-
81. Data: 2017-06-26 13:50:32
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Piotr Gałka <p...@c...pl>
W dniu 2017-06-26 o 12:52, J.F. pisze:
>>
>> Aby wpisać PIN zbliżeniowo musiało by być - zbliżenie, PIN, zbliżenie.
>
> Niekoniecznie, bo przeciez pin ustawiasz przez internet.
> Wiec zblizenie, polaczenie z bankiem, zapis.
>
Racja. Kiedyś nie zdarzały mi się takie błędy logiczne :(
P.G.
-
82. Data: 2017-06-26 14:15:45
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Dawid Rutkowski <d...@w...pl>
W dniu poniedziałek, 26 czerwca 2017 13:50:33 UTC+2 użytkownik Piotr Gałka napisał:
> W dniu 2017-06-26 o 12:52, J.F. pisze:
> >>
> >> Aby wpisać PIN zbliżeniowo musiało by być - zbliżenie, PIN, zbliżenie.
> >
> > Niekoniecznie, bo przeciez pin ustawiasz przez internet.
> > Wiec zblizenie, polaczenie z bankiem, zapis.
> >
> Racja. Kiedyś nie zdarzały mi się takie błędy logiczne :(
> P.G.
To nie błąd, bo trudno zakładać, że podczas zbliżenia da się nawiązać łączność z
bankiem, nie tylko przez GSM, ale i przez stałe łącze.
Z resztą PIN offline da się wgrać tylko przez styki - tak samo, jak z niego
korzystać, pikaczowo PIN jest zawsze on-line.
Myślę, że to jest w miarę rozsądny kompromis - choć oczywiście możliwe są również
inne rozwiązania, jak np. karty mifare, które są odczytywane i programowane
bezprzewodowo (a do tego tak sprytnie zrobione, że są już kompletnie skompromitowane,
atak pozwalający na poznanie klucza trwa pół sekundy) - i choć uważam wprowadzenie
pikacza za genialną sprawę, pozwalającą nazwać codzienną płatność kartą naprawdę
wygodą (a stykowe z PINem off-line można zostawić na specjalne okazje, czyli zakupy
na pokładzie samolotu czy statku), to dobrze, że jednak pewne ograniczenia zostały.
-
83. Data: 2017-06-26 14:27:27
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Dawid Rutkowski <d...@w...pl>
W dniu poniedziałek, 26 czerwca 2017 13:48:26 UTC+2 użytkownik Piotr Gałka napisał:
> A jednocześnie przysyłają mi jawnym mailem po każdej transakcji
> onlineowej (na razie zrobiłem dwie onlineowe) ile mi jeszcze z limitu
> zostało.
> W rozmowach zgodziłem się na powiadomienia (sms/mail) bo wydaje mi się
> to jakimś tam zabezpieczeniem na wypadek nieświadomej utraty karty.
> Nie sądziłem, że limit też będzie w tym leciał.
Pomysł godny citka.
Zapewne jest to dodatkowy powód, żeby te powiadomienia wyłączyć - przez pierwszy
miesiąc bezpłatne, a potem 6zł/mc.
> Teraz widzę tylko limit jednej 50zł i limit ilości 20.
Limit 50zł oczywiście dla transakcji pikaczowej+bezpinowej, zarówno dla karty jak i
dla naklejki.
20 transakcji dziennie to limit tylko dla naklejki - kartą możesz napikać ile chcesz.
A oczywiście naklejką można płacić ponad 50zł, tylko że z PINem (sam płaciłem ponad
6k - choć też trafiłem na sklep, gdzie nie chcieli mi 3k przyjąć pikaczem,
twierdzili, że ich terminal nie pozwoli).
> W regulaminie są limity odpowiedzialności 150Euro, 50Euro i te 100zł. A
> kiedy co to trzeba by kilka razy przeczytać, aby ogarnąć.
150 euro dla transakcji stykowych, 50 euro dla bezstykowych to maksymalnie prawnie
dopuszczone obciążenia klienta - czyli że więcej nie zapłacisz, jak zgubisz czy
ukradną Ci kartę (chyba że bank udowodni, że np. zapisałeś PIN na karcie).
Citek dodatkowo bezpłatnie ogranicza odpowiedzialność klienta do 100zł (a dla platyn
w ogóle bierze całą na siebie).
> I wszystko jasne.
> Tylko jak nie mam możliwości poustawiać limitów to onlineowość daje
> tylko tyle, że w przypadku utraty i użycia przyjdzie SMS.
> Najpewniej na ten telefon do którego przyklejona jest nalepka :)
Tutaj mają sens powiadomienia mailowe, choć z drugiej strony utratę telefonu raczej
się prędzej zauważy niż utratę karty.
Inna sprawa to to, czy warto nalepkę naklejać na telefon - jeśli telefon ma NFC, to
nie bardzo, citek chyba ma zamiar wprowadzić niedługo HCE - no i też często telefon
zakłóca działanie nalepki, ale to już trzeba sobie wypracować - pomóc może np.
przyklejenie odwrotnie albo w trochę innym miejscu (już centymetr-dwa mają
znaczenie).
Ja moją naklejkę noszę na breloczku z kluczami - ale breloczek musiałem sobie sam
wyciąć. Do tego przyklejam dla pewności skoczem - już raz bym ją zgubił, gdzie po 1,5
roku przestała się mocno kleić. A ostatnio na drugiej stronie breloczka przykleiłem
jeszcze naklejkę z mBąka (dawali za darmo, to wziąłem ;) - i nawet to działa dobrze,
czyli w większości obciążana jest ta karta, która jest na tej stronie breloka, którą
przykładam do terminala, choć zdarzają się kwiatki - raz obciążyło mi kartę z drugiej
strony, a czasem odczyt trwa trochę dłużej.
> Przegapiłem. Mam tę 400 do morele. Warunki takie same.
> Rzuć linkiem do tej co przegapiłem.
Na głównej stronie na samej górze - "przesiądź się na rower" - choć z rowerem nie ma
nic wspólnego oprócz tego, że citi reklamuje się na rowerach miejskich w DC.
-
84. Data: 2017-06-26 14:36:08
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
dyskusyjnych:54b2707a-0d5d-4059-a1d6-a65957523fa3@go
oglegroups.com...
W dniu poniedziałek, 26 czerwca 2017 13:50:33 UTC+2 użytkownik Piotr
Gałka napisał:
>> >> Aby wpisać PIN zbliżeniowo musiało by być - zbliżenie, PIN,
>> >> zbliżenie.
>> > Niekoniecznie, bo przeciez pin ustawiasz przez internet.
>> > Wiec zblizenie, polaczenie z bankiem, zapis.
> >
>To nie błąd, bo trudno zakładać, że podczas zbliżenia da się nawiązać
>łączność z bankiem, nie tylko przez GSM, ale i przez stałe łącze.
>Z resztą PIN offline da się wgrać tylko przez styki - tak samo, jak z
>niego korzystać, pikaczowo PIN jest zawsze on-line.
>Myślę, że to jest w miarę rozsądny kompromis -
Pomijajac czas i moze zasilanie - to ja tu innych podstaw do
kompromisu nie widze.
Niby czemu ma byc inaczej ?
>choć oczywiście możliwe są również inne rozwiązania, jak np. karty
>mifare, które są odczytywane i programowane bezprzewodowo (a do tego
>tak sprytnie zrobione, że są już kompletnie skompromitowane, atak
>pozwalający na poznanie klucza trwa pół sekundy)
Ale bledy moga byc i w kartach bankowych i na stykowym interfejsie tez
:-)
> - i choć uważam wprowadzenie pikacza za genialną sprawę, pozwalającą
> nazwać codzienną płatność kartą naprawdę wygodą
W zasadzie tak, tylko czemu nie ma pdobnej wygody stykowo - do 50 zl
bez pin,
i czemu nie ma jakiegos wylacznika bezprzewodowosci - bo teraz to
mozna karte w cudzej kieszeni odczytac.
>(a stykowe z PINem off-line można zostawić na specjalne okazje, czyli
>zakupy na pokładzie samolotu czy statku),
>to dobrze, że jednak pewne ograniczenia zostały.
Ale czemu tam stykowe ? Bezstykowe z pin offline.
No dobra, teraz mi sie blad logiczny zdarzyl - przykladamy karte,
czytnik chce pin, wklepujemy ... i wypadaloby drugi raz przylozyc,
zeby karta mogla pin zweryfikowac.
Choc w zasadzie to w samolocie czytnik moglby najpierw prosic o pin, a
potem "przyloz karte", skoro wszystko robi offline.
J.
-
85. Data: 2017-06-26 16:15:27
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Piotr Gałka <p...@c...pl>
W dniu 2017-06-26 o 14:15, Dawid Rutkowski pisze:
>>>
>> Racja. Kiedyś nie zdarzały mi się takie błędy logiczne :(
>
> To nie błąd, bo trudno zakładać, że podczas zbliżenia da się nawiązać łączność z
bankiem, nie tylko przez GSM, ale i przez stałe łącze.
> Z resztą PIN offline da się wgrać tylko przez styki.
Używasz określenia 'da się' tam gdzie to jest wynik jakiejś decyzji a
nie ograniczeń technicznych. Brakuje wtedy słów aby określić prawdziwe
'da się' technicznie.
> - tak samo, jak z niego korzystać, pikaczowo PIN jest zawsze on-line.
> Myślę, że to jest w miarę rozsądny kompromis - choć oczywiście możliwe są również
inne rozwiązania, jak np. karty mifare, które są odczytywane i programowane
bezprzewodowo (a do tego tak sprytnie zrobione, że są już kompletnie skompromitowane,
atak pozwalający na poznanie klucza trwa pół sekundy)
Czytając książkę Fergusona i Schneiera z 2003 już uznałem, że Mifare
(Classic) jest nie pewne. Nie wiem, czy jednoznacznie o Mifare to
napisali, czy tylko pisali aby nie wierzyć w żadne tajne algorytmy, co
ja sobie na Mifare sam przełożyłem.
Widziałem pierwsze opisy łamania mifare i autorzy uzyskiwali z dużym
prawdopodobieństwem (chyba coś koło 50%) jeden z kilku stanów generatora
losowego (znaczy kilka w tych 50%, reszta poza tym).
Jak kilka lat później zaczęliśmy próby z odczytem Mifare Classic to u
nas z 95% była zawsze ta sama liczba losowa, ale wynikało to zapewne z
tego, że oni zbliżali kartę do czytnika a u nas karta leżała cały czas
na czytniku. Ale nie dochodziliśmy do tego jak to się łamie.
W nowych Mifare (Plus, Desfire) stosują już jawne algorytmy więc nie
powinno być chyba z nimi problemu.
- i choć uważam wprowadzenie pikacza za genialną sprawę, pozwalającą
nazwać codzienną płatność kartą naprawdę wygodą (a stykowe z PINem
off-line można zostawić na specjalne okazje, czyli zakupy na pokładzie
samolotu czy statku), to dobrze, że jednak pewne ograniczenia zostały.
Ja akurat czułbym się lepiej jakby:
- każda transakcja wymagała PINu,
- mógłbym sobie dowolnie poustawiać limity i one byłyby zawsze
sprawdzane (czyli każda on-line).
Z biegiem informatyzacji kraju zapewnienie szybkiego on-line powinno byc
coraz mniejszym problemem.
P.G.
-
86. Data: 2017-06-26 16:41:23
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Piotr Gałka <p...@c...pl>
W dniu 2017-06-26 o 14:27, Dawid Rutkowski pisze:
>
> Pomysł godny citka.
> Zapewne jest to dodatkowy powód, żeby te powiadomienia wyłączyć - przez pierwszy
miesiąc bezpłatne, a potem 6zł/mc.
>
Jesteś pewien?
W TPiO dla Citi Simpliciti piszą, że Citi Alerts Standard i Premium -
bez opłat.
A to chyba sa te Citi Alerts.
>> Teraz widzę tylko limit jednej 50zł i limit ilości 20.
> Limit 50zł oczywiście dla transakcji pikaczowej+bezpinowej, zarówno dla karty jak i
dla naklejki.
> 20 transakcji dziennie to limit tylko dla naklejki - kartą możesz napikać ile
chcesz.
Jesteś pewien.
W załączniku do regulaminu piszą:
Dzienny limit transakcji Nośnikiem zbliżeniowym - 20.
Dla mnie karta to też nośnik zbliżeniowy.
A definicja Nośnika zbliżeniowego odwołuje się do definicji Karty.
Ja bym to rozumiał, że według nich Karta to też nośnik zbliżeniowy.
> A oczywiście naklejką można płacić ponad 50zł, tylko że z PINem (sam płaciłem ponad
6k - choć też trafiłem na sklep, gdzie nie chcieli mi 3k przyjąć pikaczem,
twierdzili, że ich terminal nie pozwoli).
>
>> W regulaminie są limity odpowiedzialności 150Euro, 50Euro i te 100zł. A
>> kiedy co to trzeba by kilka razy przeczytać, aby ogarnąć.
>
> 150 euro dla transakcji stykowych, 50 euro dla bezstykowych to maksymalnie prawnie
dopuszczone obciążenia klienta - czyli że więcej nie zapłacisz, jak zgubisz czy
ukradną Ci kartę (chyba że bank udowodni, że np. zapisałeś PIN na karcie).
Żona kiedyś dostała kartę z PINem generowanym przez bank, który tak się
złożyło był fragmentem numeru karty.
Wtedy PIN jest zapisany na karcie, czy nie?
> Citek dodatkowo bezpłatnie ogranicza odpowiedzialność klienta do 100zł (a dla
platyn w ogóle bierze całą na siebie).
>
>> I wszystko jasne.
>> Tylko jak nie mam możliwości poustawiać limitów to onlineowość daje
>> tylko tyle, że w przypadku utraty i użycia przyjdzie SMS.
>> Najpewniej na ten telefon do którego przyklejona jest nalepka :)
>
> Tutaj mają sens powiadomienia mailowe, choć z drugiej strony utratę telefonu raczej
się prędzej zauważy niż utratę karty.
> Inna sprawa to to, czy warto nalepkę naklejać na telefon - jeśli telefon ma NFC, to
nie bardzo, citek chyba ma zamiar wprowadzić niedługo HCE - no i też często telefon
zakłóca działanie nalepki, ale to już trzeba sobie wypracować - pomóc może np.
przyklejenie odwrotnie albo w trochę innym miejscu (już centymetr-dwa mają
znaczenie).
Nigdy nie miałem nalepi i raczej nie planuję (bo według mnie ten limit
20 też dotyczy karty).
Ale jakbym koniecznie chciał na telefonie i by kolidowało to nalepiłbym
nalepkę ferrytową i na to tę zbliżeniową i działało by jak burza.
>
> Ja moją naklejkę noszę na breloczku z kluczami - ale breloczek musiałem sobie sam
wyciąć. Do tego przyklejam dla pewności skoczem - już raz bym ją zgubił, gdzie po 1,5
roku przestała się mocno kleić. A ostatnio na drugiej stronie breloczka przykleiłem
jeszcze naklejkę z mBąka (dawali za darmo, to wziąłem ;) - i nawet to działa dobrze,
czyli w większości obciążana jest ta karta, która jest na tej stronie breloka, którą
przykładam do terminala, choć zdarzają się kwiatki - raz obciążyło mi kartę z drugiej
strony, a czasem odczyt trwa trochę dłużej.
Brakuje warstwy ferrytu między nimi.
>
>> Przegapiłem. Mam tę 400 do morele. Warunki takie same.
>> Rzuć linkiem do tej co przegapiłem.
> Na głównej stronie na samej górze - "przesiądź się na rower" - choć z rowerem nie
ma nic wspólnego oprócz tego, że citi reklamuje się na rowerach miejskich w DC.
>
Sprawdziłem teraz w historii maili - kliknąłem te morele jeszcze w maju
a ten rower jest od 1 czerwca.
Ciekawe kiedy pojawiło się na stronie.
P.G.
-
87. Data: 2017-06-28 20:02:36
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Piotr Gałka <p...@c...pl>
W dniu 2017-06-26 o 13:48, Piotr Gałka pisze:
>
>>> Ciekawe też jak jest zrobiony limit, że zbliżeniowymi bezpinowymi nie
>>> można przekroczyć 150zł. Zapisują coś na karcie w czasie zbliżenia?
>>
>> A to gdzie znalazłeś?
>
> Musiało mi się pomerdać.
Już wiem, gdzie to widziałem.
To nie dotyczy KK tylko Kart Debetowych.
Dla limitu transakcji zbliżeniowych piszą: 10 transakcji lub 150 PLN.
Czyli karta musi zliczać kwoty.
P.G.
-
88. Data: 2017-06-29 10:52:59
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Dawid Rutkowski <d...@w...pl>
> To nie dotyczy KK tylko Kart Debetowych.
> Dla limitu transakcji zbliżeniowych piszą: 10 transakcji lub 150 PLN.
> Czyli karta musi zliczać kwoty.
Pewnie tak, już nie pamiętam, jak to było dla debetówki citi, sprawdzę wieczorem
tabletem.
A piszą tam, co się dzieje w sytuacji przekroczenia któregoś z tych limitów?
I czy to są limity bezwzględne czy np. z ostatnich 3 dni?
Z relacji zony wiem, że KK citka w formie zwykłej karty (takiej używa tylko żona,
moja leży sobie w szafie a noszę tylko naklejkę) co jakiś czas chipa chce.
Nie zdarzyło mi się to z KK db - ona za to ma to do siebie, że po jakimś czasie /
liczbie / sumie transakcji pikaczowych przestaje pozwalać na pikacza offline -
pikacze są online do czasu, gdy zapłaci się z chipa.
A pikacz offline jest fajny - mimo rozwoju technologii jest wciąż odczuwalnie szybszy
(choć część różnicy może wynikać z refleksu autoryzacji różnych banków).
PS.: CitiAlerts rzeczywiście dla simplicity są darmowe, zapomniałem o tym.
-
89. Data: 2017-06-29 11:00:08
Temat: Re: SimplyCity jednak nie dla mnie :(
Od: Piotr Gałka <p...@c...pl>
W dniu 2017-06-29 o 10:52, Dawid Rutkowski pisze:
>
> Pewnie tak, już nie pamiętam, jak to było dla debetówki citi, sprawdzę wieczorem
tabletem.
> A piszą tam, co się dzieje w sytuacji przekroczenia któregoś z tych limitów?
Piszą, że transakcja z PINem odnawia limit.
Zapewne po przekroczeniu zawoła o PIN bez wymagania transakcji z chipa.
P.G.