On Sat, 5 Apr 2008 23:16:53 +0200, quwert <q...@x...gazeta.pl>
wrote:

>> Popełniono .......
>
>ale bank odpowiada (odpowiadał) za wypłatę pieniędzy osobie nieupoważnionej


A zgodnie z umową osobą upoważniona jest każdy, kto przedstawi
odpowiednie kwity. Wypłacający kwity miał.

>system mają do du..y i tyle

Lamerzy? I owszem, głównie MS IE.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry

On Apr 6, 4:01 pm, Krzysztof Halasa <k...@p...waw.pl> wrote:

> > Nie ma też możliwości wydobycia i skopiowania klucza nawet przez
> > legalnego posiadacza a co dopiero przez obcego.
>
> To ostatnie jest nierealne, mozna utrudnic takie cos ale do
> niemozliwosci troche brakuje.

Bez "rozebrania" dongle'a? Mam wrażenie, że wiesz, jak działa karta
chipowa (kryptograficzna), więc jestem zdziwiony, że sądzisz, że
podobnie nie może być zabezpieczony dongle. Jeśli komputer
kryptograficzny i klucz prywatny są w "scalaku", to nie ma powodów,
aby klucz kiedykolwiek go opuścił.
Ale ja z kolei nie znam szczegółów działania urządzenia oferowanego
przez Rajfiego.

> Tak czy owak, korzystna sytuacja jest generowanie klucza przez
> uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.

nie, znacznie lepsza to taka jak w kartach: generowanie pary kluczy w
dongle'u.

> Pozwala to na (opcjonalna) archiwizacje klucza, utrudnia jego
> wydobycie z dongla, oraz nie ma problemow z jakoscia wygenerowanego
> klucza.

ja tam archiwizację klucza poświęciłbym w zamian za bezpieczeństwo.

> Jeszcze jakby to odbywalo sie przy uzyciu standardowych narzedzi itd,
> zeby nie bylo ryzyka "autorskich" wad calego procesu...

tu się zgodzę: jakakolwiek "domowa" kryptografia to bezsens.

--
pozdrawiam,
Jarek Andrzejewski

do góry

Dnia Mon, 07 Apr 2008 10:21:42 +0200, Adam Płaszczyca napisał(a):

>>system mają do du..y i tyle
>
> Lamerzy? I owszem, głównie MS IE.

W takim razie bank powinien zastrzec w umowie, ze nie ponosi
odpowiedzialności za pieniądze klienta, jeśli klient używa MS IE.
;)

--
Pozdrowienia,
Krzysztof

do góry

On 7 Kwi, 10:19, Adam Płaszczyca <t...@o...spamnie.org.pl>
wrote:

> Komputer klienta jest pod jego całkowitą kontrolą. Jak ktoś uzywa
> windowsów, IE, do tego ściąga warezy i instaluje sobie wszystko jak
> leci, to potem ma kuku.
> --



Znajdz na stronie rai informacje ze nie zaleca on uzywania produktow
malomiekkiego ze wzgledu na ich slaby system zabezpieczen jaki
oferuja. Zaloze sie o reke i pol nogi ze sam bank ma kompach wpietych
w siec winzgrozy. Sory ale informatycy wiedza ze "siec jest tak
bezpieczna jak najslabiej strzezony komputer w tej sieci" wiec
powinini przewidywac to ze sa uzytkownicy ktorzy uzywaja windowsa 98
z antywirusem ktory tylko poluje na wirusy a nie trojany. Jesli bank
zrzuca wine na uzytkownika bo ten nie uzywal odpowiednich programow to
powinen podac jakie programy sa odpowiednie. "Do obslugi kont
internetowych zalecamy uzywanie konsol virutalnych na komputerach nie
posiadajacych dyskow twardych, za szkody powstale na skutek uzywaina
innego sprzetu bank nie ponosi odpowiedzialnosci".
W artykule nie ma slowo o tym ze rai uzywa innego sposobu kontaktu z
uzytkownikem dla dodatkowego zabezpieczenia konta (tokeny i sms-y)
wiec wynika z tego dla zwyklego uzytkownika ze maja jakis myk ktory
nie obsluzy innego czlowieka.

do góry

SzalonyKapelusznik <s...@g...com> writes:

> Znajdz na stronie rai informacje ze nie zaleca on uzywania produktow
> malomiekkiego ze wzgledu na ich slaby system zabezpieczen jaki
> oferuja. Zaloze sie o reke i pol nogi ze sam bank ma kompach wpietych
> w siec winzgrozy. Sory ale informatycy wiedza ze "siec jest tak
> bezpieczna jak najslabiej strzezony komputer w tej sieci" wiec
> powinini przewidywac to ze sa uzytkownicy ktorzy uzywaja windowsa 98
> z antywirusem ktory tylko poluje na wirusy a nie trojany. Jesli bank
> zrzuca wine na uzytkownika

Nie "zrzuca". Przeciez to wlasnie uzytkownik jest winny, wiec wine
mozna tylko z niego zrzucic (np. na bank), nie na niego.

> bo ten nie uzywal odpowiednich programow to
> powinen podac jakie programy sa odpowiednie.

No jasne, bo bank oprocz bycia bankiem ma jeszcze byc ekspertem od
komputerow dla userow.

Rola banku jest inna, powinien stosowac takie procedury, ktore
minimalizuja ryzyko. Np. podpisywanie zlecanych operacji przy uzyciu
kryptografii asymetrycznej, uzywajac standardowych (= dobrze
przetestowanych narzedzi).
Moze jakby ustawa byla troche bardziej sensowna to by im bylo latwiej.
--
Krzysztof Halasa

do góry

Adam Płaszczyca <t...@o...spamnie.org.pl> writes:

>>ale bank odpowiada (odpowiadał) za wypłatę pieniędzy osobie nieupoważnionej
>
>
> A zgodnie z umową osobą upoważniona jest każdy, kto przedstawi
> odpowiednie kwity. Wypłacający kwity miał.

Tyle ze w normalnej umowie takiego czegos nie ma.

Co to w ogole sa "odpowiednie kwity"?
--
Krzysztof Halasa

do góry

Jarek Andrzejewski <p...@g...com> writes:

>> To ostatnie jest nierealne, mozna utrudnic takie cos ale do
>> niemozliwosci troche brakuje.
>
> Bez "rozebrania" dongle'a? Mam wrażenie, że wiesz, jak działa karta
> chipowa (kryptograficzna), więc jestem zdziwiony, że sądzisz, że
> podobnie nie może być zabezpieczony dongle.

Nie ma w tym niczego dziwnego, zreszta z karty takze mozna dane
wyciagnac. "Chciec to moc" (no, brakuje jeszcze kilku warunkow).

> Jeśli komputer
> kryptograficzny i klucz prywatny są w "scalaku", to nie ma powodów,
> aby klucz kiedykolwiek go opuścił.

Powody moga byc. Owszem, jest to zdecydowanie trudniejsze niz "zwykle"
oraz karty moga byc calkowicie odporne na niektore typy atakow.
Ale calkowitej pewnosci nie ma - na przeszkodzie stoja ew. bledy w
implementacji, podatnosc na zmiane warunkow otoczenia, i w koncu
po prostu fizyka.

USB dongle moze dodatkowo skladac sie z elementow dyskretnych, wtedy
sprawa staje sie trywialna.

Potrzeba rozebrania urzadzenia nie jest zadna przeszkoda, uzytkownik
nie musi nic zauwazyc - w koncu nie rozpozna kopii od oryginalu.


Moze inaczej: czy mialbys pewnosc, ze klucza nie bedzie w stanie
wyciagnac np. NSA (agencja, nie sąd), jesli by im bardzo zalezalo?
Nie masz pewnosci? I slusznie.

BTW: roznica w mozliwosciach NSA i upartego nastolatka w takim
przypadku moze byc olbrzymia albo bardzo mala.

>> Tak czy owak, korzystna sytuacja jest generowanie klucza przez
>> uzytkownika poza "donglem", i nastepnie zapisanie go do dongla.
>
> nie, znacznie lepsza to taka jak w kartach: generowanie pary kluczy w
> dongle'u.

Nope. To daje tylko gwarancje, ze legalny user nie ma kopii. Ale
dokladnie taka sama gwarancje moze sobie zapewnic po prostu nie
posiadajac kopii :-)

Natomiast reszta to same wady, w szczegolnosci nie znamy pochodzenia
klucza prywatnego (np. jakosci generatora "losowego") - podatnosc na
atak zwiazany ze "zwykla" slaboscia klucza oraz dodatkowo uzaleznienie
od producenta karty/dongla.

To ostatnie przeczy glownemu zalozeniu, ze klucz prywatny ma byc
prywatny i mamy miec tego 100% gwarancje. Jasne ze przy niewielkich
sumach nie ma to znaczenia, ale jesli dysponujemy juz dobrym systemem,
to nie ma sensu go psuc tylko dlatego ze wiele nie ryzykujemy.
--
Krzysztof Halasa

do góry

On Mon, 7 Apr 2008 03:27:05 -0700 (PDT), SzalonyKapelusznik
<s...@g...com> wrote:

>
>Znajdz na stronie rai informacje ze nie zaleca on uzywania produktow
>malomiekkiego ze wzgledu na ich slaby system zabezpieczen jaki
>oferuja. Zaloze sie o reke i pol nogi ze sam bank ma kompach wpietych

Od kiedy to bank ma obowiązek informowac klienta o możliwych
zagrożeniach, jakie dla tegoż klienta stwarza używanie sprzętu i
oprogramowania wybranego przez klienta?

--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry

On Mon, 7 Apr 2008 11:39:10 +0200, Chris <chris94@WYTNIJ_TO.poczta.fm>
wrote:

>> Lamerzy? I owszem, głównie MS IE.
>
>W takim razie bank powinien zastrzec w umowie, ze nie ponosi
>odpowiedzialności za pieniądze klienta, jeśli klient używa MS IE.
>;)

Zastrzega, że każda osoba, która przedstawi odpowiednie hasła etc.
będzie traktowana ako osoba upoważniona do dokonania operacji. Klient
się na to zgadza.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry

On Mon, 07 Apr 2008 14:13:10 +0200, Krzysztof Halasa <k...@p...waw.pl>
wrote:

>> A zgodnie z umową osobą upoważniona jest każdy, kto przedstawi
>> odpowiednie kwity. Wypłacający kwity miał.
>
>Tyle ze w normalnej umowie takiego czegos nie ma.

Oczywiście, że jest. Na przykład w mBankowiej jak byk masz informację,
że każda operacja która jest zlecana przez kogoś, kto podał własciwy
login, hasło i hasło jednorazowe jest traktowana przez bank jako
złożona przez właściciela konta.
--
___________ (R)
/_ _______ Adam 'Trzypion' Płaszczyca (+48 502) 122688
___/ /_ ___ ul. Na Szaniec 23/70, 31-560 Kraków, (012) 3783198
_______/ /_ http://trzypion.oldfield.org.pl/wieliczka/
___________/ GG: 3524356

do góry