Dnia czw, 17 sty 2002 at 19:52 GMT,
Tomasz Ostrowski <t...@s...mimuw.edu.pl> napisał(a):
> Włamywacz może wysłać do użytkownika przelew z odpowiednio
> spreparowanym tytułem. Kiedy użytkownik wyświetli swoją listę
> operacji z tym przelewem, jego przeglądarka wykona skrypt
> przygotowany przez włamywacza. Skrypt odczyta 'memory cookie' z
> danymi sesji użytkownika i wyśle je na serwer włamywacza, na którym
> jakiś program je odczyta i połączy się z serwerem mBanku udając
> przeglądarkę użytkownika. Program taki może odczytać wszystkie dane z
> kont użytkownika (saldo, listę operacji itp.) oraz wysyłać
> zdefiniowane przelewy.

Niekoniecznie

1-to że przeglądarka to umożliwia nie znaczy że serwer to przyjmie
(weryfikacja jest na poziomie przeglądarki i na poziomie serwera)
trzeba by po prostu zdefiniować taki przelew mbank<->mbank
2-to że mbank w swoich wewnetrznych transakcjach to umożliwia to nie
znaczy że przejdzie taki numer eliksirem

Ale nie zmienia to faktu że tak być nie powinno.

--
------------------------------
Jurek