Użytkownik "Piotr Gałka" napisał w wiadomości
Użytkownik "J.F." <j...@p...onet.pl> napisał w wiadomości
>> Ale wiesz - to w zasadzie jakies drobne kwoty.
>> Nie widze calego artykulu - jesli chodzi o offline, to chyba w
>> niewielu miejscach dziala.

>Nie wiem czy dobrze rozumiem. Początkowo (bo wyłączona w kartach
>zabezpieczenie) chyba praktycznie wszystkie paypass były offline.
>Ostatnio ile razy płacę poniżej 50zł to jest pytanie czy zbliżeniowo.
>A

Obsluga pyta czy mozna ? U mnie sie to zdarza od dosc dawna -
wydaje mi sie ze klienci protestowali, ze sie ich karta placi bez
pytania.
No chyba ze wielu bylo swiadomych i mialo zablokowane.

>wczoraj pierwszy raz zdarzyło mi się założenie, że na pewno
>zbliżeniowo i zdziwienie, że nie.

>>> Dlaczego cokolwiek daje się wyczytać z karty jawnie przez NFC?
>> No fakt, dziwne ze tam nie ma jakis zabezpieczen.
>> Z drugiej strony ... to od 50 lat dziala bez zabezpieczen :-)
>
>Ale 50 lat temu raczej trudno było cokolwiek wyczytać z karty
>trzymanej w portfelu w kieszeni.

Ale zeby jej uzyc, trzeba bylo wyciagnac. I nic tam tajnego nie bylo,
jeden numerek i data.

>>> Dlaczego dopiero po tej aferze pojawiła się możliwość zablokowania
>>> tych
>>> niebezpiecznych funkcjonalności?
>
>> No ale z drugiej strony taki tramwaj - lacznosc nie zawsze jest, a
>> bilety sprzedac trzeba.
>
>Przyczepię się do "trzeba" - od dawna tramwaje doskonale działają bez
>konduktorów sprzedających bilety w tramwaju.

We Wroclawiu Mennica czy MPK pozarla sie kioskarzami. No i dystrybucja
biletow gwaltownie spadla.
Sa automaty na przystankach - ale nie wszystkich, bo duze to, drogie,
wymaga zasilania, obslugi, i podatne na kradzieze tez sie okazalo.

No i w trosce o klienta trzeba sprzedawac w tramwaju.

Tak nawiasem mowiac, to kojarze ze przed laty w tramwajach takie
automaty byly. Wrzucalo sie zlotowke lub 50gr, naciskalo duzy przycisk
i bilet sie drukowal.

>>> Dlaczego nie wprowadziły tego od razu wszystkie banki tylko
>>> musiały być
>>> dopiero zmuszone przez KNF?
>
>> Ale o czym mowisz - blokowanie platnosci offline ?
>O ile wiem to KNF zmusił banki do dania klientowi wyboru czy chce
>mieć paypass/offline.
>Nie wiem czy zmusił też do włączenia tego zabezpieczenia, że co
>któraś transakcja jest online.

To akurat bank powinien zrobic w trosce o siebie. Czy tez VISA.
Ale byc moze u nas latwiej przerzucic na klienta i KNF musi
interweniowac.

>Ale powstaje ciekawe zagadnienie. A może wszystkie inne (ten może
>generalnie też - tylko w jednym przypadku ktoś gdzieś czegoś nie
>wpisał) robią to skutecznie i takich transakcji są tysiące tylko nic
>o tym nie wiemy. Kto za to płaci - banki czyli klienci.

VISA narzekala na miliardowe straty w roznych fraudach. Byc moze
dopoki zyski przewyzszaly te straty, to sie nie przejmowali.
Bo po rozwiazaniach widac jak sie przejmuja.

W dodatku jakos dziwnie ta VISA dziala - Francuzi wprowadzili chipy
wieki temu, przeciez musialo to byc za jakas akceptacja amerykanskiej
w koncu VISY.

>>> W tej chwili podejrzewam, że system nie ma skutecznej metody
>>> zablokowania
>>> zgubionych kart. Gdyby miał to przecież ta karta już by nie
>>> działała.
>
>> No bo i jak mialby to zrobic ? Lacznosci nie ma.

>Tabela wszystkich zastrzeżonych kart w każdym terminalu?

Przeciez tego musza byc miliony. I jak to dystrybuowac ?

Swoja droga ... jest tam w ogole jakies zabezpieczenie
kryptograficzne, czy kazdy moze sobie falszywa karte zrobic z
wymyslonym numerkiem ?

>> Owszem, te terminale offline moglyby w miare mozliwosci sprawdzac
>> on-line i ustawic na karcie ze zablokowana.

>Przypuszczam, że jak dochodzi to transakcji on-line to tak się
>dzieje, ale jak karta nie ma ustawionego licznika zmuszającego co
>kilka transakcji do on-line to niby kiedy.

W miare mozliwosci - czyli probujemy zawsze, jak system nie odpowiada
to akceptujemy do licznika, a jak odpowiada, to zapisujemy na karcie
ze zablokowana.

>>> Czy z
>>> tego wynika, że z tej karty ten złodziej będzie sobie jeszcze
>>> przez lata
>>> mógł korzystać (pewnie do terminu ważności karty).
>> Na to wychodzi. A termin coraz dluzszy.
>> No ale to tak od ponad 50 lat dziala :-)
>
>Może 50 lat temu kart było na tyle mało, że mało ich ginęło i każdy
>sprzedawca mógł mieć listę numerów zastrzeżonych i nie było ona za
>długa

A gdzie tam, przeciez to w miare masowe musialo byc, i tych numerow
sporo.
Nawet wyszukanie na liscie 100 troche trwa, no i dystrybucja list
uciazliwa.

Predzej w USA latwo odroznic przestepce od uczciwego czlowieka na
pierwszy rzut oka :-)


J.