n...@o...pl writes:

> > Użytkownik n...@o...pl napisał:
>
> > Jeszcze raz powtarzam, jesli nie wyslesz hasla do banku, to skad on ma
> > wiedziec, ze je podales? Jasnowidz, czy co? Jesli Ci proxy uwali sesje,
> > to haslo do banku nie dojdzie i bedzie dla banku mialo flage "nastepne w
> > kolejnosci".
>
> rozwiazanie jest b.proste: wystarczy ze mbank bedzie tylko raz pytal o kazde
> haslo (niezaleznie czy je dostanie, czy nie)

To problemu wcale nie rozwiązuje. Jeśli zakładamy, ze ktoś po drodze
kontroluje transmisję, to można sobie wyobrazić tylko trochę bardziej
skomplikowany algorytm:
- ty szykujesz przelew do Kowalskiego
- proxy wysyła do banku do weryfikacji przelew do Nowaka
- bank odpowiada jaki TAN trzeba podać
- proxy przekazuje to do klienta ale z danymi przelewu do Kowalskiego
- klient wpisuje TAN
- proxy przechwytuje dane i wysyła ten TAN ale z danymi przelewu do Nowaka
- bank odpowiada że przelew poszedł a proxy grzecznie to przekazuje
Dla serwera banku nie ma tu żadnej poszlaki że coś jest nie OK.

Aby to nie było możliwe, został wymyślony SSL (w którym proxy jest
bezradne bo nie rozumie transmisji). Aby proxy naprawdę nie rozumiało
transmisji, SSL musi być dobrze zrobiony (bez np. niedawno wykrytego
błędu) a klient musi zwrócić uwagę czy certyfikat jest naprawdę
właściwy.

--
( Marcin Kasperski | If information is written down two ways, one of the )
( http://www.mk.w.pl | versions will soon be out of date. (XP practices) )
(---------------------------------------------------
-------------------------)
( Wygeneruj dokumentację: http://www.mk.w.pl/narzedzia/narzedzia_gendoc )