Witam!
Czy fakt, że data ważności certyfikatu na stronie logowania do Inteligo
(19.04.2006)(żółta kłódka w IE) jest inna niż ta którą widać po kliknięciu
na "pieczęć" Verisign (03.04.2004) nie stanowi problemu?
zapewne jest to tylko bałagan, ale chyba nie do końca tak powinno być?

pozdrawiam
wrotek

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry

Użytkownik wrotek napisał:

> Witam!
> Czy fakt, że data ważności certyfikatu na stronie logowania do Inteligo
> (19.04.2006)(żółta kłódka w IE) jest inna niż ta którą widać po kliknięciu
> na "pieczęć" Verisign (03.04.2004) nie stanowi problemu?
> zapewne jest to tylko bałagan, ale chyba nie do końca tak powinno być?

certyfikaty certyfikatami, ale fingerprinty sprawdzaj przed logowaniem
kazdym

--
GideoN

-------------------------------------------
Usun [NO_SPAM] z adresu aby napisac do mnie
-------------------------------------------

do góry

Użytkownik "GideoN" <gideon@[NO_SPAM]npnet.org> napisał w wiadomości
news:c48me6$gfg$3@wulkan.npnet.org...
>
> certyfikaty certyfikatami, ale fingerprinty sprawdzaj przed logowaniem
> kazdym

A czy można zadzwonić do Inteligo i poprosić o przedyktowanie fingerprinta?

Pozdrawiam,
Artur

do góry

Użytkownik Artur Czeczko napisał:

> A czy można zadzwonić do Inteligo i poprosić o przedyktowanie fingerprinta?

trzeba wystapic z oficjalnym pismem i ci przysla fingerprinta

mailowo nie wiem jak to wyglada

druga opcja to spisanie go samemu gdy mamy pewnosc ze jestesmy na
prawdziwej stronie banku. W Inteligo mamy dwa fingerprinty SHA1 MD5
wystarczy sprawdzac jeden z nich, w mBanku np jest chyba tylko SHA1, w
innych nie wiem.

--
GideoN

-------------------------------------------
Usun [NO_SPAM] z adresu aby napisac do mnie
-------------------------------------------

do góry

Użytkownik "GideoN" <gideon@[NO_SPAM]npnet.org> napisał w wiadomości
news:c48u41$o0b$2@wulkan.npnet.org...
>
> trzeba wystapic z oficjalnym pismem i ci przysla fingerprinta

A nie mogliby dyktować? Co stoi na przeszkodzie?

> mailowo nie wiem jak to wyglada

Ta opcja mnie nie interesuje. Jak ktoś w jakiś sposób przejmie domenę
(np. administrator serwera, którego adres wpisuję w resolv.conf),
to odbierze również maila ode mnie i będzie mógł odpisać, podając
fałszywy fingerprint.

> druga opcja to spisanie go samemu gdy mamy pewnosc ze jestesmy na
> prawdziwej stronie banku. W Inteligo mamy dwa fingerprinty SHA1 MD5
> wystarczy sprawdzac jeden z nich, w mBanku np jest chyba tylko SHA1, w
> innych nie wiem.

Zapętliliśmy się. Żeby sprawdzić fingerprint, musimy mieć pewność,
że jesteśmy na prawdziwej stronie banku. Żeby upewnić się, że jesteśmy
na prawdziwej stronie banku, musimy sprawdzić fingerprint...

Pozdrawiam,
Artur

do góry

Użytkownik Artur Czeczko napisał:


> A nie mogliby dyktować? Co stoi na przeszkodzie?

no nie wiem, ale nie chca dyktowac, moze zeby uniknac pomylki.

> Ta opcja mnie nie interesuje. Jak ktoś w jakiś sposób przejmie domenę
> (np. administrator serwera, którego adres wpisuję w resolv.conf),
> to odbierze również maila ode mnie i będzie mógł odpisać, podając
> fałszywy fingerprint.

tru

> Zapętliliśmy się. Żeby sprawdzić fingerprint, musimy mieć pewność,
> że jesteśmy na prawdziwej stronie banku. Żeby upewnić się, że jesteśmy
> na prawdziwej stronie banku, musimy sprawdzić fingerprint...

owszem, ale zakladajac ze wczesniej kozystasz z banku bez sprawdzania
fingerprintow, logujesz sie wiec jak zawsze puszczasz sobie przelew
gdzies(np subkonto) sprawdzasz czy doszedl (sms lub fizycznie kasa na
subkoncie) i wtedy wiesz ze masz prawdziwe fingerprinty. Oczywiscie jest
to rozwiazanie mocno lopatologiczne.


--
GideoN

-------------------------------------------
Usun [NO_SPAM] z adresu aby napisac do mnie
-------------------------------------------

do góry

Użytkownik "GideoN" <gideon@[NO_SPAM]npnet.org> napisał w wiadomości
news:c48v28$r7m$1@wulkan.npnet.org...
>
> owszem, ale zakladajac ze wczesniej kozystasz z banku bez sprawdzania
> fingerprintow, logujesz sie wiec jak zawsze puszczasz sobie przelew
> gdzies(np subkonto) sprawdzasz czy doszedl (sms lub fizycznie kasa na
> subkoncie) i wtedy wiesz ze masz prawdziwe fingerprinty. Oczywiscie jest
> to rozwiazanie mocno lopatologiczne.

E, to niczego nie dowodzi. Zawsze może być jakiś man-in-the-middle,
który zaloguje się w moim imieniu do prawdziwego systemu, wykona
wszystko to co zleciłem i jednocześnie przechwyci dane...
Opierać się można w zasadzie tylko na tym, że to jest mało prawdopodobne.

Pozdrawiam,
Artur

do góry

Użytkownik Artur Czeczko napisał:

> E, to niczego nie dowodzi. Zawsze może być jakiś man-in-the-middle,
> który zaloguje się w moim imieniu do prawdziwego systemu, wykona
> wszystko to co zleciłem i jednocześnie przechwyci dane...
> Opierać się można w zasadzie tylko na tym, że to jest mało prawdopodobne.


oczywiscie, najlepszym rozwiazaniem byloby, gdyby Bank zalaczal do
przesylki z umowa i materialami pomocniczymi, ktore przysyla przy
podpisywaniu umowy, od razu instrukcje bezpieczenstwa uzywania serwisu
www i np fingerprinty.

Bo nawet przy wysylaniu do nich listu tradycyjnego, mozemy zalozyc, iz
ktos moze przechwycic ten list z naszej skrzynki i podlozyc inne
fingerprinty.

--
GideoN

-------------------------------------------
Usun [NO_SPAM] z adresu aby napisac do mnie
-------------------------------------------

do góry