Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:s...@p...org...
On 2015-10-08, Budzik <b...@p...o.n.e.t.pl.nie.spam.oj> wrote:
>>>> Aplikacją mobilną można lać bez SMS także na niezaufane numery.
>>> Po co Ci matołku SMS na aparat z kartą SIM z którego wykonujesz
>>> operację?
>
>> A rzeczywiście tak jest, ze brak smsów jest tylko na telefonie z
>> numerem
>> telefonu zarejestrowanym w mbanku?

>Praktycznie we wszystkich aplikacjach mobilnych to tak działa.
>Telefon traktuje się jak rzecz osobistą, która z założenia nie będzie
>udostępniana, więc i zabezpieczenia są innego typu.

No, telefony bywaja kradzione, gubione, czy nawet pozostawiane -
idziesz do toalety, telefon zostaje na biurku.

Tak czy inaczej - wiekszosc klientow zainstaluje to na swoim glownym
telefonie, wiec sms nie jest zadnym zabezpieczeniem - ewentualny
złodziej i tak bedzie mial do niego dostep. A dla klienta to tylko
spore utrudnienie - i to zupelnie niepotrzebne.

A ci co maja dwa telefony ... sa narazeni na kradziez obu.

>A aplikacja nie ma dostępu do czegoś takiego jak "swój numer
>telefonu".
>Albo doprecyzuję: nie w kazdym systemie i nie jest to gwarantowane.
>Taka informacja nie musi być nawet na karcie SIM przechowywana.

Chyba wrecz ogolnie - w GSM czegos takiego nie przewidziano, natomiast
rozne rozszerzenia moga dodac.

Cos mi natomiast chodzi po glowie ze w przypadku WAP czy internetu
taka mozliwosc jest ... o np t-mobile, wchodzisz na strone miboa z
telefonu i widzisz swoje konto. Czyli operator potrafi skojarzyc.
Czy odostepnia to innym serwerom lub aplikacjom to nie wiem ... ale np
taki Naviexpert - jakos potrafil sprawdzic, czy uzytkownik licencje
kupil.
Pod Androidem ma na to identyfikator urzadzenia, ale potrafil to
zrobic i pod stara Java J2ME.

J.

do góry

On 2015-10-09, J.F. <j...@p...onet.pl> wrote:
> Użytkownik "Wojciech Bancer" napisał w wiadomości grup
> dyskusyjnych:s...@p...org...
> On 2015-10-08, Budzik <b...@p...o.n.e.t.pl.nie.spam.oj> wrote:
>>>>> Aplikacją mobilną można lać bez SMS także na niezaufane numery.
>>>> Po co Ci matołku SMS na aparat z kartą SIM z którego wykonujesz
>>>> operację?
>>
>>> A rzeczywiście tak jest, ze brak smsów jest tylko na telefonie z
>>> numerem
>>> telefonu zarejestrowanym w mbanku?
>
>>Praktycznie we wszystkich aplikacjach mobilnych to tak działa.
>>Telefon traktuje się jak rzecz osobistą, która z założenia nie będzie
>>udostępniana, więc i zabezpieczenia są innego typu.
>
> No, telefony bywaja kradzione, gubione, czy nawet pozostawiane -
> idziesz do toalety, telefon zostaje na biurku.

Portfel z kartami też. A telefon zazwyczaj zablokowany.
Mówię jaka jest praktyka i jak się przyjęło.
Telefon jest urządzeniem dużo bardziej osobistym niż PC.

> Cos mi natomiast chodzi po glowie ze w przypadku WAP czy internetu
> taka mozliwosc jest ... o np t-mobile, wchodzisz na strone miboa z
> telefonu i widzisz swoje konto. Czyli operator potrafi skojarzyc.
> Czy odostepnia to innym serwerom lub aplikacjom to nie wiem ... ale np
> taki Naviexpert - jakos potrafil sprawdzic, czy uzytkownik licencje
> kupil.
> Pod Androidem ma na to identyfikator urzadzenia, ale potrafil to
> zrobic i pod stara Java J2ME.

Ale do tego używa się identyfikatorów, a nie numeru telefonu. :)

--
Wojciech Bańcer
p...@p...pl

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
On 2015-10-09, J.F. <j...@p...onet.pl> wrote:
>>>Praktycznie we wszystkich aplikacjach mobilnych to tak działa.
>>>Telefon traktuje się jak rzecz osobistą, która z założenia nie
>>>będzie
>>>udostępniana, więc i zabezpieczenia są innego typu.
>
>> No, telefony bywaja kradzione, gubione, czy nawet pozostawiane -
>> idziesz do toalety, telefon zostaje na biurku.

>Portfel z kartami też. A telefon zazwyczaj zablokowany.

No, zablokowanie bywa rozne. Moze byc takie bez zablokowania, albo
latwe do zlamania.

>Mówię jaka jest praktyka i jak się przyjęło.
>Telefon jest urządzeniem dużo bardziej osobistym niż PC.

To ze sie cos przyjelo, nie znaczy, ze jest dobre.
Ale przyznaje - wymog wpisania SMS, ktory przychodzi na ten sam
telefon, to nie jest zadne zabezpieczenie.
To juz chyba lepiej PIN/haslem do aplikacji potwierdzac.

>> Cos mi natomiast chodzi po glowie ze w przypadku WAP czy internetu
>> taka mozliwosc jest ... o np t-mobile, wchodzisz na strone miboa z
>> telefonu i widzisz swoje konto. Czyli operator potrafi skojarzyc.
>> Czy odostepnia to innym serwerom lub aplikacjom to nie wiem ... ale
>> np
>> taki Naviexpert - jakos potrafil sprawdzic, czy uzytkownik licencje
>> kupil.
>> Pod Androidem ma na to identyfikator urzadzenia, ale potrafil to
>> zrobic i pod stara Java J2ME.

>Ale do tego używa się identyfikatorów, a nie numeru telefonu. :)

Identyfikator nie powie ci, konto ktorego telefonu w miboa otworzyc.

Musialbym sobie starego Naviexperta przypomniec ... moze mi pamiec
szwankuje, teraz faktycznie abonament jest na identyfikator.

ale i numer jest/bywa dostepny
http://www.techrepublic.com/blog/it-security/why-are
-websites-getting-your-mobile-phone-number/

J.

do góry

Dużo się nie naprzelewasz, bo tylko do ustalonego limitu, standardowo zdaje się 200
pln i koniec zabawy.

do góry

On 2015-10-09, J.F. <j...@p...onet.pl> wrote:

[...]

>> Portfel z kartami też. A telefon zazwyczaj zablokowany.
>
> No, zablokowanie bywa rozne. Moze byc takie bez zablokowania, albo
> latwe do zlamania.

Nie w warunkach "właściciel poszedł do kibla".
A aplikacje bankowe można "wyłączyć" zdalnie, właśnie na wypadek
zgubienia/kradzieży telefonu. Sam telefon można też zdalnie
zamrozić/wyzerować.

>>Mówię jaka jest praktyka i jak się przyjęło.
>>Telefon jest urządzeniem dużo bardziej osobistym niż PC.
>
> To ze sie cos przyjelo, nie znaczy, ze jest dobre.
> Ale przyznaje - wymog wpisania SMS, ktory przychodzi na ten sam
> telefon, to nie jest zadne zabezpieczenie.
> To juz chyba lepiej PIN/haslem do aplikacji potwierdzac.

I pewnie większość krytycznych funkcji tak ma (wypłata BLIKiem na pewno,
przelewów nie sprawdzałem).

>>> Cos mi natomiast chodzi po glowie ze w przypadku WAP czy internetu
>>> taka mozliwosc jest ... o np t-mobile, wchodzisz na strone miboa z
>>> telefonu i widzisz swoje konto. Czyli operator potrafi skojarzyc.
>>> Czy odostepnia to innym serwerom lub aplikacjom to nie wiem ... ale
>>> np
>>> taki Naviexpert - jakos potrafil sprawdzic, czy uzytkownik licencje
>>> kupil.
>>> Pod Androidem ma na to identyfikator urzadzenia, ale potrafil to
>>> zrobic i pod stara Java J2ME.
>
>>Ale do tego używa się identyfikatorów, a nie numeru telefonu. :)
>
> Identyfikator nie powie ci, konto ktorego telefonu w miboa otworzyc.
>
> Musialbym sobie starego Naviexperta przypomniec ... moze mi pamiec
> szwankuje, teraz faktycznie abonament jest na identyfikator.
>
> ale i numer jest/bywa dostepny
> http://www.techrepublic.com/blog/it-security/why-are
-websites-getting-your-mobile-phone-number/

Bywa_ł_.

>>>
Also, I did not capture any log entries displaying the MSISDN from smart phones such
as iPhone
or Android-based phones.
<<<
Powiedzmy, że w tych pierwszych systemach to było dość dużo eksperymentów. Obecnie
jest to dużo bardziej obostrzone, m.in. ze względu na ochronę prywatności.

--
Wojciech Bańcer
p...@p...pl

do góry

"Wojciech Bancer" s...@p...org

>> A rzeczywiście tak jest, ze brak smsów jest tylko na telefonie
>> z numerem telefonu zarejestrowanym w mbanku?

> Praktycznie we wszystkich aplikacjach mobilnych to tak działa.
> Telefon traktuje się jak rzecz osobistą, która z założenia nie
> będzie udostępniana, więc i zabezpieczenia są innego typu.

Mille, FM, EB -- też tak mają? IMO -- nie.

> A aplikacja nie ma dostępu do czegoś takiego jak "swój numer telefonu".

Chyba nie ma.

> Albo doprecyzuję: nie w kazdym systemie i nie jest to gwarantowane.
> Taka informacja nie musi być nawet na karcie SIM przechowywana.

Mnie jest wszystko ganz egal. :) Po prostu ,,odkryłem''.

--
.`'.-. ._. http://eneuel.w.duna.pl .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

"J.F." 56179180$0$8387$6...@n...neostrada.pl

> To juz chyba lepiej PIN/haslem do aplikacji potwierdzac.

No właśnie -- tak mają inne banki.

--
.`'.-. ._. http://eneuel.w.duna.pl .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

"Wojciech Bancer" s...@p...org

>> To juz chyba lepiej PIN/haslem do aplikacji potwierdzac.

> I pewnie większość krytycznych funkcji tak ma (wypłata BLIKiem
> na pewno, przelewów nie sprawdzałem).

BLIKować (do 50 pln -- jak zbliżeniówką)
chyba można bez podawania czegokolwiek.

9. Jak zmienić ustawienia dla włączenia/wyłączenia szybkiej płatności
bez potwierdzenia kodem PIN do 50 PLN za pomocą płatności BLIK?

Parametrami dla włączenia/wyłączenia szybkiej płatności bez potwierdzenia
kodem PIN do 50 PLN za pomocą płatności BLIK można zarządzać z poziomu
w aplikacji mobilnej: Ustawienia - Ustawienia BLIK - Realizuj płatności
do 50 PLN bez potwierdzenia kodem PIN. Zmiany ustawień można dokonać
również kontaktując się z konsultantem mLinii.

https://www.mbank.pl/pomoc/info/uslugi/BLIK-pytania-
i-odpowiedzi.html

--
.`'.-. ._. http://eneuel.w.duna.pl .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

"Konfabulator Konfabulatorski" 4...@g...co
m

: Dużo się nie naprzelewasz, bo tylko do ustalonego
: limitu, standardowo zdaje się 200 pln i koniec zabawy.

Masz rację -- zdaje się Tobie. :) Spłaciłem tak kartę kredytową -- kilka razy po te
200 pln.

Mam zaufanych (siebie w innych wydaniach) i niezaufanych -- kredytówki,
światła, gazy, podatki itd. Gdy via WWW spłacam kredytówki, opłacam
światło itp. -- mam dodatkowy hamulec w postaci SMSa. Tym razem lałem
via Android, aby sprawdzić lejek w Virgin Mobile.

SMS po prostu budzi mnie z letargu tam, gdzie cofnięcie zlecenia
przelewu nie zawsze jest łatwe.

--
.`'.-. ._. http://eneuel.w.duna.pl .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

Eneuel Leszek Ciszewski w
<news:mv9926$5qa$1@node2.news.atman.pl>:

> "J.F." 56179180$0$8387$6...@n...neostrada.pl

>> To juz chyba lepiej PIN/haslem do aplikacji potwierdzac.

> No właśnie -- tak mają inne banki.

Uruchamiając aplikacje mBanku to co wpisujesz jeżeli nie PIN [1]

--
'Tom N'

do góry