Pytanie dotyczy e-karty.
Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca (oraz
podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac platnosci
przy pomocy mojej karty, bez mojej zgody
np. gdy trafia na moment, gdy karta jest zaladowana.
Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla poprzedzona
autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED transakcja a
nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja transakcji.

Obecnie zas osoba znajac moja karte (musze ja podac podczas transakcji) moze
wybrac moje pieniadze, gdy karta jest doladowana. Czy sie myle?
Jak teraz mozna sie przed tym zabezpieczyc?
Sugestie typu: podawaj parametry karty tylko zaufanym osobom sa bez sensu
- przeciez w sieci ja absolutnie nie znam osoby u ktorej kupuje ani
personelu sklepu.
Tak na chlopski rozum w sieci nie powinno sie podawac parametrow
karty, lecz numer konta, z ktorego platnosc powinna
byc sciagnieta (po mojej autoryzacji).

Co o tym sadzicie?



--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914

do góry

> Jak teraz mozna sie przed tym zabezpieczyc?

Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???
Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w koncie).

A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
mi sie dosc nieprawdopodobne...

do góry

On Wed, 26 Jun 2002 08:42:07 +0200, WOJSAL <w...@k...net.pl> wrote:
> Pytanie dotyczy e-karty.
> Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca (oraz
> podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac platnosci
> przy pomocy mojej karty, bez mojej zgody
> np. gdy trafia na moment, gdy karta jest zaladowana.

Zgadza się.

Ale zwróć uwagę na to, że to jest i tak stosunkowo bezpieczne rozwiązanie.
W przypadku kart wypukłych nie masz żadnej możliwości ładowania/rozładowania.
Szanse, że złodziej trafi akurat na moment, w którym masz załadowaną
eKARTĘ, są raczej nikłe.

> Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla poprzedzona
> autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED transakcja a
> nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja transakcji.

To byłoby trudne do zrealizowania ze względów czasowych.

Czas pomiędzy wysłaniem "SMSa autoryzacyjnego" a odebraniem odpowiedzi
na niego mógłby przekroczyć czas, jaki sklep, w którym dokonujesz zakupów,
oczekuje na autoryzację z banku.

--
Pozdrowienia.
*-[ Paweł Grajewski ]------[ g...@w...pl ]--*

do góry

uwzglednic musisz, ze dla informatyka nie jest zbytnim problemem ponawianie
transakcji co np.:1 minute, albo co 30 sec. Tak wiec nie koniecznie mieliby
problemy z trafieniem w moment tuz po naladowaniu karty...Oczywiscie, jesli
mbank by nie zablokowal karty...
Wiekszym problemem jest pewnie rozszyfrowanie transmisji SSL dla
podsluchujacego, a co do merchanta, to nigdy do konca nie wiesz co oni tam z
tymi numerami moga robic ( chyba ze autoryzacja odbywa sie po przekierowaniu
na strony banku, lub operatora kart...)
pzdr
qb

"AMRA" <a...@a...com> wrote in message
news:afbo8c$nnb$1@news.onet.pl...
> > Jak teraz mozna sie przed tym zabezpieczyc?
>
> Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???
> Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
> charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w
koncie).
>
> A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
> mi sie dosc nieprawdopodobne...
>
>
>
>

do góry

Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
news:afbo8c$nnb$1@news.onet.pl...
> > Jak teraz mozna sie przed tym zabezpieczyc?
>
> Hmmm. A nie mozesz napelniac karty przed samym momentem zakupu???

Oczywiscie ze moge, ale w momencie napelnienia karty - moje
pieniadze sa przez jakis moment do dyspozycji tych tlumow,
ktore znaja parametry mojej karty (np. personel sklepow).

> Zauwaz, ze taka karta ma o niebo lepsze zabezpieczenie niz tradycyjna KK,
> charge czy nawet debetowa VC (np mozesz miec mala linie kredytowa w
koncie).
>

To ze sa gorsze rozwiazania nie znaczy, ze obecne proponowane
przez mBank jest optymalne. Zreszta Inteligo oferuje bezpieczne
tranmsakcje - oczywiscie bez podawania parametrow
karty (bo po co?).




> A trafienie przez kogos, ze w danym momencie masz kase na koncie 0- wydaje
> mi sie dosc nieprawdopodobne...
>

Ale mozliwe. Zwlaszcza jesli bedziesz robil coraz czesciej zakupy, platnosci
- bardzo szybko urosnie tlum osob zainteresowanych parametrami Twojej karty
i dostepm do Twoich pieniedzy. Wtedy prawdopodobienstwo trafienia
w moment traksakcji przez kogos z tego tlumu bedzie roslo.

A nie mozna po prostu autoryzowac kazdej transakcji
PRZED a nie PO ?
Przeciez nie ma potrzeby podawania parametrow mojego
konta (ekarty) osobie ktorej nie znam (tak jest w transakcjach
internetowych). Lepiej niech ona wysle zadanie pobrania
z mojego konta - a ja na to zezwole lubie nie.
To chyba oczywiste, ze tak byc powinno?




--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914

do góry

Użytkownik "Paweł Grajewski" <g...@w...SPAM-PRECZ.pl> napisał w
wiadomości news:afc0rr$dm1$1@news.tpi.pl...
> On Wed, 26 Jun 2002 08:42:07 +0200, WOJSAL <w...@k...net.pl> wrote:
> > Pytanie dotyczy e-karty.
> > Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca
(oraz
> > podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac
platnosci
> > przy pomocy mojej karty, bez mojej zgody
> > np. gdy trafia na moment, gdy karta jest zaladowana.
>
> Zgadza się.
>
> Ale zwróć uwagę na to, że to jest i tak stosunkowo bezpieczne rozwiązanie.
> W przypadku kart wypukłych nie masz żadnej możliwości
ładowania/rozładowania.

Zgadzam sie ze mozna znalezc rozwiazania gorsze. Ja jednak
szukam rozwiazan najlepszych.
Po prostu za bezpieczne rozwiazanie uwazam takie, w ktorym kupuje
w sklepie prowadzonym przez zlodzieja (a skad moge wiedziec
kim jest prowadzacy sklep?) i poniosze ryzyko jedynie
zwiazane z dana transakcja ale nie z pozstalymi srodkami
na koncie: ani tymi z teraz a ni tymi w przyszlosci.

> Szanse, że złodziej trafi akurat na moment, w którym masz załadowaną
> eKARTĘ, są raczej nikłe.
>

To prawdopodobienstwo bedzie roslo, wraz z liczba osob
znajacych parametry eKarty. A liczba taklich osob bedzie rosla
wraz z czestoscia zakupow.
Ponadto probkowanie eKarty zlodzieje internetowi beda
robili oczywiscie programami - mozna zapuscic
program na cala dobe, ktory testuje ilest tam eKart.
I jak wtedy wyglada takie zaezpieczenie ?



> > Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla
poprzedzona
> > autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED
transakcja a
> > nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja
transakcji.
>
> To byłoby trudne do zrealizowania ze względów czasowych.
>
> Czas pomiędzy wysłaniem "SMSa autoryzacyjnego" a odebraniem odpowiedzi
> na niego mógłby przekroczyć czas, jaki sklep, w którym dokonujesz zakupów,
> oczekuje na autoryzację z banku.
>

Niekoniecznie.
Przeciez czas autoryzacji transakcji sklep dostosuje do potrzeb
rynkowych. Nie ma powodu by w typowym sklepie nie
wprowadzic timaout'a na poziomie nawet kilku dni.
(Jak klient zaplaci, wtedy sklep cos tam wysyla).
Natomiast wyslanie zadanie autoryzacji w praktyce
jest porownywalne do czasu wyslania emaila, SMS
- czyli pare minut. Ja zas moge odpowiedziec wtedy, gdy zechce.

Natomiast pieniadze sa caly czas bezpieczne nawet
w transakcjach z przypadkowymi ludzmi (w sieci
zdecydowana wiekszosc konatkow to osoby nieznane),
rowniez na podsluch (jesli transmisja jest kodowana
czy tez moze przez SMS, telefon).



--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914

do góry

> To prawdopodobienstwo bedzie roslo, wraz z liczba osob
> znajacych parametry eKarty. A liczba taklich osob bedzie rosla
> wraz z czestoscia zakupow.
> Ponadto probkowanie eKarty zlodzieje internetowi beda
> robili oczywiscie programami - mozna zapuscic
> program na cala dobe, ktory testuje ilest tam eKart.
> I jak wtedy wyglada takie zaezpieczenie ?

ak samo jak zwyklej karty z tym, ze na zwyklej karty, wspomnianej przez
Ciebie np Inteligo kasa moze byc caly czas.
No i chyba bank kapnalby sie, gdyby co sekunde ktos chcialby autoryzowac
dana karte (wczesniej musisz znac jej numery). Ale znasz jej numer i co?

Ogolnie twoje dywagacje sa dla mnie dosc dziwne. Przeciez zawsze mozesz
placic w sklepach, ktore przyjmuja akceptacje ecardu - czyli autoryzacja
dzieje sie na Ecardzie a nie robi tego sam sklep, kjtory numeru nie
poznaje... I co??? :)

do góry

Użytkownik "WOJSAL" <w...@k...net.pl> napisał...
>
> Przeciez czas autoryzacji transakcji sklep dostosuje do potrzeb
> rynkowych. Nie ma powodu by w typowym sklepie nie
> wprowadzic timaout'a na poziomie nawet kilku dni.
> (Jak klient zaplaci, wtedy sklep cos tam wysyla).
> Natomiast wyslanie zadanie autoryzacji w praktyce
> jest porownywalne do czasu wyslania emaila, SMS
> - czyli pare minut. Ja zas moge odpowiedziec wtedy, gdy zechce.
>

Wydaje mi sie ze akurat email to w ogole nie jest bezpieczne
rozwiazanie. Niekodowany, bez zadnych mechanizmow potwierdzania
personaliow nadawcy (kazdy moze sie podszyc).
A co do autoryzacji PRZED zamiast po, to zawsze mozna chyba zrobic
przedplate przelewem. Efekt jest dokladnie ten sam. Wysylasz
pieniadze, sklep wysyla towar.

Pirxx

do góry

Użytkownik "Pirxx" <p...@m...icpnet.pl> napisał w wiadomości
news:afdbk6$cg9$1@topaz.icpnet.pl...
> Wydaje mi sie ze akurat email to w ogole nie jest bezpieczne
> rozwiazanie. Niekodowany, bez zadnych mechanizmow potwierdzania
> personaliow nadawcy (kazdy moze sie podszyc).


Widze to tak:
1. Sklep wysyla zadanie zaplaty do banku z mojego konta
2. bank wysyla mi maila ze jest zadanie zaplaty
Adres e-mail zna tylko bank, a wlasciwie nie powinien tego
znac nawet admin - powinno to byc zakodowane w bazie
Z pewnoscia zas tego nie zna zlodziej - no bo sjad?
3. W mailu jest link (unikalny) do klkniecia
4. W celu zatwierdzenia zaplaty klikam w link.

Mozna sie zastanowic czy po klknieciu w link nie pojawi
sie jakas formatka z haslem (unikalnym z karty hasel)
lub stalym, moim zdefiniowanym.


Taka procedura znacznie utrudnia zycie zlodziejowi - musilaby
on znac adres mojego maila, na ktory przychodzi zadanie
autoryzacji, haslo na tego maila + ewentualne dodatkowe
haslo.


W obecnym rozwiazaniu aby otworzyc sobie dostep
do pieniedzy e-karty zlodziej moze zalozyc sklep
z wieloma artykulami (zdjecia itp) + promocja
na wybrane artykuly. Z pewnoscia znajdzie
sie paru klientow ktorzy na probe kupia
cos za pare groszy - na probe. I juz po tym
zlodziej ma dostep do e-karty.

W mojej propozycji sprawa juz nie jets taka prosta.





> A co do autoryzacji PRZED zamiast po, to zawsze mozna chyba zrobic
> przedplate przelewem. Efekt jest dokladnie ten sam. Wysylasz
> pieniadze, sklep wysyla towar.
>


Byc moze, ale to chyba jest mniej wygodne.
Musze podac numer konta sklepu, nazwe sklepu,
za co, ile itp - w mojej propozycji
nie musze podawac konta skpeu, jego nazwy - tylko
moje haslo na to by wyrazic zgode, by poszla
dokladna kwota z zakupu do sklepu, ktorego
konto mnie wlasciwie w ogole nie interesuje.



--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914

do góry

Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
news:afcodo$8d2$1@news.onet.pl...
> > To prawdopodobienstwo bedzie roslo, wraz z liczba osob
> > znajacych parametry eKarty. A liczba taklich osob bedzie rosla
> > wraz z czestoscia zakupow.
> > Ponadto probkowanie eKarty zlodzieje internetowi beda
> > robili oczywiscie programami - mozna zapuscic
> > program na cala dobe, ktory testuje ilest tam eKart.
> > I jak wtedy wyglada takie zaezpieczenie ?
>
> ak samo jak zwyklej karty z tym, ze na zwyklej karty, wspomnianej przez
> Ciebie np Inteligo kasa moze byc caly czas.
> No i chyba bank kapnalby sie, gdyby co sekunde ktos chcialby autoryzowac
> dana karte (wczesniej musisz znac jej numery). Ale znasz jej numer i co?

Jesli zlodziej zna wszystkie dane potrzebne do pobrania
pieniedzy - to nie bedzie sie dlugo zastanawial.

>
> Ogolnie twoje dywagacje sa dla mnie dosc dziwne. Przeciez zawsze mozesz
> placic w sklepach, ktore przyjmuja akceptacje ecardu - czyli autoryzacja
> dzieje sie na Ecardzie a nie robi tego sam sklep, kjtory numeru nie
> poznaje... I co??? :)
>

Zawsze mozna powiedziec - po co w ogole placic przez Internet?:)

Odpoawiadam - zakupy, platnosci przez Internet sa wygodne.
I dlatego z tego korzystamy, bedziemy korzystac. Dlatego
tez musza byc solidne zabezpieczenia - zamaist tych
polegajacych na tym by "nie podawac paramatrow karty
osobom nieznanym".
A dlaczego mialyby to robic banki? To proste.
Bo tak jest klientowi wygodniej. Skoro moga byc e-portfele
poza bankiem, to moga byc i w samym banku.
Tylko zeby byly tam jakies zabezpieczenia chroniace
moje pieniadze.


Natomiast mBankiem zainteresowalem sie dlatego,
ze jest to jedyny znany mi bank internetowy ktory
umozliwia platnosci za granica, wlasnie przez e-karte.
Niestety brak dostatecznych zabezpieczen - uniemozliwia
mi wykorzystanie e-karty.
Mam jednak nadzieje, ze to sie poprawi.




--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914

do góry