-
41. Data: 2008-12-19 15:30:12
Temat: Re: Od czego zależy czy jest autoryzacja?
Od: Bungiel <d...@g...com>
On Dec 19, 9:03 am, Olgierd <n...@r...org> wrote:
> Dnia Thu, 18 Dec 2008 19:30:54 -0800, Bungiel napisał(a):
>
> > Z tego co wyczytałem (o ile dobrze zrozumiałem) to karty mbank mają
> > zablokowaną (przynajmniej na teraz) opcję offline i stąd problemy w
> > terminalach, gdzie pokazuje się "pin zablokowany" i sprzedawcy często
> > nie wiedzą co dalej. Nie miałeś takich przygód płacąc tą kartą?
>
> Tylko raz musiałem szepnąć sprzedawcy "zielony" ;-) ZTCW to nie wynika z
> off/on-linowości karty.
>
hehe, no właśnie 'wciśnij pan ten zielony i poleci'..
na forum mbanku ktoś pisał coś takiego (oczywiście nie jestem w stanie
tego zweryfikować, ale pewnie ktoś na grupie wie o co biega):
-----
o to sobie objezalem te karte "od srodka" CVM: 41020203... i 9F17 = 0
= zablokowany pin. Czyli ewidentnie zostawiono sobie furtke na dodanie
offline PIN. BARDZO ZLE, ze nie zrobiono tego od poczatku!!! Teraz
bedzie trudno, bo VIS przeciez jasno mowi, ze PIN wolno zmienic/
odblokowac tylko w "secure enviroment controlled by issuer". Niewielka
utrata funkcjonalnosci serwisu, na rzecz pozbycia sie potencjalnych
problemow w nietypowych konfiguracjach. Znacznie lepsze bylo by tez
zrezygnowanie z 41 z warunkiem 02 - tu znacznie lepiej jest w kartach
BZWBK. Przez to "online only" systemy zawsze beda ustawialy flage
pinpad not present, a 9f17=0 spowoduje zawsze ustawienie flagi "pin
try counter limit" w systemach tylko offline.
-----
No dobrze postaram sie bardziej "po ludzku". Ale w punkatach:
1. w EMV sposob weryfikacji klienta definiuje karta w postaci listy
metod i warunkow ich stosowania,
2. te metody to: offline PIN (podstawowa metoda) - weryfikowany
lokalnie przez karte, online PIN (tak samo jak dla paska) -
weryfikowany przez wystawce, podpis i tyle, zeby nie utknac w
szczegolach,
3. karta mbank jako pierwszy ma ustawiony offline pin, pozniej online
pin, pozniej podpis (leciutko upraszczajac, bo dochodza jeszcze
warunki),
4. z drugiej strony karta ma ustawiony licznik prob pinu na 0, co
oznacza zablokowanie offline pin,
5. dzieje sie tak, bo mbank pozostawil mozliwosc ustawiania pin w
systemie tansakcyjnym, a tak mozna robic tylko z online pin,
6. zrobil to nie przez usuniecie metody weryfikacji z listy na karcie,
a wlasnie przez te blokade pinu, moglo to nastapic z dwoch przyczyn:
zastosowano typowa personalizacje karty idac po najmniejszej linii
oporu, albo zostawioo sobie furteczke, na powrot do offline pin, bez
konecznosci wymiany kart (szczerze chce wierzyc w te wersje!),
7. teraz czas sie zastanowic czemu tak jest zle... potrzeba nam jest
kolejna informacja o przebiegu transakcji EMV - wszystkie operacje i
sprawdzenia skutkuja ustawianiem bitow rejestru zwanego TVR, pozniej
na podstawie jego wartosci i warunkow narzuonych rownoczesnie przez
wystawce i akceptanta podejmowana jest decyzja co do przebieu
transakcji: odmowa offline, akceptacja offline, online. Te warunki
maja wartosci typowe i wtedy na _na ogol_ jest OK, ale moga one byc
zaostrzone i wtedy transakcja jest odrzucona. No i rzeczywiscie prawda
jst, ze terminal powinien potraktowac zablokowany pin milczaco robiac
swoje - czyli w szczegolnosci odrzucajac taka karte.