eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.banki[OT] BankonetRe: [OT] Bankonet
  • Data: 2006-08-21 17:16:05
    Temat: Re: [OT] Bankonet
    Od: Jarosław Misztal <p...@p...be> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Stregor napisał(a):
    > Celowo mamy w stopkach słowo "Sokaris", nie wstydzimy się tego :) I nie
    > widzę tu sprzeczności - Jacek napisał że łatwo można sprawdzić że
    > program nie wysyła nic do producenta. To prawda, więc napisał to w
    > dobrej wierze. Jednak w następnym poście poprzeczka "zdrowej paranoi"

    Zakładam, że "to prawda" dotyczy niewysyłania, a nie możności
    sprawdzenia. :-)
    "Przemycić" dane jest bardzo prosto, wystarczy, że program łączy się z
    określonym serwerem. Interesujące dane (login/hasło, dane karty
    kredytowej) to raptem kilkanaście znaków. Przykład?
    Aktualizacje znajdują się na niepozornym serwerze www. Dostęp do zasobów
    zabezpieczony jest "losowym" hasłem. Hasło wysyłane do serwera składa
    się z danych klienta (np. dane z karty kredytowej) i jakiegoś ich
    skrótu. Serwer sprawdza poprawność skrótu i na tej podstawie udostępnia
    zasoby.
    Zawsze można też zaszyć w programie "dodatkową funkcjonalność" np.
    zrobienie przelewu za rok. Są banki, w których wykonywanie operacji
    przez internet potwierdzane jest tylko stałym hasłem.

    > Jak to co? sprawę o odszkodowanie na 100% by Pan wygrał mając dowody
    > przestępczej działalności programu, nie wspominając o odpowiedzialności
    > karnej

    Nie wnikajmy co bym wygrał w sądzie. Istotne jest, czy byłoby z czego
    "ściągnąć" odszkodowanie. Firma robiąca taki "numer" zapewne okazałaby
    się firmą bez majątku, wszystko wynajęte.

    [...]
    Samo udowadnianie istnienia procedury wysyłającej dane służyłoby
    powiązaniu producenta z faktem zniknięcia pieniędzy celem uzyskania
    odszkodowania odeń. Nie jestem aż takim optymistą, by liczyć na
    odzyskanie pieniędzy od zleceniodawcy lub adresata przelewu.

    > Oczywiście, mam nadzieję że wszyscy czytelnicy tego wątku zdają sobie
    > sprawę że nasze dywagacje mają charakter czysto teoretyczny. Paranoja na
    > pewnym poziomie też jest wskazana i zdrowa. W końcu hasła się chroni i
    > nikomu nie podaje. Ale z paranoją też nie można przesadzać - najsłabszym
    > ogniwem i tak zwykle jest pojedynczy człowiek, więc aż strach pomyśleć
    > co może zrobić taki na przykład pracownik banku który ma dostęp do
    > wszystkich kont klientów oddziału na których leżą naprawdę konkretne
    > pieniądze. Idąc tym tokiem rozumowania pozostaje jedynie skarpeta :)

    Skarpetę też łatwo stracić (pożar, kradzież), nawet śladu nie będzie. :-)

    W zasadzie ten wątek powinien już dawno temu zakończyć się
    stwierdzeniem, że bezpieczeństwo używania tego rodzaju oprogramowania
    opiera się jedynie na założeniu, iż jego producentowi bardziej się
    opłaca kontynuowanie dotychczasowej działalności (produkcja
    oprogramowania) niż efektowne (i efektywne) jej zakończenie. Czy jest to
    "jedynie", czy "aż", to już zależy od konkretnego przypadku.

    Pozdrawiam
    Jarek

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1