Użytkownik "Paweł Grajewski" <g...@w...SPAM-PRECZ.pl> napisał w
wiadomości news:afc0rr$dm1$1@news.tpi.pl...
> On Wed, 26 Jun 2002 08:42:07 +0200, WOJSAL <w...@k...net.pl> wrote:
> > Pytanie dotyczy e-karty.
> > Jesli ja podczas placenia e-karta podam jej parametry, to moj odbiorca
(oraz
> > podsluchiwacze w sieci) znaja ja i moga w przyszlosci realizowac
platnosci
> > przy pomocy mojej karty, bez mojej zgody
> > np. gdy trafia na moment, gdy karta jest zaladowana.
>
> Zgadza się.
>
> Ale zwróć uwagę na to, że to jest i tak stosunkowo bezpieczne rozwiązanie.
> W przypadku kart wypukłych nie masz żadnej możliwości
ładowania/rozładowania.

Zgadzam sie ze mozna znalezc rozwiazania gorsze. Ja jednak
szukam rozwiazan najlepszych.
Po prostu za bezpieczne rozwiazanie uwazam takie, w ktorym kupuje
w sklepie prowadzonym przez zlodzieja (a skad moge wiedziec
kim jest prowadzacy sklep?) i poniosze ryzyko jedynie
zwiazane z dana transakcja ale nie z pozstalymi srodkami
na koncie: ani tymi z teraz a ni tymi w przyszlosci.

> Szanse, że złodziej trafi akurat na moment, w którym masz załadowaną
> eKARTĘ, są raczej nikłe.
>

To prawdopodobienstwo bedzie roslo, wraz z liczba osob
znajacych parametry eKarty. A liczba taklich osob bedzie rosla
wraz z czestoscia zakupow.
Ponadto probkowanie eKarty zlodzieje internetowi beda
robili oczywiscie programami - mozna zapuscic
program na cala dobe, ktory testuje ilest tam eKart.
I jak wtedy wyglada takie zaezpieczenie ?



> > Czy w zwiazku z tym nie lepiej byloby, by kazda transakcja byla
poprzedzona
> > autoryzacja? Autoryzacja polegalaby na wyslaniu maila/SMS PRZED
transakcja a
> > nie po. Odeslanie SMS/maila byloby rownoznaczne z autoryzacja
transakcji.
>
> To byłoby trudne do zrealizowania ze względów czasowych.
>
> Czas pomiędzy wysłaniem "SMSa autoryzacyjnego" a odebraniem odpowiedzi
> na niego mógłby przekroczyć czas, jaki sklep, w którym dokonujesz zakupów,
> oczekuje na autoryzację z banku.
>

Niekoniecznie.
Przeciez czas autoryzacji transakcji sklep dostosuje do potrzeb
rynkowych. Nie ma powodu by w typowym sklepie nie
wprowadzic timaout'a na poziomie nawet kilku dni.
(Jak klient zaplaci, wtedy sklep cos tam wysyla).
Natomiast wyslanie zadanie autoryzacji w praktyce
jest porownywalne do czasu wyslania emaila, SMS
- czyli pare minut. Ja zas moge odpowiedziec wtedy, gdy zechce.

Natomiast pieniadze sa caly czas bezpieczne nawet
w transakcjach z przypadkowymi ludzmi (w sieci
zdecydowana wiekszosc konatkow to osoby nieznane),
rowniez na podsluch (jesli transmisja jest kodowana
czy tez moze przez SMS, telefon).



--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914