Użytkownik "jureq" napisał w wiadomości grup
dyskusyjnych:56cec91a$0$22844$6...@n...neostrad
a.pl...
Dnia Thu, 25 Feb 2016 10:00:41 +0100, Kamil Jońca napisał(a):
>>> Czy ten kod zawierał czytelnie podaną kwotę i numer rachunku
>>> docelowego? Jeśli nie, to pod względem bezpieczeństwa nie jest nic
>>> lepszy od typowego RSA zależnego tylko od zegara.
>
>> Nie. Ale zakładam, że był genereowany przezb bank, na podstawie
>> cech
>> transakcji (tak jak to było w np. tokenie gsm eurobanu)

>Pytanie: której transakcji? Tej wykonywanej rzeczywiście czy tej,
>którą
>"coś" ci wyświetliło na ekranie komputera?

Dawniej niewatpliwie tej rzeczywistej. Serwer wyliczal skrot
operacji, wyswietlal, kazal wprowadzic odpowiedz, przeliczal czy sie
zgadza.
Teraz to juz w niewatpliwosc watpie :-)

Ale czy dawniej bylo bezpieczniej ?
Jak ci cos opanuje przegladarke, pokaze ze przelewasz na konto1, a
serwerowi przekaze konto2, serwer policzy skrot operacji, wyswietli,
poczeka na odpowiedz, zweryfikuje, i wykona ... oczywiscie operacje
przekazana mu przez przegladarke, a nie te, ktora zostala wprowadzona
i pokazana na ekranie.

Wiec te telefony faktycznie bezpieczniejsze ... dopoki nie
ukradna/przejma i ich :-)

Musialby byc token z lacznoscia, chocby w formie kamery i QR kodu.
wpisujesz operacje, serwer szyfruje, przekazuje tokenowi, ten
wyswietla szczegoly, prosi o potwierdzenie, kod autoryzacyjny
przekazuje sam lub przepisujesz ...


J.