On Mon, 05 May 2003 11:20:46 +0200, Bartol Partol <b...@p...c>
wrote:


>> nie bardzo zrozumiales dyskusje.
>Zrozumialem, zrozumialem.
Oj - chyba nie do konca ;)

>Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
>wiedziec, ze je podales? Jasnowidz, czy co? Jesli Ci proxy uwali sesje,
>to haslo do banku nie dojdzie i bedzie dla banku mialo flage "nastepne w
>kolejnosci".
Nie chodzi o to, czy je podales, ale oto ze bank zazadal i ono nie
doszlo. Wiec drugi raz juz nie pyta o to samo, tylko o kolejne. Haslo
powinno sie "zuzyc" w momencie gdy bank o nie PYTA, a nie dopiero gdy
ono dochodzi.

>Czy jesli uwali Ci sie sesja podczas wykonaywania przelewu dajesz sobie
>spokoj, czy probojesz jeszcze raz? Sadze ze prawdziwa jest odpowiedz nr
>2. W tej sytuacji przechwytujacy ma bardzo malo czasu na wykorzystanie
>hasla, wobec czego musialby caly czas Ciebie kontrolowac.
Uwale ci sesje, a potem zarzuce jakis blad, ze pomyslisz ze bank
umarl. Moge zrobic tez DNS spoofing i zrobic strone "chwilowo
nieczynne, przepraszamy"

>Jesli bedzie Ci uwalal kazda sesje, to bardzo szybko dojdziesz do
>wniosku ze z firmy nie da sie zlecic przelewu i przestaniesz tego probowac.
Po co "kazda"? Wystarczy jedna.

>IMHO trzeba.
IMO nie trzeba ;>

Grzegorz