    > taki w pobliżu będzie istniał. Telefon stacjonarny albo kafejka
    > internetowa już nie rozwiążą problemu. A jak to zadupie jest wm ogóle
    > gdzieś na Antarktydzie to co wtedy?

    Ale to nawet nie o to chodzi. Ciągle kładą do głowy, że hasła SMS są
    bezpieczniejsze od TAN.

    A IMO różnica może być łatwości ukradzenia telefonu vs łatwość poznania
    haseł na liście.
    I tu wcale nie widzę jakichś wielkich przewag jednego czy drugiego
    rozwiązania (przy założeniu, oczywiście, zachowania jakiej takiej
    ostrożności, bo jeśli ktoś zostawia na publicznie dostępnym biurku swoją
    listę haseł ....)

    KJ

    PS. można oczywiście przyjąć, że się czepiamy, bo w końcu tych adresów
    jakoś często się nie zmienia, ale teraz adresy, za chwilę przelewy ...


  • 16. Data: 2008-07-13 16:44:57
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: Ra <w@stopce>

    info pisze:
    > Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w wiadomości
    > news:g5cdt0$ajh$1@inews.gazeta.pl...
    >> No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
    >> funkcjonalności - np. modyfikacja numeru dokumentu, adresu
    >> korespondencyjnego, ale nie da się tego zmodyfikować za pomocą haseł
    >> jednorazowych, wolno tylko hasłem SMS. Więc aby to zrobić, trzeba sie
    >> trochę
    >> niepotrzebnie natrudzić - najpierw zmienić na hasła SMS, dokonać
    >> modyfikacji
    >> danych, a potem powrócić do haseł jednorazowych. BO HASŁOM SMS MÓWIMY
    >> STANOWCZE NIE!
    >
    > co za glupota! a jak ktos przebywa w afryce gdzie smsy dochodza po 5
    > godzinach, to jak prosze? zastanawiam sie czasem kto projektuje te systemy!
    a jak ci się skończy karta kodów - a kończy się nagle i z zaskoczenia ;)
    to nowa dojdzie po 5 tygodniach


  • 17. Data: 2008-07-13 18:25:25
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: "Maciej 'AbrahaM' Piotrowski" <n...@c...barg.cy>

    W artykule news:487a3104$0$29656$f69f905@mamut2.aster.pl,
    niejaki(a): Ra z adresu <w@stopce> napisał(a):

    > info pisze:
    >> Użytkownik "Jarek" <j...@g...SKASUJ-TO.pl> napisał w
    >> wiadomości news:g5cdt0$ajh$1@inews.gazeta.pl...
    >>> No i tu też doszedł terror SMS. Wprawdzie doszło kilka nowych
    >>> funkcjonalności - np. modyfikacja numeru dokumentu, adresu
    >>> korespondencyjnego, ale nie da się tego zmodyfikować za
    >>> pomocą haseł jednorazowych, wolno tylko hasłem SMS. Więc aby
    >>> to zrobić, trzeba sie trochę
    >>> niepotrzebnie natrudzić - najpierw zmienić na hasła SMS,
    >>> dokonać modyfikacji
    >>> danych, a potem powrócić do haseł jednorazowych. BO HASŁOM
    >>> SMS MÓWIMY STANOWCZE NIE!
    >>
    >> co za glupota! a jak ktos przebywa w afryce gdzie smsy
    >> dochodza po 5 godzinach, to jak prosze? zastanawiam sie czasem
    >> kto projektuje te systemy!
    > a jak ci się skończy karta kodów - a kończy się nagle i z
    > zaskoczenia ;) to nowa dojdzie po 5 tygodniach

    mistrzu, zwracam dyskretnie uwagę że można mieć jedną kartę
    kodów aktywną i.. cztery do dyspozycji, zamówione uprzednio,
    co daje po wyrobieniu pierwszej zapas.. 200 (4x50) kodów. To
    mało?

    --
    Zastrzeżenie: Nie zgadzam się na wysyłanie NIE ZAMÓWIONYCH ofert
    na adres użyty do/podczas wysłania tej wiadomości.


  • 18. Data: 2008-07-14 05:51:51
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym
    Od: Andrzej Kłos <a...@w...pl>

    gollum pisze:
    > http://www.mbank.pl/blog/artykul.html?id=176
    > 1. Wydruk historii operacji

    no i po zmianach, uwagi:

    skaszaniony jest format .csv, wystarczy porównać to co generuje mBank
    online z tym, co przysyła jako wyciąg pocztą

    andy_nek


  • 19. Data: 2008-07-14 08:46:07
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: Jacek Osiecki <j...@c...pl>

    Dnia Sun, 13 Jul 2008 17:26:35 +0200, Kamil Jońca napisał(a):
    > MarekZ pisze:

    >> I zobaczcie co może spowodować zgubienie lub zepsucie się ładowarki na
    >> jakimś zadupiu. Trzeba by kartę przekładać do innego telefonu, o ile
    >> taki w pobliżu będzie istniał. Telefon stacjonarny albo kafejka

    > Ale to nawet nie o to chodzi. Ciągle kładą do głowy, że hasła SMS są
    > bezpieczniejsze od TAN.
    > A IMO różnica może być łatwości ukradzenia telefonu vs łatwość poznania
    > haseł na liście.

    Fakt, że można po prostu nie brać ze sobą karty z kodami jednorazowymi
    i nie obawiać się o bezpieczeństwo środków. Ale jeśli ktoś nosi przy sobie
    zarówno komórkę i kartę kodów, to już moim zdaniem wielkiej różnicy nie ma.

    Ja np. dużo szybciej zauważę że ktoś mi zwinął komórkę niż że nie mam przy
    sobie portfela - po prostu tego pierwszego używam dużo częściej i pilnuję
    żeby mieć go przy sobie :)

    > I tu wcale nie widzę jakichś wielkich przewag jednego czy drugiego
    > rozwiązania (przy założeniu, oczywiście, zachowania jakiej takiej
    > ostrożności, bo jeśli ktoś zostawia na publicznie dostępnym biurku swoją
    > listę haseł ....)

    Co by nie mówić, to przy zachowaniu odpowiedniej ostrożności hasła SMSowe
    zawierające podstawowe informacje o autoryzowanej operacji są odporne na
    sprytne ataki MITM.

    Pozdrawiam,
    --
    Jacek Osiecki j...@c...pl GG:3828944
    "Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
    (c) Tomasz Olbratowski 2004


  • 20. Data: 2008-07-14 11:38:17
    Temat: Re: [mBank] Zmiany w systemie transakcyjnym - terror SMS
    Od: Krzysztof Halasa <k...@p...waw.pl>

    Jacek Osiecki <j...@c...pl> writes:

    > Co by nie mówić, to przy zachowaniu odpowiedniej ostrożności hasła SMSowe
    > zawierające podstawowe informacje o autoryzowanej operacji są odporne na
    > sprytne ataki MITM.

    O odpornosci na MITM mozna mowic wtedy, gdy dzialanie prawdziwego
    klienta jest potrzebne do zatwierdzenia operacji. W przypadku SMSow
    klient wraz z jego komorka moga spac, a i tak taki atak jest mozliwy
    do przeprowadzenia.

    Pomysl chwile, powiedzmy ze jestes operatorem telekomunikacyjnym
    swiadczacym uslugi dostepu do Internetu oraz uslugi GSM (lub tylko
    np. udostepniasz swoje lacza szkieletowe dla takich zastosowan, to
    moze nawet lepiej). Powiedzmy ze dzialasz tylko na niewielkim
    terenie, albo po prostu dorobiles sobie klucz do studzienki :-)

    Widzisz jakis problem w zleceniu dowolnych operacji na kontach ludzi,
    ktorzy akurat sa obslugiwani przez Twoja czesc infrastruktury?

    a) SSL pokonujesz metoda lewego certyfikatu (poza przypadkami
    "paranoicznymi", ktore maja puste lub prawie puste listy CA
    w przegladarkach). Przy odpowiednim wysilku - nie widze problemu
    w uzyskaniu takiego certyfikatu (spojrz na typowa liste CA).
    To oczywiscie inna sprawa i nie bede wnikal, z zalozenia SSL nie
    jest wystarczajaca ochrona, bo gdyby byl, nie byloby hasel
    jednorazowych (choc oczywiscie poprawnie skonfigurowany SSL moze
    byc ochrona nie do zlamania nawet bez jakichkolwiek hasel...
    w znikomej czesci przypadkow).

    b) korzystajac z MITM SSL podsluchujesz loginy i hasla

    c) czekasz do 3 w nocy, logujesz sie do bankow, te wysylaja SMSy do
    potwierdzenia przelewow itp.

    d) tresc SMSow dostajesz jak na tacy od operatora GSM (albo sam nim
    jestes), potwierdzasz, userzy oczywiscie wcale nie musza tych SMSow
    dostac.

    Trudne? Wymaga troche przygotowan, ale mozliwe do zrobienia.

    Mozna oczywiscie napisac, ze listonosz tez moze przeczytac hasla, ale
    one maja jedna krytyczna zalete - sa przesylane przy uzyciu innego
    agenta, nie ma pojedynczego punktu, ktory mozna wykorzystac,
    i znacznie trudniej jest nie pozostawic sladow.
    --
    Krzysztof Halasa

strony : 1 . [ 2 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1