Wydaje mi sie, ze to nizbyt fajne rozwiazanie:
dane odbiorcy numer rachunku mozna zmienic bez potwierdzenia kluczem tokena.
tym samym dla osob nieostroznych, tych ktore nie sprawdzaja na jaki rachunek
dokonuja przelewu dla zdefioniowanego odbiorcy (ja do tej pory tak robilem)
transakacja ma tylko jedno zabezpieczenie (ulomne z oczywistych wzgledow
haslo dostepu do serwisu).
Wiem, ze aby wejsc do serwisu trzeba uzyc klucza tekenu, ale mimo wszystko
to rozwiazanie nie jest chyba calkiem oki.
Wydaje mi sie, ze to bardzo duzy blad funkcjonalny serwisu.

Fajas

do góry

Użytkownik "Fajas" <f...@e...pl> napisał w wiadomości
news:cdftgo$dus$1@news.telbank.pl...
> Wydaje mi sie, ze to nizbyt fajne rozwiazanie:
> dane odbiorcy numer rachunku mozna zmienic bez potwierdzenia kluczem
tokena.
> tym samym dla osob nieostroznych, tych ktore nie sprawdzaja na jaki
rachunek
> dokonuja przelewu dla zdefioniowanego odbiorcy (ja do tej pory tak
robilem)
> transakacja ma tylko jedno zabezpieczenie (ulomne z oczywistych wzgledow
> haslo dostepu do serwisu).
> Wiem, ze aby wejsc do serwisu trzeba uzyc klucza tekenu, ale mimo wszystko
> to rozwiazanie nie jest chyba calkiem oki.
> Wydaje mi sie, ze to bardzo duzy blad funkcjonalny serwisu.

rozwiazanie oczywiscie powinno byc zmienione ale dla mnie wystarczajacym
bezpieczenstwem jest wchodzenie do systemu za pomoca tokena i zamykanie
nieaktywnej jakis czas sesji.

D.

do góry

Mon, 19 Jul 2004 09:35:17 +0200, w <cdftgo$dus$1@news.telbank.pl>, "Fajas"
<f...@e...pl> napisał(-a):

> Wydaje mi sie, ze to bardzo duzy blad funkcjonalny serwisu.

Nie rób sobie jaj.

Najlpeiej jakby przejście do każdej następnej strony było zatokenowane :>

do góry

Użytkownik "Fajas" <f...@e...pl> napisał w wiadomości
news:cdftgo$dus$1@news.telbank.pl...
> Wydaje mi sie, ze to nizbyt fajne rozwiazanie:
> dane odbiorcy numer rachunku mozna zmienic bez potwierdzenia kluczem
tokena.
> tym samym dla osob nieostroznych, tych ktore nie sprawdzaja na jaki
rachunek
> dokonuja przelewu dla zdefioniowanego odbiorcy (ja do tej pory tak
robilem)
> transakacja ma tylko jedno zabezpieczenie (ulomne z oczywistych wzgledow
> haslo dostepu do serwisu).
> Wiem, ze aby wejsc do serwisu trzeba uzyc klucza tekenu, ale mimo wszystko
> to rozwiazanie nie jest chyba calkiem oki.
> Wydaje mi sie, ze to bardzo duzy blad funkcjonalny serwisu.

Bez przesady, podobne rozwiazanie w Lukasie w wersji z tokenem, odbiorce
mozna zmieniac, ale kazda zmiane w przelewie stalym czy okresowym trzeba
podpisac tokenem i to w zupelnosci wystarczy. Popatrz sobie na mBank, tam
jak dodasz przelew zdefiniowany, to po wlamaniu, np przechwyceniu loginu i
hasla, gosc moze sobie pstrykac dowolna ilosc przelewow zdefiniowanych.

do góry

> Wydaje mi sie, ze to bardzo duzy blad funkcjonalny serwisu.
>
> Bez przesady, podobne rozwiazanie w Lukasie w wersji z tokenem, odbiorce
> mozna zmieniac, ale kazda zmiane w przelewie stalym czy okresowym trzeba
> podpisac tokenem i to w zupelnosci wystarczy. Popatrz sobie na mBank, tam
> jak dodasz przelew zdefiniowany, to po wlamaniu, np przechwyceniu loginu i
> hasla, gosc moze sobie pstrykac dowolna ilosc przelewow zdefiniowanych.
>


> Bez przesady, podobne rozwiazanie w Lukasie w wersji z tokenem, odbiorce
> mozna zmieniac, ale kazda zmiane w przelewie stalym czy okresowym trzeba
> podpisac tokenem i to w zupelnosci wystarczy. Popatrz sobie na mBank, tam
> jak dodasz przelew zdefiniowany, to po wlamaniu, np przechwyceniu loginu i
> hasla, gosc moze sobie pstrykac dowolna ilosc przelewow zdefiniowanych.
>
Ale nie moze zmienic konta na ktore jest realizowany przelew.
W tym caly problem, ze mozna podmienic numer konta dla zdefiniowanego
odbiorcy,
wiec jesli zalozyc, ze nie sprawdzasz na jaki rachunek idzie przelew sprawa
wyglada tak, ze masz tylko jeden poziom zabezpieczenia.
W takim rozumowaniu mozemy niepodpisywac przelewow, ale wtedy pozostaje
jeden poziom zabezpieczenia...

Fajas

do góry

> rozwiazanie oczywiscie powinno byc zmienione ale dla mnie wystarczajacym
> bezpieczenstwem jest wchodzenie do systemu za pomoca tokena i zamykanie
> nieaktywnej jakis czas sesji.
>
> D.
Problem w tym, ze to nie jest wystarczajace zabezpieczenie...

Fajas

do góry

> Ale nie moze zmienic konta na ktore jest realizowany przelew.
> W tym caly problem, ze mozna podmienic numer konta dla zdefiniowanego
> odbiorcy,
> wiec jesli zalozyc, ze nie sprawdzasz na jaki rachunek idzie przelew
sprawa
> wyglada tak, ze masz tylko jeden poziom zabezpieczenia.
> W takim rozumowaniu mozemy niepodpisywac przelewow, ale wtedy pozostaje
> jeden poziom zabezpieczenia...

Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
zabezpieczenia tokena moglby robic wszystko.
jezeli ktos zadalby sobie tyle trudu, zeby wlamac sie do banku z tokenem, to
nie po to zeby pozmieniac odbiorcow tylko wykonac przelew na wlasne konto.
Po drugie jezeli robie nowy przelew, wpisujac jakis np rachunek, patrze na
nr rach. orientacyjnie (chociazby cyfry kontrolne i koncowka rach.), ale tak
jak wspomnialem wyzej rozwazania sa czysto teoretyczne gdyz trzeba sobie
odpowiedziec na pytanie czy wejscie do banku z tokenem jest takie proste??

do góry

> Bez przesady, podobne rozwiazanie w Lukasie w wersji z tokenem, odbiorce
> mozna zmieniac, ale kazda zmiane w przelewie stalym czy okresowym trzeba
> podpisac tokenem i to w zupelnosci wystarczy. Popatrz sobie na mBank, tam
> jak dodasz przelew zdefiniowany, to po wlamaniu, np przechwyceniu loginu i
> hasla, gosc moze sobie pstrykac dowolna ilosc przelewow zdefiniowanych.
>
to po co jeszcze potwierdzanie tokenem kazdego przelewu ... albo token
tylko do wejscia na strone, albo zabezpiecza wszystko, czyli wejscie,
zmiane numeru konta i sam przelew
spid

do góry

> Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
> logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
> zabezpieczenia tokena moglby robic wszystko.
> jezeli ktos zadalby sobie tyle trudu, zeby wlamac sie do banku z tokenem, to
> nie po to zeby pozmieniac odbiorcow tylko wykonac przelew na wlasne konto.
> Po drugie jezeli robie nowy przelew, wpisujac jakis np rachunek, patrze na
> nr rach. orientacyjnie (chociazby cyfry kontrolne i koncowka rach.), ale tak
> jak wspomnialem wyzej rozwazania sa czysto teoretyczne gdyz trzeba sobie
> odpowiedziec na pytanie czy wejscie do banku z tokenem jest takie proste??
>
>to po co jeszcze potwierdzanie tokenem kazdego przelewu ... albo token tylko do
wejscia na strone, albo zabezpiecza wszystko, czyli wejscie, zmiane numeru konta i
sam przelew
spid

do góry

> Zakladajac ze ktos rozszyfruje token i wejdzie do banku, ktory wymaga
> logowania przy uzyciu tokena, dalsze dywagacje nie maja sensu, gdyz omijajac
> zabezpieczenia tokena moglby robic wszystko.
> jezeli ktos zadalby sobie tyle trudu, zeby wlamac sie do banku z tokenem, to
> nie po to zeby pozmieniac odbiorcow tylko wykonac przelew na wlasne konto.
> Po drugie jezeli robie nowy przelew, wpisujac jakis np rachunek, patrze na
> nr rach. orientacyjnie (chociazby cyfry kontrolne i koncowka rach.), ale tak
> jak wspomnialem wyzej rozwazania sa czysto teoretyczne gdyz trzeba sobie
> odpowiedziec na pytanie czy wejscie do banku z tokenem jest takie proste??

to po co jeszcze potwierdzanie tokenem kazdego przelewu ... albo token
tylko do wejscia na strone, albo zabezpiecza wszystko, czyli wejscie,
zmiane numeru konta i sam przelew
spid

do góry