Miroo napisał(a):
> Użytkownik "Cyneq" <c...@n...com> napisał w wiadomości
> news:e7tpvk$ivd$1@nemesis.news.tpi.pl...
>
>> Robię kawałek programu, który "udaje" bank lokalnie (trzeba tylko
>> nieco oszukać przeglądarkę co do adresu i obecności certyfikatu).
>> Zbieram hasła jednorazowe (np. z listy mbanku) przez jakiś czas. Przy
>> zrobieniu jednego przelewu gość się nie zorientuje że saldo mu się
>> naprawdę w banku niezmieniło, a mam w ręku hasło które mogę użyć (z
>> punktu widzenia mbanku "pierwsze ważne z listy").
>
> Tak to działa w mBanku?
> W Pekao SA system banku losowo wskazuje nr kodu na liście który (kod)
> trzeba podać. To jest pewne utrudnienie bo:
> - musisz zażądać na swojej atrapie strony kod o jakimś konkretnym numerze
> - jak masz szczęście, to nie będzie on jeszcze zużyty, jeśli nie masz
> szczęście to właściciel konta dzwoni do banku, że go proszą drugi raz o ten
> sam numerek i sprawa wychodzi szybko na jaw.

No własnie mbank leci po kolei.
Dlatego metoda z atrapą może zadziałać. Przechwycony kod jest jak
najbardziej do użycia przy najbliższej transakcji.


> - potem musisz tyle razy inicjować wykonanie przelewu, aż w końcu
> bank trafi w twój numerek
> Wszystko oczywiście wykonalne, ale sprawa robi się bardziej upierdliwa
> i mniej pewna (element losowy zużyty-niezużyty).

Też mi się ta wersja bardziej podoba, jest trochę lepsza. Sprowadza się
to w zasadzie do metody "zapytanie-odpowiedź" chociaż z mniejsza ilością
kombinacji niż np. 6 cyfrowy token.

--
Cyneq