Rafał Krupiński <ruf10_at_op_dot_pl@nospam> wrote:

> RBproof wrote:
>> ciekawa jest wypowiedź rzecznika bph (no w sumie to on nie kłamie):
>> "Rzecznik prasowy BPH Jacek Balcer zaprzecza, aby pracownicy zaobserwowali
>> włamania do systemu internetowego banku."
> a co mieli zauważyć?

No wiesz, łomy, broń, kominiarki... BPPPNMSP :-)

--
Jacek Wojaczyński

do góry

Dnia Thu, 12 May 2005 15:32:27 +0200, r...@a...net.pl naskrobał(a):

> Uważasz, że to trudne? Hmm, współczuję zatrzymania się na etapie działania
> wiertarki. Dziwne, że w ogóle umiesz posługiwać się komputerem :)).

Wręcz odwrotnie - to musi być banale skoro pierwszą i najważnejszą rzeczą
każdego systemu trasakcyjnego jest spójność operacji - to w czym problem
żeby była niespójna. A że taki trojnek musi być po stronie serwera to już w
ogóle szczegół - pare granatów i wejdziesz do centrum operacji bez
problemów.

>> Nie jest aż taki prosty,
>> jest 'bardziej skomplikowany -- ale nadal niezbyt trudny' ;-D


po prostu pikuś....
Jak będziesz przelewał kaskę to weż jakąś resztówke z pare baniek na moje
konto podrzuć ok?



--
United Devices Cancer Research Project
www.grid.org
lobo_(małpa)autograf.pl

do góry

In message d5vn7v$piq$...@k...task.gda.pl, Karol S
<k...@z...pl> wrote:
> r...@a...net.pl napisał(a):
>
> Zaraz zaraz, przecież połączenie z bankiem jest szyfrowane. Nie sposób
> podsłuchać transmisji, a więc nie dowiesz się nawet na jakiej stronie

Pod warunkiem, że wejdziesz na prawdziwą stronę banku :)
Sprawdzasz certyfikaty dokładnie?

> jest uzytkownik, nie wspominając o saldzie konta. A z samego tylko
> podsłuchiwania klawiatury i myszki nie dasz rady rozpoznać, czy
> użytkownik akurat wpisuje kod czy coś innego.


Poza tym trojan może (przynajmniej tak podejrzewam, że jest to
do zrobienia) wpiąć się pomiędzy ssl a przeglądarkę
i skanować nieszyfrowany html.

Pozdrawiam
Miroo

do góry

Thu, 12 May 2005 15:44:30 -0500, w <d60f7g$a63$1@inews.gazeta.pl>, witek
<w...@g...pl.spam.invalid> napisał(-a):

> akurat to o czym mówisz ma się nijak do podsłuchu po SSL i posiadania
> klucza.

Bo nie ma potrzeby podsłuchiwania SSL.

> Bo programy do automatycznej obsługi mBanku współpracują z przeglądarką,
> czyli analizują html przysłany z serwera i wysyłają kod taki jak wysłała
> by sama strona "kliknięta" ludzką ręką.

Ciepło, ciepło -- ale tylko ciepło.

> Czyli już dawno po odszyfrowaniu danych.

No więc po co mamy łamać SSL, skoro w ogóle nie ma takiej potrzeby?

> Więc kolega po kursie dla
> Opornych akurat tutaj ma rację.

Taa, ciekawe w czym...

do góry