Wojciech Bancer <p...@p...pl> writes:

> Namawiam byś poza wiedzą teoretyczną z zakresu "jak zrobić czytnik
> na kilometr" oszacował również ryzyko.

Ryzyko czego?

> Wiesz, ja też znam świetny sposób na zdobycie kasy. Idziesz do
> kolektury lotto, skreślasz właściwe numery i zostajesz milionerem.
> Dużo prostsze i dużo mniej ryzykowne, czyż nie?

Trudno porównać ryzyko nie wiedząc czego dotyczy.
Natomiast prawdopodobieństwo sukcesu masz "nieco" gorsze.

>> Limit w najgorszym przypadku powoduje, że transakcja się nie uda.
>
> Czyli rozumiem, jesteś również ekspertem i masz wiedzę od tego co ma
> zaszyte/nie ma zaszyte w sobie oprogramowanie terminala?

A coś konkretniej? Czego spodziewasz się po terminalu, że Cię aresztuje,
czy wybuchnie? Czy trzeba być wielkim ekspertem by wiedzieć, że jeśli
transakcja się nie uda, to będzie nieudana? Nic się tu więcej nie
stanie, z niezwykle prostej przyczyny - transakcje NFC nie są z natury
rzeczy 100% pewne i niepowodzenie (na niskim poziomie) jest normalne.

>> Poza tym, limit przestaje być problemem jeśli "w zasięgu" jest więcej osób,
>> i/lub jeśli jest więcej niż jeden "atakujący".
>
> Powątpiewam. Zwłaszcza jak w tym momencie terminal ładnie poprosi o
> PIN.

Można tak zrobić by nie mógł (dokładne szczegóły są publicznie
dostępne). Ale nawet jeśli poprosi, to co z tego? W najgorszym przypadku
transakcja nie dojdzie do skutku.

> A już to "więcej niż jeden atakujący" to w ogóle ślicznie wygląda
> w kontekście synchronizacji, organizacji, użycia gotowego oprogramowania,
> przełączania i na koniec - opłacalności tego wszystkiego.

Tak tak, to już wiemy. I to jest ta gwarancja bezpieczeństwa.

> No to mamy Twoje zdanie vs. zdanie eksperta z Master Carda.
> Sorry, ale jemu wierzę bardziej.

To nie jest kwestia wiary, ale prostej analizy publicznie dostępnych
obiektywnych informacji. Jedyną sprawą, którą być może musisz brać "na
wiarę", jest kwestia zasięgu większego niż standardowy (ale też
niewielki dodatek wiedzy z zakresu RF wystarczy byś nie musiał nikomu
wierzyć).

> Ubezpieczycielom też, skoro
> bardzo nisko (kwotowo) wyceniają ryzyko od takich zdarzeń.

Ubezpieczyłeś się, czy może wykupiłeś "ubezpieczenie" w banku wydawcy
karty? Bo to jest drobna różnica :-)

> A co jak co, to eksperci od ubezpieczeń znają się na szacowaniu
> ryzyka, czyż nie?

Jasne. Podaj jakieś szczegóły tego ubezpieczenia.

> A skąd wiesz? Znasz reakcję oprogramowania terminala?

Reakcję na niedostępność karty? Jasne, sam możesz przecież łatwo
sprawdzić. Naprawdę nie musisz tu nikomu wierzyć.
--
Krzysztof Hałasa