eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiOd czego zależy czy jest autoryzacja?
Ilość wypowiedzi w tym wątku: 41

  • 41. Data: 2008-12-19 15:30:12
    Temat: Re: Od czego zależy czy jest autoryzacja?
    Od: Bungiel <d...@g...com>

    On Dec 19, 9:03 am, Olgierd <n...@r...org> wrote:
    > Dnia Thu, 18 Dec 2008 19:30:54 -0800, Bungiel napisał(a):
    >
    > > Z tego co wyczytałem (o ile dobrze zrozumiałem) to karty mbank mają
    > > zablokowaną (przynajmniej na teraz) opcję offline i stąd problemy w
    > > terminalach, gdzie pokazuje się "pin zablokowany" i sprzedawcy często
    > > nie wiedzą co dalej. Nie miałeś takich przygód płacąc tą kartą?
    >
    > Tylko raz musiałem szepnąć sprzedawcy "zielony" ;-) ZTCW to nie wynika z
    > off/on-linowości karty.
    >

    hehe, no właśnie 'wciśnij pan ten zielony i poleci'..
    na forum mbanku ktoś pisał coś takiego (oczywiście nie jestem w stanie
    tego zweryfikować, ale pewnie ktoś na grupie wie o co biega):
    -----
    o to sobie objezalem te karte "od srodka" CVM: 41020203... i 9F17 = 0
    = zablokowany pin. Czyli ewidentnie zostawiono sobie furtke na dodanie
    offline PIN. BARDZO ZLE, ze nie zrobiono tego od poczatku!!! Teraz
    bedzie trudno, bo VIS przeciez jasno mowi, ze PIN wolno zmienic/
    odblokowac tylko w "secure enviroment controlled by issuer". Niewielka
    utrata funkcjonalnosci serwisu, na rzecz pozbycia sie potencjalnych
    problemow w nietypowych konfiguracjach. Znacznie lepsze bylo by tez
    zrezygnowanie z 41 z warunkiem 02 - tu znacznie lepiej jest w kartach
    BZWBK. Przez to "online only" systemy zawsze beda ustawialy flage
    pinpad not present, a 9f17=0 spowoduje zawsze ustawienie flagi "pin
    try counter limit" w systemach tylko offline.
    -----
    No dobrze postaram sie bardziej "po ludzku". Ale w punkatach:
    1. w EMV sposob weryfikacji klienta definiuje karta w postaci listy
    metod i warunkow ich stosowania,
    2. te metody to: offline PIN (podstawowa metoda) - weryfikowany
    lokalnie przez karte, online PIN (tak samo jak dla paska) -
    weryfikowany przez wystawce, podpis i tyle, zeby nie utknac w
    szczegolach,
    3. karta mbank jako pierwszy ma ustawiony offline pin, pozniej online
    pin, pozniej podpis (leciutko upraszczajac, bo dochodza jeszcze
    warunki),
    4. z drugiej strony karta ma ustawiony licznik prob pinu na 0, co
    oznacza zablokowanie offline pin,
    5. dzieje sie tak, bo mbank pozostawil mozliwosc ustawiania pin w
    systemie tansakcyjnym, a tak mozna robic tylko z online pin,
    6. zrobil to nie przez usuniecie metody weryfikacji z listy na karcie,
    a wlasnie przez te blokade pinu, moglo to nastapic z dwoch przyczyn:
    zastosowano typowa personalizacje karty idac po najmniejszej linii
    oporu, albo zostawioo sobie furteczke, na powrot do offline pin, bez
    konecznosci wymiany kart (szczerze chce wierzyc w te wersje!),
    7. teraz czas sie zastanowic czemu tak jest zle... potrzeba nam jest
    kolejna informacja o przebiegu transakcji EMV - wszystkie operacje i
    sprawdzenia skutkuja ustawianiem bitow rejestru zwanego TVR, pozniej
    na podstawie jego wartosci i warunkow narzuonych rownoczesnie przez
    wystawce i akceptanta podejmowana jest decyzja co do przebieu
    transakcji: odmowa offline, akceptacja offline, online. Te warunki
    maja wartosci typowe i wtedy na _na ogol_ jest OK, ale moga one byc
    zaostrzone i wtedy transakcja jest odrzucona. No i rzeczywiscie prawda
    jst, ze terminal powinien potraktowac zablokowany pin milczaco robiac
    swoje - czyli w szczegolnosci odrzucajac taka karte.

strony : 1 ... 4 . [ 5 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1