Dnia Fri, 08 Feb 2008 19:43:35 +0100, Mithos napisał(a):
> Jacek Osiecki napisał(a):
>> Hmm, da się zrobić mniej intuicyjny interfejs niż mbank? :)
>> Najgorsza wada mBanku to dziura w bezpieczeństwie - czyli brak jakiejkolwiek
>> autoryzacji przelewów zdefiniowanych... Druga wada to również dziura, tym
>> boleśniejsza w połączeniu z poprzednią - hasło na wejściu nie jest maskowane
>> tylko zawsze się podaje całe. Jakoś w interfejsie telefonicznym potrafią
>> pytać wyrywkowo o cyfry hasła a tu nie... :(

> Po to sie definuje przelewy, zeby ich nie bylo koniecznosci ich
> pozniejszej autoryzacji (IMO).

Tylko że w mBanku jest to jedyna metoda pozwalająca na zapamiętanie danych
kontrahenta... Ja rozumiem że mógłbym sobie zdefiniować przelewy nie
wymagające potwierdzenia (np. na konta członków rodziny, na konto
oszczędnościowe, na konta przypisane do kart kredytowych), ale jeśli np.
kilka razy kupiłem coś na allegro albo co miesiąc płacę za telefon to miło
by było wpisać dane takiego kontrahenta na stałe bez ryzyka, że ktoś mi
złośliwie przeleje całe oszczędności na takie konto.

> Halo maskowane to tez jakas fikcja.

Niezła bzdura... Ciekawe, że jakoś przy bankowości telefonicznej mBank
stosuje właśnie hasło maskowane :> Może w ogóle powinni autoryzować na
podstawie imienia i nazwiska?

>> Obsługa kart kredytowych w mBanku to jakiś koszmar. Brak numeru konta do
>> spłaty karty, limit dostępny w "warunkach umowy"...
> ? :)

Zbyt skomplikowane byś zrozumiał? Nie można spłacić karty kredytowej z
mBanku inaczej niż z ekonta. A żeby sprawdzić ile jeszcze można wykorzystać
środków jest w dziale "warunki umowy", co jest bez sensu. W dodatku nie
można normalnie obejrzeć listy operacji na karcie, tylko wszystko jest
podzielone na okresy rozliczeniowe.

>> Ja co prawda się przeniosłem do mBanku ze wszystkim - pekao z 12zł/miesiąc
>> nic nie dawało poza lepszym interfejsem (który i tak za chwilę zniknie), ale
>> jestem bardzo daleki od chwalenia mBanku.
> Kwestia gustu. Dla mnie od mBanku lepszy jest jedynie online Multibanku.

Skoro korzystasz, to od razu spytam: czy tam też jest to idiotyczne
dzielenie listy operacji na strony? A co do wygody interfejsu, to sez@m BPH
jest tutaj (a raczej niestety BYŁ) ideałem - ma dokładnie wszystko czego
trzeba...

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Fri, 08 Feb 2008 23:07:10 +0100, Krzysztof Halasa napisał(a):
> Wwieslaw <u...@o...pl> writes:
>
>> Wcale nie musi byc specjalnie zaawansowana. Zauwaz ze masz tutaj mniej
>> zalozen niz przy rozpoznawaniu dowolnego tekstu, bo nominaly sa
>> ograniczone, cechy charakterystyczne dosc sciesle
>> okreslone. Perfekcyjna rzecz pod jakis specjalizowany uklad
>> sprzetowy.

> Bez zartow, takich rzeczy nie robi sie sprzetowo, to byloby calkowicie
> pozbawione sensu.

Słowo "sprzętowo" już od dłuższego czasu jest niezbyt adekwatne do
większości urządzeń :) Kiedyś firmware w urządzeniach służył do najbardziej
podstawowych operacji, teraz już w zasadzie nie ma żadnych ograniczeń. A już
przy takich wpłatomatach wręcz celowe jest, żeby taka maszynka do
sprawdzania pieniędzy była autonomiczna i sama informowała o tym czy
banknoty są autentyczne - realizowanie tego zadania w innym elemencie
systemu tylko by go skomplikowało zamiast uprościć.

>> Skan przy okazji pozwala powiazac numer banknotu z numerem
>> karty, na wypadek gdyby maszyna puscila falszywke. Winnego dlugo nie
>> beda szukac.
> I co zrobia? To nie jest takie proste jak "po odejsciu od kasy...".

Być może te maszynki są na tyle pewne, że faktycznie nie jest to duże ryzyko
:)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On 2008-02-09, Jacek Osiecki <j...@c...pl> wrote:

[...]

>> A możesz jeszcze wyjaśnić po co ktoś miałby coś takiego robić?
>
> A możesz mi wyjaśnić po co różne jełopy np. przecinają opony w samochodach
> albo rysują im karoserię?

Jełopy posługują się metodami właściwymi dla jełopów.

> Już nie mówiąc o sytuacji, gdzie doprowadzenie ofiary do niemiłej sytuacji
> finansowej (wyczyszczone konto + w pełniwykorzystany limit kredytowy)
> jest celem samym w sobie...

No właśnie o ten cel pytam. Po cholerę ktoś miałby się wyzłośliwiać w tak
wyrafinowany sposób? Zrozumiałbym gdyby ktoś miał z tego korzyść materialną
(czyli przelał sobie), ale takie sztuki z keyloggerem tylko po to by wykonać
parę przelewów (zazwyczaj odzyskiwalnych) przelewów? Come on.


--
Wojciech Bańcer
p...@p...pl

do góry

> A możesz mi wyjaśnić po co różne jełopy np. przecinają opony w samochodach
> albo rysują im karoserię? ...

Przecaniasz zdolności umysłowe jełopów,
taki mógłby mi conajwyżej zablokować dostęp do konta,
(gdyby mu się udało poznać mój ID)
To byłoby nie mniej uciążliwe niż te hipotetyczne przelanie
wszyskich środków na zdefiniowane konto, a znacznie łatwiejsze
do wykonania. ID też będziesz maskował?
Jeszcze o jednym zapomniałeś, długie hasło maskowane
jest szczególnie upierdliwe we wprowadzaniu. Użytkownicy
którzy będą się przy tym mylić (i Ci których będzie ono wkurzać)
będą mieć pokusę by hasło skrócić. Część jej zapewnie ulegnie
i skrócą hasło do minimalnej długości akceptowanej przez system.
Krótkie hasło i do tego maskowane, wystarczy poznać kilka znaków
(2-3 logowania) by mieć realne szanse, na zalogowanie bez znajomości
pozostałych.
A inni hasło zapiszą na kartce, żeby sobie poradzić z tym logowaniem.
A Ty mi będziesz wmawiał, że maskowane bezpieczniejsze...


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Jacek Osiecki <j...@c...pl> writes:

> Słowo "sprzętowo" już od dłuższego czasu jest niezbyt adekwatne do
> większości urządzeń :)

Jak dla kogo.

> Kiedyś firmware w urządzeniach służył do najbardziej
> podstawowych operacji,

Jak np.?

> teraz już w zasadzie nie ma żadnych ograniczeń.

Takich jak np.?

> A już
> przy takich wpłatomatach wręcz celowe jest, żeby taka maszynka do
> sprawdzania pieniędzy była autonomiczna i sama informowała o tym czy
> banknoty są autentyczne - realizowanie tego zadania w innym elemencie
> systemu tylko by go skomplikowało zamiast uprościć.

A wynika to z...?

> Być może te maszynki są na tyle pewne, że faktycznie nie jest to duże ryzyko
> :)

Ryzyko jest 100% w przypadku kogos, kto wie co robi i (jednoczesnie)
chce to zrobic. Ale takich osob jest bardzo malo, potencjalne straty
sa niewielkie (domyslam sie ze bank nie umozliwi wplacenia np. 10 mln
w falszywkach i nastepnie wyplaty tych 10 mln.).
--
Krzysztof Halasa

do góry

siliana pisze:
> a od kiedy znosza te oplaty? bo dzis mi znow pobrali.

Od 11 lutego 2008 roku.

K.

do góry

Dnia 9 Feb 2008 17:44:57 +0100, Wojciech Bancer napisał(a):
> On 2008-02-09, Jacek Osiecki <j...@c...pl> wrote:
> [...]
>>> A możesz jeszcze wyjaśnić po co ktoś miałby coś takiego robić?
>> A możesz mi wyjaśnić po co różne jełopy np. przecinają opony w samochodach
>> albo rysują im karoserię?
> Jełopy posługują się metodami właściwymi dla jełopów.

I unikając efektów tychże metod, nie parkuje się autem w nieciekawych
dzielnicach.

>> Już nie mówiąc o sytuacji, gdzie doprowadzenie ofiary do niemiłej sytuacji
>> finansowej (wyczyszczone konto + w pełniwykorzystany limit kredytowy)
>> jest celem samym w sobie...
> No właśnie o ten cel pytam. Po cholerę ktoś miałby się wyzłośliwiać w tak
> wyrafinowany sposób?

Choćby dlatego, że mu czymś podpadłeś? Że chce Ciebie wykończyć nerwowo?
Że chce się pozbyć konkurencji z rynku?

> Zrozumiałbym gdyby ktoś miał z tego korzyść materialną
> (czyli przelał sobie), ale takie sztuki z keyloggerem tylko po to by wykonać
> parę przelewów (zazwyczaj odzyskiwalnych) przelewów? Come on.

Właśnie, _zazwyczaj_ odzyskiwalnych. Nadal jest sporo instytucji, z którymi
trzeba nieźle się nawalczyć zanim łaskawie przeleją nadpłatę zamiast ją
uznać jako przedpłatę na najbliższe 10 lat.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

Dnia Fri, 08 Feb 2008 15:42:49 +0100, Krzysztof Halasa napisał(a):
> Jacek Osiecki <j...@c...pl> writes:
>> Wnosi jak najbardziej.
> W to ze Tobie sie tak wydaje nie watpie.

Jeśli ktoś się JEDNOKROTNIE zaloguje do konta zabezpieczonego maskowanym
hasłem na podstawionym komputerze to jesteś w stanie dostać się później na
to jego konto? Nie. I o to chodzi.

>> Podpis cyfrowy pt. plik + ew. hasło? Niewielki problem dla złodzieja, tym
>> bardziej takiego który bez problemu poskłada sobie hasło z wielu
>> maskowanych.

> Podpis cyfrowy to nie jest "pt. plik + ew. hasło".
> RTF jakas ksiazke o podstawach kryptografii.
> Mam wrazenie, ze Applied Crypto jest (legalnie) w sieci w PDFach.

Podpis cyfrowy zawsze na jakimś nośniku siedzi. Albo w pliku na dysku czy
dyskietce, albo na "karcie inteligentnej" - bo chyba nie twierdzisz że
popularną metodą jest wkucie go na pamięć? ;) "Podpis cyfrowy" w takiej
postaci jest bezwartościowy - keylogger i odpowiednio przygotowane złośliwe
oprogramowanie ogołoci konto klienta banku do zera. Zgadza się, maskowane
hasło też tu nic nie pomoże bo ono jest potrzebne wyłącznie do zalogowania
się do banku... Jedyne PEWNE zabezpieczenia _muszą_ angażować do przelewu
coś niezależnego od komputera - token z klawiaturą, hasło SMSowe.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
"Poglądy polityczne mają takie znaczenie w sejmie jak upierzenie u krokodyla"
(c) Tomasz Olbratowski 2004

do góry

On 2008-02-10, Jacek Osiecki <j...@c...pl> wrote:

[...]

>>> Już nie mówiąc o sytuacji, gdzie doprowadzenie ofiary do niemiłej sytuacji
>>> finansowej (wyczyszczone konto + w pełniwykorzystany limit kredytowy)
>>> jest celem samym w sobie...
>> No właśnie o ten cel pytam. Po cholerę ktoś miałby się wyzłośliwiać w tak
>> wyrafinowany sposób?
> Choćby dlatego, że mu czymś podpadłeś? Że chce Ciebie wykończyć nerwowo?
> Że chce się pozbyć konkurencji z rynku?

E tam. Jest nieskończenie wiele metod o wiele bardziej uprzykrzających
życie, a łatwiejszych w realizacji. Nie mówię, że to niemożliwe, ale
uważam że robienie z tego realnego zagrożenia przed którym trzeba się
zabezpieczać w możliwie maksymalnie upierdliwy (logowanie maskowane)
sposób zalatuje lekką paranoją. Coś jak mieszkanie w bunkrze kilkaset
metrów pod ziemią, bo "przecież może w ziemię pierdolnąć meteor".

>> Zrozumiałbym gdyby ktoś miał z tego korzyść materialną
>> (czyli przelał sobie), ale takie sztuki z keyloggerem tylko po to by wykonać
>> parę przelewów (zazwyczaj odzyskiwalnych) przelewów? Come on.
>
> Właśnie, _zazwyczaj_ odzyskiwalnych. Nadal jest sporo instytucji, z którymi
> trzeba nieźle się nawalczyć zanim łaskawie przeleją nadpłatę zamiast ją
> uznać jako przedpłatę na najbliższe 10 lat.

I akurat tylko takie masz w przelewach zdefiniowanych? Come on.
To obsługuj te instytucje przy pomocy PZtek/karty kredytowej.

--
Wojciech Bańcer
p...@p...pl

do góry

Jacek Osiecki wrote:

> Choćby dlatego, że mu czymś podpadłeś? Że chce Ciebie wykończyć nerwowo?
> Że chce się pozbyć konkurencji z rynku?
>

Czy sądzisz że konkurencja mniej wyda na wynajęcie ludzi to takiego ataku na
twojego użytkownika/hasło niż na zaszkodzenie ci legalnymi metodami?

p. m.

do góry