eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankiCiekawe orzeczenie - bank ma oddać kasęRe: Ciekawe orzeczenie - bank ma oddać kasę
  • Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!news.cyf-kr.edu.pl!news.nask
    .pl!news.nask.org.pl!not-for-mail
    From: Krzysztof Halasa <k...@p...waw.pl>
    Newsgroups: pl.biznes.banki
    Subject: Re: Ciekawe orzeczenie - bank ma oddać kasę
    Date: Mon, 28 Mar 2016 23:02:18 +0200
    Organization: NASK - www.nask.pl
    Lines: 35
    Message-ID: <m...@p...waw.pl>
    References: <a...@n...neostrada.pl>
    <8...@a...kjonca>
    <a...@o...wsisiz.edu.pl>
    <ncm5tl$71s$1@node2.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <ncm7sf$8rn$1@node2.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <ncmagg$glt$1@node1.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <ncmr5m$2ib$1@node1.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <ncmvcr$b5$1@node2.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <ncn3mn$b79$1@node1.news.atman.pl>
    <a...@o...wsisiz.edu.pl>
    <m...@p...waw.pl>
    <a...@o...wsisiz.edu.pl>
    <m...@p...waw.pl>
    <a...@o...wsisiz.edu.pl>
    <a...@o...wsisiz.edu.pl>
    NNTP-Posting-Host: nat.piap.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit
    X-Trace: pippin.nask.net.pl 1459198941 21945 195.187.100.13 (28 Mar 2016 21:02:21
    GMT)
    X-Complaints-To: abuse ATSIGN nask.pl
    NNTP-Posting-Date: Mon, 28 Mar 2016 21:02:21 +0000 (UTC)
    Cancel-Lock: sha1:9Ty8gnyGc0U3y6KkU571e7hUSi4=
    Xref: news-archive.icm.edu.pl pl.biznes.banki:621640
    [ ukryj nagłówki ]

    Rafal Jankowski <j...@o...wsisiz.edu.pl> writes:

    > Inna sprawa, że w wersji z tokenem, który ma kamerkę i tą kamerką
    > zczytuje kod QR z zawirusowanego systemu też mamy problem tego typu,
    > że na tym tokenie musi być aplikacja zaufana, więc jak bank nie jest
    > zaufany to mamy dokładnie ten sam problem. Pewnie i to da się jakoś
    > rozwiązać, ale mi się już chyba nie chce kombinować, bo ja tu miałem
    > być od czepiania się a nie od podawania rozwiązań.

    Jeśli nie ufamy bankowi, to niestety problem jest nierozwiązywalny -
    przynajmniej do momentu, w którym sami jesteśmy w stanie zbudować sobie
    system do podpisywania zleceń. Ale to nie jest nasz aktualny problem.

    Zakładamy, że bankowi możemy jednak ufać. To m.in. dlatego nie wymagamy
    od klienta bezpiecznego podpisu cyfrowego, a jedynie jakieś tam kody
    autoryzujące.
    Bank może dać nam (klientowi) bezpieczne urządzenie (token), który
    będzie wyświetlał nam na ekranie szczegóły zlecanej właśnie operacji,
    oraz (w przypadku akceptacji) będzie informował bank, np. wyświetlając
    kod jednorazowy, który wklepiemy w przeglądarkę. To jest rozwiązanie
    bezpieczne (wystarczająco).

    Jeśli coś takiego będziemy mieć w np. telefonie, albo w ogóle w pececie,
    to niestety nie będzie to bezpieczne, ponieważ na tych urządzeniach
    instalujemy nie wiadomo jaki soft, i nie możemy mieć do nich żadnego
    zaufania. TPM ani nic podobnego też nam go nie zapewni. Musimy mieć
    urządzenie, na którym w praktyce nie można nic zainstalować, najlepiej
    odporne na zanurzanie w wodzie, na upadki na podłogę itd.

    Stąd (często wykorzystywana) koncepcja kamery z kodem QR, trzeba jedynie
    zadbać by program czytający QR przypadkiem nie wykonał tego, co
    przeczyta (a tylko wyświetlał to, liczył odpowiednie m.in. hashe
    i generował odpowiedź).
    --
    Krzysztof Hałasa

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1