Dnia Mon, 08 Jul 2013 19:54:16 +0200, osa napisał(a):

> Mieli zapisać limity ale miejsca na karcie brakło, bo musieli
> zarezerwować na listę ostatnich transakcji ;) Fakt, że na karcie jest
> też lista ostatnich X transakcji to takie moje wczorajsze odkrycie przy
> zabawie z kartami EMV. Trochę dziwi, że karty chętnie dzielą się z
> każdym zainteresowanym różnymi danymi dot. użytkownika - oczywiście dane
> te są jawne i można je odczytać każdym czytnikiem kart chipowych. Wszak
> zapisanie szczegółów ostatnich 10 (i więcej) transakcji czemuś służy
> (ktoś wie czemu?). A co do limitów ilościowych to bywa że są ustawione 3
> szt. dla terminali online, ale jak terminal jest offline to 5 sztuk
> karta chętnie obsłuży bez marudzenia.
>
> Zgłębiam jeszcze tajniki negocjacji sposobu autoryzacji transakcji i
> wnioski też nie są zbyt optymistyczne: mimo, że można wymusić aby PIN
> między terminalem i kartą był szyfrowany to banki z jakiegoś powodu
> 'proponują' terminalowi przesłanie go w sposób jawny, nawet jeśli
> obsługuję on metodę szyfrowaną. A fakt, że taką transmisję można
> stosunkowo łatwo podsłuchać... no ale przecież to użytkownik odpowiada
> za transakcje z użyciem PINu.
>
> No ale to na razie początek mojej analizy danych z kart emv więc na
> razie nie będę siał (większej) paniki ;)

Niecierpliwie czekamy na dalsze ustalenia :)

--
Pozdrowienia,
Krzysztof
(dawniej używający nicka 'Chris')