Użytkownik n...@o...pl napisał:
>>A skad niby system ma wiedziec, ze wpisales haslo, jesli go do systemu
>>nie wystalas potwierdzajac dane z formularza? Wszystko jest dobrze.
>>
>>Co do przechwytywania tego typu danych, to przechwytujacy musialby miec
>>nieskonczona cierpliwosc, liczac na to ze kiedys przypadkiem sie
>>cofniesz. Takie polowanie na czyjas kase zupelnie sie nie oplaca, tym
>>bardziej, ze przechwytujacy dane musialby stale obserwowac Twoje
>>dzialania i byc bardzo szybki, zeby zlecic przelew zanim Ty potwierdzisz
>>swoj. No, chyba ze przy kazdym przelewie wpisujesz kod i zanim
>>potwierdzisz transakcje cofasz sie do poprzedniej strony. W co mimo
>>wszystko watpie.
>
> nie bardzo zrozumiales dyskusje.

Zrozumialem, zrozumialem.

> chodzi o to ze bez problemu mozna napisac automat siedzacy na proxy, ktory
> przechwyci haslo jednorazowe a nastepnie zamknie Ci sesje _uniemozliwiajac_
> wykonanie przelewu.

OK.

> potem to haslo moze wykorzystac, ze wzg. na zle skonstruowany system
> transakcyjny mbanku, ktory spyta o nie raz jeszcze.

Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
wiedziec, ze je podales? Jasnowidz, czy co? Jesli Ci proxy uwali sesje,
to haslo do banku nie dojdzie i bedzie dla banku mialo flage "nastepne w
kolejnosci".

Czy jesli uwali Ci sie sesja podczas wykonaywania przelewu dajesz sobie
spokoj, czy probojesz jeszcze raz? Sadze ze prawdziwa jest odpowiedz nr
2. W tej sytuacji przechwytujacy ma bardzo malo czasu na wykorzystanie
hasla, wobec czego musialby caly czas Ciebie kontrolowac.

Jesli bedzie Ci uwalal kazda sesje, to bardzo szybko dojdziesz do
wniosku ze z firmy nie da sie zlecic przelewu i przestaniesz tego probowac.

> ja pracuje w duzej miedzynarodowej korporacji i wiem ze u nas takie rzeczy sa
> praktycznie nie mozliwe, ale w malych firemkach - kto wie...

I co proxy wpuszcza Cie do banku? ;-)

> nie trzeba na nic czekac ani miec cierpliwosci.

IMHO trzeba.

Bartol