On 2016-03-20 15:12, Marek wrote:
> (autoryzowany) użytkownik. W przypadkach spornych to problem stron sporu
> aby wykazać/udowdnić czy transakcja była autoryzowana czy nie.

No właśnie. Po zastosowaniu prostackich środkow technicznych problem
udowaniania nie istnieje. Bo problem malware, złodziei, wyłudzania nie
istnieje. Tadaaaam!

Bicie piany w tym wypadku jest zasadniczo istotne: ludzie nie mają
pojęcia że ich banki wcale nie stosują zaawansowanych srodkow
technicznych a jedynie kupe gówna nazywaną security a tak naprawdę
przerzucają co moga ze swojej odpowiedzialności na klienta w posob
często ordynarny. Być może ta świadomość wygeneruje kiedyś zwrot w
kierunku prawdziwego security. Ale nie, nie jestem aż tak głupi żeby
zakładać że kiedyś debilomanagerzy zostaną zwolnienie z pracy, więc to
utopia.

do góry

On Sun, 20 Mar 2016 15:29:54 +0100, Sebastian
Biały<h...@p...onet.pl> wrote:
> No właśnie. Po zastosowaniu prostackich środkow technicznych
problem
> udowaniania nie istnieje. Bo problem malware, złodziei, wyłudzania
nie
> istnieje. Tadaaaam!

Kraje cywilizowane dawno z tym sobie poradziły stosując chargeback
dla transakcji nieautoryzowanych. I żadnych wyrafinowanych środków
technicznych do tego nie trzeba.

> Bicie piany w tym wypadku jest zasadniczo istotne: ludzie nie mają
> pojęcia że ich banki wcale nie stosują zaawansowanych srodkow
> technicznych a jedynie kupe gówna nazywaną security a tak naprawdę
> przerzucają co moga ze swojej odpowiedzialności na klienta w posob
> często ordynarny. Być może ta świadomość wygeneruje kiedyś zwrot w
> kierunku prawdziwego security. Ale nie, nie jestem aż tak głupi
żeby
> zakładać że kiedyś debilomanagerzy zostaną zwolnienie z pracy, więc
to
> utopia.

Więc jaki sens jest wyrażanie konkluzji utopijnych, co ostatnio się
Ci dość często zdarza :)? Nie, nie zostaną zwolnieni z pracy i będą
za wszelką cenę próbować przy każdej okazji przerzucać
odpowiedzialność na klienta.
Dlatego prawo powinno chronić obywateli przed banksterami, bez
względu jak wyrafinowane technicznie metody stosują.

--
Marek

do góry

On 3/20/2016 4:33 AM, Rafal Jankowski wrote:
> swoją drogą to uzasadnienie jest wadliwe, bo żaden popularny program
> pocztowy ani przeglądarka nie umożliwiają zainstalowania czegokolwiek
> przez kliknięcie na zdjęcie.

ty tak na serio?

do góry

On 2016-03-20 16:06, Marek wrote:
>> No właśnie. Po zastosowaniu prostackich środkow technicznych
> problem
>> udowaniania nie istnieje. Bo problem malware, złodziei, wyłudzania
> nie
>> istnieje. Tadaaaam!
> Kraje cywilizowane dawno z tym sobie poradziły stosując chargeback dla
> transakcji nieautoryzowanych. I żadnych wyrafinowanych środków
> technicznych do tego nie trzeba.

One nie są *wyrafinowane*. To kawałek krzemu za $0.1 i kawałek
wyświetlacza z klawiaturą za $0.5 + opakowanie za $1. Sprzedawane
oczywiście za $100 ale to kwesia dania właściwej osobie po mordzie i
rozkręcenia produkcji w chinach.

> Więc jaki sens jest wyrażanie konkluzji utopijnych, co ostatnio się Ci
> dość często zdarza :)?

Zabawne. Dwa zdania wczesniej wyjasniłem że czasem warto budować
świadomość. Natomiast ja jestem niepoprawnym pesymistą. Jedno drugiemu
nie przeszkadza.

> Dlatego prawo powinno chronić obywateli przed banksterami, bez względu
> jak wyrafinowane technicznie metody stosują.

Ale dlaczego nie powinna robić tego technologia? Kiedyś mój znajmy
powiedział że jak by uszczelnić prawo to te dziesiątki tysięcy prawników
musialo by kopać rowy bo nic innego nie potrafią. Dlatego prawo nigdy
nie zostanie uszczelnione, nawet jesli istnieje oczywista możliwość
techniczna. I to jest pesymizm ktory prezentuje. Ale jednocześnie niose
kaganek oświaty mówiąc: da się inaczej. Nie dziw sie, pesymizm też buduje.

do góry

Marek <f...@f...com> writes:

> Kraje cywilizowane dawno z tym sobie poradziły stosując chargeback dla
> transakcji nieautoryzowanych. I żadnych wyrafinowanych środków
> technicznych do tego nie trzeba.

Chargeback nie rozwiązuje żadnego problemu, przerzuca go tylko w inne
miejsce.
--
Krzysztof Hałasa

do góry

Sebastian Biały <h...@p...onet.pl> writes:

> One nie są *wyrafinowane*. To kawałek krzemu za $0.1 i kawałek
> wyświetlacza z klawiaturą za $0.5 + opakowanie za $1. Sprzedawane
> oczywiście za $100 ale to kwesia dania właściwej osobie po mordzie i
> rozkręcenia produkcji w chinach.

Bez przesady, tak "na oko" koszt produkcji urządzenia z kamerą
i klawiaturą ekranową to przynajmniej z $15, przy seryjnej produkcji.
--
Krzysztof Hałasa

do góry

On Sun, 20 Mar 2016 16:33:31 +0100, Krzysztof Halasa <k...@p...waw.pl>
wrote:
> Chargeback nie rozwiązuje żadnego problemu, przerzuca go tylko w
inne
> miejsce.

Zależy z jakiego punktu widzenia ropatrujemy problem. Zakres tej
konkretnej dyskusji dotyczy wyłącznie z pkt. widzenia klienta i to mi
wystarcza..

--
Marek

do góry

On Sun, 20 Mar 2016, Sebastian Biały wrote:

> On 2016-03-20 14:42, Rafal Jankowski wrote:
>> Teoretycznie to w sądzie trzeba udowodnić jego winę, ale wiadomo jak
>> gość nie przedstawi wiarygodnego alibi to a małe szanse na taką linię
>> obrony.
>
> Nie da się przedstawić alibi kiedy w gre wchodzi współczesny system
> operacyjny z rodziny Windows. Da się przedstawić alibi kiedy kolega prawnik
> widział mnie po wypadku trzeźwego. To *różne* sytuacje.
>
> Z punktu widzenia banku istnieje zasada domniemanego zarażenia malware. I
> słusznie, klient nie ma jak udowodnić że malware nie było więc bank nie jest
> nigdy stratny.

To samo możesz powiedzieć o każdym innym systemie, który nie jest OS. A
Twojego kolegi (czy to prawnik czy nie to akurat bez znaczenia) równie
dobrze mogło nie być i wtedy wszystkie poszlaki świadczą przeciwko Tobie.

>> > PS. Informatyka i matematyka mają *perfekcyjne* i *tanie* sposoby
>> > zapobiegania takim przestępstwom. Jakieś 20-30 lat minimum. Tylko
>> > który bank ma potrzebe im zapobiegać?
>> Jak OS był skompromitowany to powiązanie tokena z konkretną osobą,
>> numerem seryjnym, CPU dalej nic nie da.
>
> Da się. Transakcje da się wykonać wyłacznie kiedy robi to ktoś posiadający
> fizyczny token. Możesz sobie kompromitować dowoli: obecność tokena (np.
> wyświetlającego kwotę, konto i potwierdzającego pinem na jego własnej
> klawiaturze) jest absolutnie nie do zlamania, choc należy wtedy zakładać
> niedebilnośc inzynierów o co coraz trudniej. Mimo to można w sposob
> absolutnie pewny powiązać obecność tokena, danych transakcji, upoważnionego
> usera w jedność. Malware możesz mieć w dowolnej ilości, co najwyżej
> transakcja nie zostanie zaakceptowana przez bank.

Podany przez Ciebie przykład TPMa to tylko dodatkowa warstwa zabezpieczeń
która rownie dobrze może być skompromitowana jak i OS, więc z tą
"absolutną" pewnością to trochę pojechałeś. Nie mówiąc już o tym, że
podobnie jak numer w totolotku można go "zgadnąć", chociaż w zależności od
implementacji pewnie trochę więcej bitów jest do odgadnięcia.

>> Musiałbyś jeszcze coś w rodzaju
>> bezpiecznej enklawy na najnowszym skylake'u.
>
> Ależ są takie rozwiązania, TPM. Tylko że przygłupy bankowe jeszcze wiele
> dziesięcioleci dzieli od zaczajenia co z tym można zrobić. Oni na razie
> tworzą kolejny gówno warty portal bankowości opierający się o JavaScript i
> studentów-programatorów kupowanych na rynku na kilogramy. "Więcej ikonek i
> animacji, k..wa".

Ja podałem przykład SGXa, Ty TPMa, jeden 8====o. To tylko różne
implementacje sprzętowych DRMów, które stanowią dodatkowe zabezpieczenie,
ale jeśli chodzi o absolutną pewność to dobrze wiesz, czego w życiu
człowiek może być pewien.

>
>> Moje przesłanie było takie, że banki robią pełno wałów polegających na
>> podpisywaniu umów bez weryfikacji, wpisują jakieś opłaty do TOiP i nic
>> się nie dzieje. A jak użytkownik popisze się głupotą to jest właśnie tą
>> głupotą usprawiedliwiony.
>
> Czekam na "dobra zmianę" ktora uniemozliwi zakładanie kont przelewami,
> otwieranie kredytu smsami, realizowanie kasy kresokopia dowodu. Ale się nie
> doczekam. Wyraźnie widać że nie ma nikt w tym interesu.

Nie mam nic przeciwko kontom zakładanym na SMSa, mogą być nawet anonimowe
dopóki tylko na takim koncie nie może powstać debet czy inne zobowiązanie
po stronie klienta.

do góry

On 2016-03-20 16:35, Krzysztof Halasa wrote:
>> One nie są *wyrafinowane*. To kawałek krzemu za $0.1 i kawałek
>> wyświetlacza z klawiaturą za $0.5 + opakowanie za $1. Sprzedawane
>> oczywiście za $100 ale to kwesia dania właściwej osobie po mordzie i
>> rozkręcenia produkcji w chinach.
> Bez przesady, tak "na oko" koszt produkcji urządzenia z kamerą
> i klawiaturą ekranową to przynajmniej z $15, przy seryjnej produkcji.

Mamy inne i raczej wirtualne doswiadczenia. Ale token nie przekracza
poziomem komplikacji zabawkę chińską grającą melodyjki za $0.5. Nie
bardzo widzę powód dla którego mialo by to być specjalnie lepiej
wykonane niż chiński szit. Ostatecznie dla jakiś debili w garniturach
przygotuje się wersję pakowaną w szczotkowane aluminium z identycznym
wsadem.

Kto mówi o klawiaturze ekranowej? To zwykła pojemnosciowa już nie
wystarczy? Kosz produkcji oscyluje w okolicy $0 bo jest częścią obudowy.
Jest wieczna bo nie zawiera mechaniki. Skąd się wzieło $15 przy
produkcji idacej w milionach sztuk?

do góry

On Sun, 20 Mar 2016, Marek wrote:

> On Sun, 20 Mar 2016 14:43:52 +0100, Rafal Jankowski
> <j...@o...wsisiz.edu.pl> wrote:
>> A art. 42 nie jest?
>
> Oczywiście, że jest. Nie rozumiem do czego pijesz.

Jak rozumiem to do czego się odnosisz to definicja tego kto to jest
płatnik i co to jest zlecenie (art 2 pkt 22 i 36). Tylko po pierwsze to
nie zdejmuje z klienta obowiązku nieudostępniania danych autoryzacyjnych,
bo po co wogóle byłby ten artykuł 42? Po drugie gdyby nawet było to takie
"proste i logiczne" jak piszesz to użytkownik nie miałby dokładnie żadnego
interesu w pilnowaniu dostępu do swojego konta, bo zawsze można zgłosić
chargeback i wtedy całe to uzasadnienie wyroku powinno zawierać max. trzy
zdania odnosząc się do tej właśnie części ustawy. Podobnie w sumie
działają karty kredytowe, które z technicznego punktu widzenia nie mają
właściwie żadnych zabezpieczeń tylko weź pod uwagę jakie są prowizje za
ich korzystanie. To chyba coś ok 1-2% za transakcję karcianą. Nie wiem czy
byśmy chcieli tyle płacić za przelewy.

do góry