"Leszek" <n...@d...spamu.pl> writes:

> Przysłowiowa blondynka i nie zmienię zdania. Scenariusz popularny i
> tylko blondynki i blondyni się nabierają.

Pewnie w tym przypadku tak (5 kodow), ale w ogole to nie jest takie
proste.

> Po pierwsze użytkownik zobowiązany jest używac aktualnego
> oprogramowania, a zarówno IE jak i Firefox czy Opera są wyposażone w
> ochronę przed phishingiem, przekierowaniami, itp.

Niestety nie da sie calkiem ochronic przed takimi rzeczami na tym
poziomie.

> Kolejne - zapewne
> strona, na której podawała kody nie miała certyfikatu (nie było
> symbolu kłódki).

Tak czy owak certyfikat bardzo latwo uzyskac, jesli tylko jest sie
"wlascicielem" danej domeny (w sensie nazwy, oczywiscie zapewne innej
niz mbanku).

Ponadto uzyskanie certyfikatu dla nazwy serwera, ktorej nie jestesmy
wlascicielem, wcale nie musi byc specjalnie trudne. Wystarczy
spojrzec ile roznych firm wystawiajacych certyfikaty jest wpisanych
w dowolna przegladarke (czy gdzie to tam jest wpisane). Ktos
naprawde wierzy ze 100% z nich przestrzega wszystkich (sensownych)
procedur i jest "nie do zlamania"?
Byl znany przypadek wyludzenia certyfikatow dla "Microsoft
Corporation" od Verisign, z innymi wystawcami i innymi (mniej
znanymi) np. nazwami domen powinno byc duzo latwiej.

> Banki wiecznie ostrzegają i piszą jakie elementy muszą być widoczne,
> aby transakcja mogła być uznana za bezpieczną.

Owszem, ale to takze nie wystarczy. Tyle ze oczywiscie trudniej
poradzic sobie z wyludzeniem certyfikatu niz z wyslaniem komus
linka do "alternatywnej" strony banku.

> Koszt wypłacenia
> zapewne ocenili na niższy od szumu.

Pewnie tak, aczkolwiek przy wiekszej ilosci takich przypadkow
to moze nie byc najlepsze rozwiazanie.
--
Krzysztof Halasa