Użytkownik "AMRA" <a...@a...com> napisał w wiadomości
news:afkgos$e3i$1@news.onet.pl...
> Oj Wojsal, Wojsal. Twoje propozycje sa dla mnie troszeczke....
>
> Chcesz jakiegos maila do potwierdzeni... a moze lepiej telefon?? Maile sa
> trzymane jakby nie patrzec na serwerach zewnetrznych, z ktorych musisz je
> sciagnac - iuwazasz to za bezpieczny sposob??? Bo ja nie.
>

Moze byc i mail, i telefon i ... - patrz nizej.

Wprzypadku wariantu (jednego z wielu) autoryzacji
opartej na mailu:
1) zlodziej musialby znac adres mojego maila transakcyjnego
2) musialby znac haslo na tego maila
3) w celu potwierdzenia transakcji musialby
kliknac w link bedacy w mailu, a z kolei ja
moglbym zastzrec, ze klkniecie w link moze
byc z pewnej ustalonej puli IP, o dopuszczalnej porze,
w dopuszcalne dni (tygodnia, miesiaca)
4) poza tym po klknieciu w link musialby
podac haslo (unikalne czy stale - rzecz do dyskusji)
A wiec musialby sie troche napocic.


Z punktu widzenia klienta autoryzujacego transakcje
sprawa jest banalna:
1) czytam maila
2) klkam w link (jestem oczywiscie w dopuszczalnej puli IP)
3) podaje jakies haslo
To wszystko. Zadnych kwot nie wpisuje, nie podaje zadnych
kont sklepu itp

Zdefiniowanie odpowiedniego profilu bezpieczenstwa przez
klienta jest banalne. Naprawde, uwierz w to:)

> Poza tym ty piszesz cos o 1000 transakcji i ze sklep bedzie na cos czekal.
> Ale pomijasz bnardzo istotny fakt - wszystko idzie do przodu jednego dnia
> masz 1000 ale nastepnego zniowu 1000 - wszystko odwleka sie w czasie.
> Czekasz na rozliczenie, towar jest pakowany (bo musi byc wyslany), ale nie
> ma potwierdzenia. A nie ma, bo np, komus dostep do itnernetu sie popsul,
> albo zawirusowal mu sie komputer - albo cokolwiek (wlamal mu sie kots na
> pocztw w Interii ;).

Tu oczywiscie poruszyles istotny problem Problem obslugi
z punktu widzenia sklepu.
Rezcz wyglada tak:
1) skladam zamowienie w sklepie na towary
2) sklep blokuje te towary dla mnie na okreslny czas
(chyba pare godzin - ale to zalezy od branzy)
3)jesli w ciagu paru godzin autoryzuje transakcje,
sklep pakuje mi towar i wysyla (peiniadze ma dzisiaj lub jutro)
jesli zas w zadanym okresie czasu nie autoryzuje transakcji
sklep zwlania towar i anuluje zamowienie
To glowna idea. Wymaga omowienia szczegolow, ale
sa to rzeczy do zalatwienia.


?
>
> Czy naprawde karta wirtualne z zabezpieczeniem takim, ze jesli przychodzi
> zapytanie kiedy konto jest puste- zostaje blokowane lub odpowiednio
> zabezpiecznone, jest dla Ciebie zle???
>

Tak.Pomysl przez chwile.
Obecnie zakupy w Internecie to egzotyka. Rzadko sie
kupuje, rzadko laduje sie e-karte. Wraz z postepem w e-handu,
bedzie sie coraz czesciej kupowalo, coraz czesciej trzeba
bedzie ladowac e-karte. To rodzi nastepujace wady:
1) jest to niewygodne (zamiast od razu kupowac, trzeba najpierw
logowac sie gdzies tam, dokonac przelewu na subkonto)
2) e-karta coraz czesciej bywa naladowana, a wiec
coraz czesciej pieniadze sa dotepne dla calego swiata
Moje rozwiazanie zas prowadzi do wariantu, w ktorym
Ty karty nie musisz ladowac - a pieniadze sa caly czas
bezpieczne. To naprawde takie zle, to zla idea?


>
> Wyobraz sobie, ze wiekszosc osob chce kupowac szybko - i system jaki jest
> teraz - czyli aurpotyzacja i wysylka -= jest najlepszy.
>

Jak bedziesz chcial szybko kupic np.3 razy dziennie (nieplanowane
zakupy, ale trafila sie okazja) to bedziesz musial 3 razy dziennie
karte zaladowac. Znacznie szybciej i wygodniej kupuje sie,
gdy e-karta jest caly czas zaladowana. No i oczywisie
przy zalozeniu ze pieniadze sa caly czas bezpieczne.
Zgadza sie?


>
> Prosta zasada - nie podoba Ci sie - nie musisz korzystac - mozesz isc do
> sklepu, gdzie obslugje Inteligo i juz - jesli uwazasz to za sprawdzony
syste
> m.
>
> a pomysl wysylania na maila - jest glupi. Powinienes zamienic na
autoryzacje
> kazdorazowa telefoniczna i tyle. (zauwaz prosze, ze przy wiekszych
wydatkach
> z karty dzwonia do Ciebie,m czy wszystko jest ok... :)
>

Chyba nie doceniasz mnie.
Ja widzialbym na normalnym e-koncie autoryzacje przez:
1) telefon na zadany numer
2) SMS na zadany numer
3) email z linkiem do zatwierdzenia z dopuszczalnej puli IP
4) osobity podpis w oddziale banku
Do tego dochodza ograniczenia na pore autoryzacji, dopuszcalne
telefony, adresy IP itp
A klient mialby prawo wybrac sobie dowolna kombinacje
w/w metod. Oprocz tego powinna byc
przypisany limit kwoty od ktorej stosowac
dana metode autoryzacji.
Jesli na koncie masz 500 zlotych nie
ma sensu np. stosowania autoryzacji nr 4. Ale
jesli na koncie masz 500.000 zlotych wowoczas
wariant 4 - lekko niewygodny - jest godny
rozwazenia przy wiekszych transakcjach. Prawda?

A tak swoja szosa, ciekawy jestem jakbys przezywal
gdybys kupowal np. samochod przez e-karte. Ladujesz
tam te marne 30.000 zlotych na krotko, na pare minut
tylko. I w tym momencie Twoj Windows sie zawiesil
- a wiec Twoja naladowana e-karta jest dostepna
nie przez 5 minut, ale przez 10 minut. Mysle
ze mialbys niepowtarzalne przezycia:)



A mowiac powazniej.
Innymi slowy jest tu wiele do zrobienia, a fakt
ze nie dostrzegasz lepszych rozwiazan od obecnych
nie musi oznaczac ze tych lepszych rozwiazan nie ma,
ze nie warto szukac lepszych rozwiazan.

Tak na marginesie: zamiast zachwycac sie obecnym
stanem bezpieczenstwa, zainteresuj sie jakie
rozwiazania stosuje sie na swiecie. Bo poki co,
Polska nie jest prekursorem rozwiazan internetowych,
lecz probuje dogonic swiat cywilizowany. Rowniez
w e-bankowosci, e-handlu itp



--
Pozdrawiam
WOJSAL (Wojciech Sałata)
Strona domowa: http://www.wojsal.prv.pl/
Gadu-Gadu: 311984
ICQ: 20466914