Marek <f...@f...com> writes:

> A jakie jest cookie mBanku? Czasowe czy sesyjne? I dlaczego w ogóle
> wybrali cookie jak już dawno używa się inne metody fingerprintu
> przeglądarki czy nawet OSa??

Którego OSa?
--
Krzysztof Hałasa

do góry

On Wed, 02 Oct 2019 22:41:39 +0200, Krzysztof Halasa <k...@p...waw.pl>
wrote:
> Którego OSa?

Każdego? (nmap)

--
Marek

do góry

W dniu 2019-10-02 o 17:35, J.F. pisze:

> A dodaj do tego, ze jest komputer/urzadzenie, uzytkownik - moze byc
> kilku na jednym urzadzeniu,

Urządzenie jest przypisywane do konta użytkownika. Nic nie stoi (albo
przynajmniej nie powinno stać) na przeszkodzie, aby było przypisane do
kilku jak kilku go używa.
Założenie, że każdy ma 'swój' komputer wyprzedza chyba trochę czasy.

> czasem urzadzenie zmienia
> wlasciciela/posiadacza.

Jak zmienia właściciela to użytkownik powinien mieć możliwość
wykasowania z listy (nawet jakiś czas po zmianie właściciela).
Rozwiązanie z ciasteczkami jest w tym przypadku gorsze bo jak skasować
ciasteczka jakiś czas po zmianie właściciela.

> W dodatku http mial byc bezsesyjny - tzn przegladarka prosi strone,
> serwer wysyla, i zapomina o zdarzeniu.

Tego nie wiedziałem. To zupełnie nie pasuje do potrzeb bankowości
elektronicznej bo oznaczałoby, że nie ma pojęcia 'zalogował się'.
Czyli powinni korzystać z czegoś innego niż http.

> ciasteczka i tak sa pamietane takze na serwerze, a inne identyfikacje
> podatne na falszerstwa.

Też nie wiedziałem.
Ogólnie internet to nie moja bajka.
P.G.

do góry

Marek <f...@f...com> writes:

>> Którego OSa?
>
> Każdego? (nmap)

???

Czy masz na myśli OSa, na którym uruchomiona jest przeglądarka, czy np.
OS, który komunikuje się bezpośrednio z bankiem (w sensie endpointów
TCP/TLS), czy jeszcze jakiś inny, np. proxy robiący NAT?

Domyślam się, że to pierwsze raczej nie (co ma NMAP do przeglądarki),
a szkoda - bo to dane najbardziej prawdopodobne oraz szczegółowe.
"Rozdzielczość" detekcji NMAPa jest "raczej" taka sobie.
--
Krzysztof Hałasa

do góry

Piotr Gałka <p...@c...pl> writes:

>> W dodatku http mial byc bezsesyjny - tzn przegladarka prosi strone,
>> serwer wysyla, i zapomina o zdarzeniu.
>
> Tego nie wiedziałem. To zupełnie nie pasuje do potrzeb bankowości
> elektronicznej bo oznaczałoby, że nie ma pojęcia 'zalogował się'.
> Czyli powinni korzystać z czegoś innego niż http.

No ale ciastka wprowadzają sesje.
Zresztą od tej strony patrząc, każda łączność używająca pakietów jest
bezsesyjna - tylko bezpośrednie połączenie telefoniczne komutowane po
miedzianych drutach jest może jakąś sesją. Zresztą, mało to razy wpinało
do takiej rozmowy kogoś "na trzeciego"?
--
Krzysztof Hałasa

do góry