"prz3c1nak" <m...@t...pl> wrote in message
news:3582.000001dc.43fcb70a@newsgate.onet.pl...
> Witam ponownie
>
>> Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
>> Albo sie w ogole nie reaguje na odwolanie po http,
>
> w tym przykładzie nie chodziło o http, tylko https i długość
> klucza ...
>
Ale JA pisalem o czym innym, wiec polemizujesz, ale nie ze mna :-)

I dalej twierdze, ze, albo sie w ogole nie reaguje na odwolanie po
http
(i tak powinno sie robic, zeby utrudnic phishing,
>> albo daje automatyczne przekierowanie. Jak jest
[...]
>> Zatem slusznie sie oberwalo Multibankowi - w istocie ja
>> odczytalem ten artykul nie jako wskazanie niebezpiecznych
>> rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
>> cos w stylu zasad na bugtraq-u), tylko jako krytyke
>> nieprofesjonalnie prowadzonych serwisow bankowych.

I dalej podtrzymuje powyzsza moja obrone tego - zgoda, nie bardzo
profesjonalnie od strony "redaktorsko-publikacyjnej" napisanego
- artykulu, glownie ze wzgledu na oddzwiek, jaki wywolal.
Jezeli mBank (gdzie totalne informatyczne bzdury wypisuja tacy
decydenci jak mWB, mącąc niezorientowanym w glowach) podjal
dzialania w ciagu *kilku dni*, to jest to naprawde wielka
sprawa :-)

>> > I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
>> > dotyczy dość
>>
>> Jak to selektywnie czytasz :-[
>
> O to się nie martw - przeczytałem bardzo uważnie, jak zawsze.

Nie idzie mi o to, czy czytasz dokladnie, tylko o to, ze z mojej
wypowiedzi wybrales fragment w zasadzie bez znaczenia i tylko na
ten element odpowiadasz :-|
Powinienem byl napisac: "Jak selektywnie odpowiadasz :-["
;-)

>> > Mogę Cię
>> > zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
>> > przykładowy atak
>> > przeprowadzić, to byłby on w dokumencie - możesz być tego
>> > pewnym.
>>
>> Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni
>> byli
>> tego zrobic i dobrze, ze nie zrobili ;-)
>
> A dlaczego nie? niech pokażą jak odszyfrowują SSL2 z długim
> kluczem ... Dane
> osobowe i inne informacje (które przecież mogą należeć do
> jednego z nich)
> zawsze można pozamazywać na zrzutach z ekranu. Taki atak miałby
> sporą wartość
> dydaktyczną, zdecydowanie większą niż ten cały "dokument".

1. Dlatego, ze im tego bez zgody banku nie wolno. Przelamywanie
zabezpieczen
jest niedozwolone niezaleznie od tego, czy i jakie dane sie
ostatecznie
uzyska...
2. Wartosc dydaktyczna dla kogo ? Niedosc zaawansowanych hackerow
?
Dla nikogo innego raczej nie (Tobie, mnie i parudziesieciu gostkom
na tej grupie taki przyklad nie jest potrzebny, inni nie
zrozumieja,
chyba zeby im dac exploit i instrukcje, jak go wykorzystac ;-) ),
wiec
jest to dydaktycznie zupelnie chybione :-|

>
> Własnie na tym polega problem - gdyby autorzy wyjaśnili
> szczegółowo znaczenie
> tego co jest w tabeli, to najpewniej nie byłoby całego szumu, tv
> itd., jednym
> słowem całe to przedsięwzięcie marketingowe mijałoby się z
> celem.

Co prawda tez uwazam (co napisalem we wczesniejszym poscie), ze
powinni
skomentowac, ale dalej juz sie roznimy - podchodzisz do tego
myslac jak
profi, ale w bankach decyduja marketingowcy (rozni mWB itp.).
A jak pewnie wiesz, marketingowcom podczas szkolen dokonuje sie
mentalnej
amputacji 80% mozgu, zeby mysleli tak, jak mysli przecietny
potencjalny
klient, ktorego maja zlowic :-))
Wiec niezaleznie od wartosci merytorycznej zestawien, porownan
itp. z tego
artykulu bankowcy-decydenci wyczytali tylko "moj bank wypadl
gorzej od ..."
i to jest podstawa do wypracowania reakcji.

A jesli reakcja jest, to jestem sklonny odpuszcic autorom, ze na
tym
zbili marketingowy kapital.

Pozdr.

witrak()