eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank i bezpieczenstwo e-karty
Ilość wypowiedzi w tym wątku: 39

  • 1. Data: 2002-06-26 06:42:07
    Temat: mBank i bezpieczenstwo e-karty
    Od: "WOJSAL" <w...@k...net.pl>

    Pytanie dotyczy e-karty.
    Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca (oraz
    podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac platnosci
    przy pomocy mojej karty, bez mojej zgody
    np. gdy trafia na moment, gdy karta jest zaladowana.
    Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla poprzedzona
    autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED transakcja a
    nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja transakcji.

    Obecnie zas osoba znajac moja karte (musze ja podac podczas transakcji) moze
    wybrac moje pieniadze, gdy karta jest doladowana. Czy sie myle?
    Jak teraz mozna sie przed tym zabezpieczyc?
    Sugestie typu: podawaj parametry karty tylko zaufanym osobom sa bez sensu
    - przeciez w sieci ja absolutnie nie znam osoby u ktorej kupuje ani
    personelu sklepu.
    Tak na chlopski rozum w sieci nie powinno sie podawac parametrow
    karty, lecz numer konta, z ktorego platnosc powinna
    byc sciagnieta (po mojej autoryzacji).

    Co o tym sadzicie?



    --
    Pozdrawiam
    WOJSAL (Wojciech Sałata)
    Strona domowa: http://www.wojsal.prv.pl/
    Gadu-Gadu: 311984
    ICQ: 20466914






  • 2. Data: 2002-06-26 06:52:02
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "AMRA" <a...@a...com>

    > Jak teraz mozna sie przed tym zabezpieczyc?

    Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???
    Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
    charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w koncie).

    A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
    mi sie dosc nieprawdopodobne...





  • 3. Data: 2002-06-26 09:17:48
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: g...@w...SPAM-PRECZ.pl (Paweł Grajewski)

    On Wed, 26 Jun 2002 08:42:07 +0200, WOJSAL <w...@k...net.pl> wrote:
    > Pytanie dotyczy e-karty.
    > Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca (oraz
    > podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac platnosci
    > przy pomocy mojej karty, bez mojej zgody
    > np. gdy trafia na moment, gdy karta jest zaladowana.

    Zgadza się.

    Ale zwróć uwagę na to, że to jest i tak stosunkowo bezpieczne rozwiązanie.
    W przypadku kart wypukłych nie masz żadnej możliwości ładowania/rozładowania.
    Szanse, że złodziej trafi akurat na moment, w którym masz załadowaną
    eKARTĘ, są raczej nikłe.

    > Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla poprzedzona
    > autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED transakcja a
    > nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja transakcji.

    To byłoby trudne do zrealizowania ze względów czasowych.

    Czas pomiędzy wysłaniem "SMSa autoryzacyjnego" a odebraniem odpowiedzi
    na niego mógłby przekroczyć czas, jaki sklep, w którym dokonujesz zakupów,
    oczekuje na autoryzację z banku.

    --
    Pozdrowienia.
    *-[ Paweł Grajewski ]------[ g...@w...pl ]--*


  • 4. Data: 2002-06-26 09:28:49
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "qb" <q...@q...qb>

    uwzglednic musisz, ze dla informatyka nie jest zbytnim problemem ponawianie
    transakcji co np.:1 minute, albo co 30 sec. Tak wiec nie koniecznie mieliby
    problemy z trafieniem w moment tuz po naladowaniu karty...Oczywiscie, jesli
    mbank by nie zablokowal karty...
    Wiekszym problemem jest pewnie rozszyfrowanie transmisji SSL dla
    podsluchujacego, a co do merchanta, to nigdy do konca nie wiesz co oni tam z
    tymi numerami moga robic ( chyba ze autoryzacja odbywa sie po przekierowaniu
    na strony banku, lub operatora kart...)
    pzdr
    qb

    "AMRA" <a...@a...com> wrote in message
    news:afbo8c$nnb$1@news.onet.pl...
    > > Jak teraz mozna sie przed tym zabezpieczyc?
    >
    > Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???
    > Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
    > charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w
    koncie).
    >
    > A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
    > mi sie dosc nieprawdopodobne...
    >
    >
    >
    >



  • 5. Data: 2002-06-26 14:09:51
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "WOJSAL" <w...@k...net.pl>


    Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
    news:afbo8c$nnb$1@news.onet.pl...
    > > Jak teraz mozna sie przed tym zabezpieczyc?
    >
    > Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???

    Oczywiscie ze moge, ale w momencie napelnienia karty - moje
    pieniadze sa przez jakis moment do dyspozycji tych tlumow,
    ktore znaja parametry mojej karty (np. personel sklepow).

    > Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
    > charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w
    koncie).
    >

    To ze sa gorsze rozwiazania nie znaczy, ze obecne proponowane
    przez mBank jest optymalne. Zreszta Inteligo oferuje bezpieczne
    tranmsakcje - oczywiscie bez podawania parametrow
    karty (bo po co?).




    > A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
    > mi sie dosc nieprawdopodobne...
    >

    Ale mozliwe. Zwlaszcza jesli bedziesz robil coraz czesciej zakupy, platnosci
    - bardzo szybko urosnie tlum osob zainteresowanych parametrami Twojej karty
    i dostepm do Twoich pieniedzy. Wtedy prawdopodobienstwo trafienia
    w moment traksakcji przez kogos z tego tlumu bedzie roslo.

    A nie mozna po prostu autoryzowac kazdej transakcji
    PRZED a nie PO ?
    Przeciez nie ma potrzeby podawania parametrow mojego
    konta (ekarty) osobie ktorej nie znam (tak jest w transakcjach
    internetowych). Lepiej niech ona wysle zadanie pobrania
    z mojego konta - a ja na to zezwole lubie nie.
    To chyba oczywiste, ze tak byc powinno?




    --
    Pozdrawiam
    WOJSAL (Wojciech Sałata)
    Strona domowa: http://www.wojsal.prv.pl/
    Gadu-Gadu: 311984
    ICQ: 20466914




  • 6. Data: 2002-06-26 14:20:39
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "WOJSAL" <w...@k...net.pl>


    Użytkownik "Paweł Grajewski" <g...@w...SPAM-PRECZ.pl> napisał w
    wiadomości news:afc0rr$dm1$1@news.tpi.pl...
    > On Wed, 26 Jun 2002 08:42:07 +0200, WOJSAL <w...@k...net.pl> wrote:
    > > Pytanie dotyczy e-karty.
    > > Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca
    (oraz
    > > podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac
    platnosci
    > > przy pomocy mojej karty, bez mojej zgody
    > > np. gdy trafia na moment, gdy karta jest zaladowana.
    >
    > Zgadza się.
    >
    > Ale zwróć uwagę na to, że to jest i tak stosunkowo bezpieczne rozwiązanie.
    > W przypadku kart wypukłych nie masz żadnej możliwości
    ładowania/rozładowania.

    Zgadzam sie ze mozna znalezc rozwiazania gorsze. Ja jednak
    szukam rozwiazan najlepszych.
    Po prostu za bezpieczne rozwiazanie uwazam takie, w ktorym kupuje
    w sklepie prowadzonym przez zlodzieja (a skad moge wiedziec
    kim jest prowadzacy sklep?) i poniosze ryzyko jedynie
    zwiazane z dana transakcja ale nie z pozstalymi srodkami
    na koncie: ani tymi z teraz a ni tymi w przyszlosci.

    > Szanse, że złodziej trafi akurat na moment, w którym masz załadowaną
    > eKARTĘ, są raczej nikłe.
    >

    To prawdopodobienstwo bedzie roslo, wraz z liczba osob
    znajacych parametry eKarty. A liczba taklich osob bedzie rosla
    wraz z czestoscia zakupow.
    Ponadto probkowanie eKarty zlodzieje internetowi beda
    robili oczywiscie programami - mozna zapuscic
    program na cala dobe, ktory testuje ilest tam eKart.
    I jak wtedy wyglada takie zaezpieczenie ?



    > > Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla
    poprzedzona
    > > autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED
    transakcja a
    > > nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja
    transakcji.
    >
    > To byłoby trudne do zrealizowania ze względów czasowych.
    >
    > Czas pomiędzy wysłaniem "SMSa autoryzacyjnego" a odebraniem odpowiedzi
    > na niego mógłby przekroczyć czas, jaki sklep, w którym dokonujesz zakupów,
    > oczekuje na autoryzację z banku.
    >

    Niekoniecznie.
    Przeciez czas autoryzacji transakcji sklep dostosuje do potrzeb
    rynkowych. Nie ma powodu by w typowym sklepie nie
    wprowadzic timaout'a na poziomie nawet kilku dni.
    (Jak klient zaplaci, wtedy sklep cos tam wysyla).
    Natomiast wyslanie zadanie autoryzacji w praktyce
    jest porownywalne do czasu wyslania emaila, SMS
    - czyli pare minut. Ja zas moge odpowiedziec wtedy, gdy zechce.

    Natomiast pieniadze sa caly czas bezpieczne nawet
    w transakcjach z przypadkowymi ludzmi (w sieci
    zdecydowana wiekszosc konatkow to osoby nieznane),
    rowniez na podsluch (jesli transmisja jest kodowana
    czy tez moze przez SMS, telefon).



    --
    Pozdrawiam
    WOJSAL (Wojciech Sałata)
    Strona domowa: http://www.wojsal.prv.pl/
    Gadu-Gadu: 311984
    ICQ: 20466914




  • 7. Data: 2002-06-26 15:59:39
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "AMRA" <a...@a...com>

    > To prawdopodobienstwo bedzie roslo, wraz z liczba osob
    > znajacych parametry eKarty. A liczba taklich osob bedzie rosla
    > wraz z czestoscia zakupow.
    > Ponadto probkowanie eKarty zlodzieje internetowi beda
    > robili oczywiscie programami - mozna zapuscic
    > program na cala dobe, ktory testuje ilest tam eKart.
    > I jak wtedy wyglada takie zaezpieczenie ?

    ak samo jak zwyklej karty z tym, ze na zwyklej karty, wspomnianej przez
    Ciebie np Inteligo kasa moze byc caly czas.
    No i chyba bank kapnalby sie, gdyby co sekunde ktos chcialby autoryzowac
    dana karte (wczesniej musisz znac jej numery). Ale znasz jej numer i co?

    Ogolnie twoje dywagacje sa dla mnie dosc dziwne. Przeciez zawsze mozesz
    placic w sklepach, ktore przyjmuja akceptacje ecardu - czyli autoryzacja
    dzieje sie na Ecardzie a nie robi tego sam sklep, kjtory numeru nie
    poznaje... I co??? :)



  • 8. Data: 2002-06-26 21:29:40
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "Pirxx" <p...@m...icpnet.pl>

    Użytkownik "WOJSAL" <w...@k...net.pl> napisał...
    >
    > Przeciez czas autoryzacji transakcji sklep dostosuje do potrzeb
    > rynkowych. Nie ma powodu by w typowym sklepie nie
    > wprowadzic timaout'a na poziomie nawet kilku dni.
    > (Jak klient zaplaci, wtedy sklep cos tam wysyla).
    > Natomiast wyslanie zadanie autoryzacji w praktyce
    > jest porownywalne do czasu wyslania emaila, SMS
    > - czyli pare minut. Ja zas moge odpowiedziec wtedy, gdy zechce.
    >

    Wydaje mi sie ze akurat email to w ogole nie jest bezpieczne
    rozwiazanie. Niekodowany, bez zadnych mechanizmow potwierdzania
    personaliow nadawcy (kazdy moze sie podszyc).
    A co do autoryzacji PRZED zamiast po, to zawsze mozna chyba zrobic
    przedplate przelewem. Efekt jest dokladnie ten sam. Wysylasz
    pieniadze, sklep wysyla towar.

    Pirxx






  • 9. Data: 2002-06-27 06:22:41
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "WOJSAL" <w...@k...net.pl>


    Użytkownik "Pirxx" <p...@m...icpnet.pl> napisał w wiadomości
    news:afdbk6$cg9$1@topaz.icpnet.pl...
    > Wydaje mi sie ze akurat email to w ogole nie jest bezpieczne
    > rozwiazanie. Niekodowany, bez zadnych mechanizmow potwierdzania
    > personaliow nadawcy (kazdy moze sie podszyc).


    Widze to tak:
    1. Sklep wysyla zadanie zaplaty do banku z mojego konta
    2. bank wysyla mi maila ze jest zadanie zaplaty
    Adres e-mail zna tylko bank, a wlasciwie nie powinien tego
    znac nawet admin - powinno to byc zakodowane w bazie
    Z pewnoscia zas tego nie zna zlodziej - no bo sjad?
    3. W mailu jest link (unikalny) do klkniecia
    4. W celu zatwierdzenia zaplaty klikam w link.

    Mozna sie zastanowic czy po klknieciu w link nie pojawi
    sie jakas formatka z haslem (unikalnym z karty hasel)
    lub stalym, moim zdefiniowanym.


    Taka procedura znacznie utrudnia zycie zlodziejowi - musilaby
    on znac adres mojego maila, na ktory przychodzi zadanie
    autoryzacji, haslo na tego maila + ewentualne dodatkowe
    haslo.


    W obecnym rozwiazaniu aby otworzyc sobie dostep
    do pieniedzy e-karty zlodziej moze zalozyc sklep
    z wieloma artykulami (zdjecia itp) + promocja
    na wybrane artykuly. Z pewnoscia znajdzie
    sie paru klientow ktorzy na probe kupia
    cos za pare groszy - na probe. I juz po tym
    zlodziej ma dostep do e-karty.

    W mojej propozycji sprawa juz nie jets taka prosta.





    > A co do autoryzacji PRZED zamiast po, to zawsze mozna chyba zrobic
    > przedplate przelewem. Efekt jest dokladnie ten sam. Wysylasz
    > pieniadze, sklep wysyla towar.
    >


    Byc moze, ale to chyba jest mniej wygodne.
    Musze podac numer konta sklepu, nazwe sklepu,
    za co, ile itp - w mojej propozycji
    nie musze podawac konta skpeu, jego nazwy - tylko
    moje haslo na to by wyrazic zgode, by poszla
    dokladna kwota z zakupu do sklepu, ktorego
    konto mnie wlasciwie w ogole nie interesuje.



    --
    Pozdrawiam
    WOJSAL (Wojciech Sałata)
    Strona domowa: http://www.wojsal.prv.pl/
    Gadu-Gadu: 311984
    ICQ: 20466914




  • 10. Data: 2002-06-27 06:28:05
    Temat: Re: mBank i bezpieczenstwo e-karty
    Od: "WOJSAL" <w...@k...net.pl>


    Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
    news:afcodo$8d2$1@news.onet.pl...
    > > To prawdopodobienstwo bedzie roslo, wraz z liczba osob
    > > znajacych parametry eKarty. A liczba taklich osob bedzie rosla
    > > wraz z czestoscia zakupow.
    > > Ponadto probkowanie eKarty zlodzieje internetowi beda
    > > robili oczywiscie programami - mozna zapuscic
    > > program na cala dobe, ktory testuje ilest tam eKart.
    > > I jak wtedy wyglada takie zaezpieczenie ?
    >
    > ak samo jak zwyklej karty z tym, ze na zwyklej karty, wspomnianej przez
    > Ciebie np Inteligo kasa moze byc caly czas.
    > No i chyba bank kapnalby sie, gdyby co sekunde ktos chcialby autoryzowac
    > dana karte (wczesniej musisz znac jej numery). Ale znasz jej numer i co?

    Jesli zlodziej zna wszystkie dane potrzebne do pobrania
    pieniedzy - to nie bedzie sie dlugo zastanawial.

    >
    > Ogolnie twoje dywagacje sa dla mnie dosc dziwne. Przeciez zawsze mozesz
    > placic w sklepach, ktore przyjmuja akceptacje ecardu - czyli autoryzacja
    > dzieje sie na Ecardzie a nie robi tego sam sklep, kjtory numeru nie
    > poznaje... I co??? :)
    >

    Zawsze mozna powiedziec - po co w ogole placic przez Internet?:)

    Odpoawiadam - zakupy, platnosci przez Internet sa wygodne.
    I dlatego z tego korzystamy, bedziemy korzystac. Dlatego
    tez musza byc solidne zabezpieczenia - zamaist tych
    polegajacych na tym by "nie podawac paramatrow karty
    osobom nieznanym".
    A dlaczego mialyby to robic banki? To proste.
    Bo tak jest klientowi wygodniej. Skoro moga byc e-portfele
    poza bankiem, to moga byc i w samym banku.
    Tylko zeby byly tam jakies zabezpieczenia chroniace
    moje pieniadze.


    Natomiast mBankiem zainteresowalem sie dlatego,
    ze jest to jedyny znany mi bank internetowy ktory
    umozliwia platnosci za granica, wlasnie przez e-karte.
    Niestety brak dostatecznych zabezpieczen - uniemozliwia
    mi wykorzystanie e-karty.
    Mam jednak nadzieje, ze to sie poprawi.




    --
    Pozdrawiam
    WOJSAL (Wojciech Sałata)
    Strona domowa: http://www.wojsal.prv.pl/
    Gadu-Gadu: 311984
    ICQ: 20466914






strony : [ 1 ] . 2 ... 4


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1