Użytkownik "witrak()" <w...@h...com> napisał w wiadomości
news:jbo65h$bue$1@srv.cyf-kr.edu.pl...

>> Nie widzę nic specjalnie ryzykownego w automatycznej synchronizacji.

> W granicach wąskiego przedziału (1 cykl na parę miesięcy) to
> rzeczywiście nie. Ale wyobraź sobie trojana, który w twoim
> komputerze opóźnia wysyłanie hasła. Przy automatycznej
> synchronizacji po kilkunastu przelewach trojan ma już
> zaoszczędzone całe jedno hasło, co jednak zauważyć jest dość
> trudno. Wtedy czeka na wysokie saldo i wykonuje ten jeden przelew
> bez możliwości zauważenia go przez użytkownika (tuż po wylogowaniu).
>
Nie wiem, czy zegar służy tylko do logowania, czy też do haseł (może kiedyś
sprawdzę).
Jakby nawet też do haseł to trojan nie ma żadnego dodatkowego hasła (ilość
jest ta sama).
Po podaniu przez użytkownika ostatniego hasła trojan musi udać dla
użytkownika, że operacja się udała (wykonać jej nie może, bo potrzebuje tego
hasła dla siebie) a potem korzystając z tego hasła wykonać swoją operację.
Ale taka możliwość nie jest skutkiem automatycznej synchronizacji.
Jak zakładamy obecność trojana, to powyższe jest równoważne udaniu dla
użytkownika, że się zrobiło to co chciał i wykonaniu w tym samym czasie
swojego przelewu.
Automatyczna synchronizacja w żaden sposób nie ułatwiła według mnie zadania.
W opisie digipassa było coś, że producent dostarcza jakąś aplikację - nie
wiem, czy autoryzacje nie są w ogóle robione za pośrednictwem ich serwera.
Kwestie obsługi zegarów byłyby wtedy załatwiane przez serwer producenta.
P.G.