Dnia Fri, 29 Apr 2016 20:12:44 +0200, Krzysztof Halasa napisał(a):
> "J.F." <j...@p...onet.pl> writes:
>> Bo to moze byc w praktyce lepsze rozwiazanie niz QR-kod czy inne
>> podobne rozwiazania.
>> Niewrazliwe na oswietlenie, male ekrany itp.
>
> QR kod działa w praktyce bezproblemowo.

Probowales z roznymi urzadzeniami, w roznych warunkach ?

>> Chodzilo mi o to, ze dane z banku do tokena moga byc przekazane przez
>> USB.
> Ta koncepcja mi się nie podoba :-)
>
>> Zamierzam tak przekazac to samo co QR kodem - czyli i on moze byc
>> niebezpieczny.
> Nie, skaner QR kodu jest prosty, stosy np. WiFi, GSM, TCP/IP itd. takie
> nie są.

Jak sam skanera nie pisales, to nie wiesz co zawiera :-)
A jak chcesz sprawdzac, to mozesz i stos sprawdzic :-)

No chyba, zeby kupic osobny modul z jakims prostym interfejsem.
Ale przeciez jeszcze wyzsza warstwa programu moze byc wrazliwa - atak
w stylu SQL Injection ...

>> Tzn zakladam nieslusznie ze bank wie co sie dzieje w jego urzadzeniu -
>> ale to dotyczy tak samo dzialania USB, jak i dekodowania i obslugi QR
>> kodu :-)
> USB ma jeszcze tę dodatkową wadę, że zmusza użytkownika do ufania
> bankowemu tokenowi. Skąd wiadomo, jako co się ten USB przedstawi, i co
> każe zainstalować. Kamera tego nie zrobi.

No ale komus trzeba w koncu ufac. Komu, jesli nie wlasnemu bankowi ?

> Poza tym tablety, kioski bez dostępu do USB itd.

Logowac sie do banku z nieznanego kiosku ? Hm ....

>> kradziez tokena i podstawienie falszywego bank tez powinien
>> przewidziec czy wystarczy zapis, ze klient jest zobowiazany
>> przechowywac w bezpiecznym miejscu, tzn co najmniej w sejfie klasy 7 ?
>> :-)
>
> Kradzież - PIN przy starcie tokena.
> Fałszywy bank - podpis cyfrowy komunikatu dla tokena.

Token falszywy. Kradna ci token, ale podstawiaja falszywy.
Wpisujesz w niego pin, a on przez radio nadaje cyferki

> Wszystko powinien przewidzieć.

No, jest to jakas koncepcja prawna.
Ale co - bank jest zawsze winny, a klient ma nieogranicza
nieodpowiedzialnosc ?

J.