Łukasz Cielecki napisał(a):

> Czy takie coś zwiększyło by bezpieczeństwo? Któż to wie... :) Mam
> wrażenie, że w pewnych momentach mogłoby nawet zmniejszyć. Dla
> przykładu: mamy sesję z bankiem, a jakiś wredny typ urządza atak typu
> man in the middle. Po wpisaniu kodu wysyła on do naszej przeglądarki
> jakąś informację o błędzie po czym sam realizuje własną transakcję na
> tym kodzie jednorazowym. Teraz:

Mylisz się.
Jeśli udałoby się komuś przeprowadzić atak typu man in the middle to nie
ma znaczenia czy bank pyta 2 razy o ten sam kod czy nie. I tak będziesz
na straconej pozycji - dostanie poprawny kod a tobie wyświetli cokolwiek ;-)

Bardziej prawdopodobny scenariusz - trojan !

> Scenariusz 1: bank pyta o ten sam kod 2 razy - przy próbie powtórzenia
> operacji od razu widać, że coś jest nie tak bo jeśli nasz kod został
> wykorzystany to pytanie o kolejny będzie dla nas sygnałem, że jednak
> jakaś operacja została wykonana.
>

No i już wiesz, że zostałeś okradziony - kod został przechwycony i może
być użyty bo następnym bank się o niego spyta.

> Scenariusz 2: bank nie pyta 2 razy o ten sam kod - przy próbie
> powtórzenia dostajemy pytanie o kolejny. A co się stało z poprzednim?
> Nie wiadomo i może byc problem z ustaleniem (bo działalność wrednego
> typa wcale nie musi być tożsama z jakąś operacją w historii rachunku -
> może to być np. odblokowanie kanału dostępu, który później będzie użyty
> do niecnych celów).

A jaki został wysłany do banku przy twojej operacji ? Nie ma znaczenia -
kolejnego atakujący jeszcze nie zna.

Pozdrawiam