-
1. Data: 2015-06-14 16:52:34
Temat: redundancja w autoryzacji
Od: "Arek" <a...@p...onet.pl.usun_cde.invalid>
Niedawno wspomniałem o "minimalizacji" strat. Jak widać
po przykładzie +Banku wszystkie dane służą do tego, żeby
kiedyś wyciekły. Może chociaż ograniczyć ilość danych.
Chodzi o treść SMS-ów z kodami autoryzującymi operacje.
Spotkałem się z lakonicznymi typu operacja z dn. i godz.
kilka cyfr końcowych rachunku i kod. Podają też końcówkę
nr rach. docelowego przy przelewie co jeszcze ma sens.
Uważam jednak, że kwota operacji np. przelewu jest zbędna.
Przecież o ile klient siedzi przy kompie to chyba widzi
co przed kilkoma sekundami wklepał. Bo jak próba lewej
operacji to chyba obojętne...
Piszę dlatego bo operatorzy nie kasują SMS-ów. Potem
gawiedź cieszy się lub oburza gdy wyciekają teksty typu
"Chwała nam i naszym kolegom...". Ale to znaczy, że ich
też wyciekną - z kwotami operacji. Zagraża to poufności.
Czy nie lepiej aby banki nie podawały takiego szczegółu
w SMS-ach lub przynamniej dawały klientowi możliwość
decydowania o ich treści? Piszę oczywiście o autoryzacyjnych
bo jeżeli ktoś sobie wyraźnie życzy zestawienie operacji
w SMS-sie to wie co robi.
Które banki podają kwoty a które nie? ZTCW Getin podaje.
Arek
-
2. Data: 2015-06-14 17:04:11
Temat: Re: redundancja w autoryzacji
Od: " 666" <...@...6>
No nie, dla mnie to najważniejsza informacja, dość łatwo pomylić kropkę z przecinkiem
i różny może być efekt (kiedyś często myliłem
się na ebay.com i ebay.de, kilkukrotnie musiałem odwoływać bid, bo weszło 10k zamiast
100).
-----
"Arek" <a...@p...onet.pl.usun_cde.invalid> wrote in message
news:557d952f$0$27513$65785112@news.neostrada.pl...
> Uważam jednak, że kwota operacji np. przelewu jest zbędna.
-
3. Data: 2015-06-15 01:28:05
Temat: Re: redundancja w autoryzacji
Od: MarcinF <m...@i...pl>
W dniu 2015-06-14 o 16:52, Arek pisze:
> Uważam jednak, że kwota operacji np. przelewu jest zbędna.
> Przecież o ile klient siedzi przy kompie to chyba widzi
> co przed kilkoma sekundami wklepał. Bo jak próba lewej
> operacji to chyba obojętne...
Kwota to druga kluczowa informacja po numerze rachunku docelowego,
może zabezpieczyć przed niektórymi próbami wyłudzeń czy zwykłymi
pomyłkami klienta.
> Piszę dlatego bo operatorzy nie kasują SMS-ów. Potem
> gawiedź cieszy się lub oburza gdy wyciekają teksty typu
> "Chwała nam i naszym kolegom...". Ale to znaczy, że ich
> też wyciekną - z kwotami operacji. Zagraża to poufności.
Posiadanie telefonu komórkowego i korzystanie z internetu
samo w sobie bardzo zagraża poufności, w dodatku całkiem sporo
klientów banków płaci kartą, więc raczej nie zależy im na poufności
swoich transakcji.
> Czy nie lepiej aby banki nie podawały takiego szczegółu
> w SMS-ach lub przynamniej dawały klientowi możliwość
> decydowania o ich treści?
Ten sms to zwykle element systemu zabezpieczeń, żeby dobrze
zdecydować o jego treści trzeba znać całość, a to już zwykle
poza możliwościami klienta.
-
4. Data: 2015-06-15 10:09:09
Temat: Re: redundancja w autoryzacji
Od: Liwiusz <l...@b...tego.poczta.onet.pl>
W dniu 2015-06-14 o 16:52, Arek pisze:
> Piszę dlatego bo operatorzy nie kasują SMS-ów.
Nie archiwizują ich.
--
Liwiusz
-
5. Data: 2015-06-15 12:55:50
Temat: Re: redundancja w autoryzacji
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Arek" napisał w wiadomości grup
> Chodzi o treść SMS-ów z kodami autoryzującymi operacje.
>Spotkałem się z lakonicznymi typu operacja z dn. i godz.
>kilka cyfr końcowych rachunku i kod. Podają też końcówkę
>nr rach. docelowego przy przelewie co jeszcze ma sens.
poczatek tez ma sens. Najpierw sa dwie cyfry kontrolne - jak sie
zgadzaja, to jest 99% szans, ze przelew jest dobry.
Potem mamy nr banku - nic poufnego, a duzo mowi.
A w srodku sa zera, wiec nie ma co ukrywac :-)
>Uważam jednak, że kwota operacji np. przelewu jest zbędna.
Ja tam uwazam ze jedna z wazniejszych.
>Przecież o ile klient siedzi przy kompie to chyba widzi
>co przed kilkoma sekundami wklepał. Bo jak próba lewej
>operacji to chyba obojętne...
A czemu ? wyciagnac od kogos drobna kwote, allegro np, a potem dobic
pare zer.
> Piszę dlatego bo operatorzy nie kasują SMS-ów. Potem
>gawiedź cieszy się lub oburza gdy wyciekają teksty typu
>"Chwała nam i naszym kolegom...".
One wyciekaja z komisji sejmowej.
Operatorzy trzymaja, prokurator zamawia, a potem przekazuje z aktami
sprawy :-)
Owszem, to jest swietne zrodlo informacji, ciekawe ile wycieka w
sposob nienaglosniony :-)
>Ale to znaczy, że ich
>też wyciekną - z kwotami operacji. Zagraża to poufności.
> Czy nie lepiej aby banki nie podawały takiego szczegółu
>w SMS-ach lub przynamniej dawały klientowi możliwość
>decydowania o ich treści? Piszę oczywiście o autoryzacyjnych
>bo jeżeli ktoś sobie wyraźnie życzy zestawienie operacji
>w SMS-sie to wie co robi.
Ja tam uwazam, ze nie powinno sie autoryzowac sms.
Ale raczej nie ma od tego odwrotu.
J.
-
6. Data: 2015-06-15 17:56:02
Temat: Re: redundancja w autoryzacji
Od: Krzysztof Halasa <k...@p...waw.pl>
Liwiusz <l...@b...tego.poczta.onet.pl> writes:
>> Piszę dlatego bo operatorzy nie kasują SMS-ów.
>
> Nie archiwizują ich.
Skąd ta wiedza?
Poza tym, nie tylko operatorzy są w stanie "archiwizować" SMSy.
--
Krzysztof Hałasa
-
7. Data: 2015-06-15 18:42:59
Temat: Re: redundancja w autoryzacji
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Krzysztof Halasa" napisał w wiadomości
Liwiusz <l...@b...tego.poczta.onet.pl> writes:
>>> Piszę dlatego bo operatorzy nie kasują SMS-ów.
>> Nie archiwizują ich.
>Skąd ta wiedza?
Archiwizuja.
Tzn maja obowiazek przechowywac przez rok czy dwa, a potem to maja
obowiazek skasowac, a co najmniej "odpersonalizowac".
>Poza tym, nie tylko operatorzy są w stanie "archiwizować" SMSy.
A kto jeszcze ma dostep ?
Choc w dzisiejszych czasach, kto wie ile firm archiwizuje twoje sms ze
smartfona ...
J.
-
8. Data: 2015-06-15 19:15:09
Temat: Re: redundancja w autoryzacji
Od: Krzysztof Halasa <k...@p...waw.pl>
"J.F." <j...@p...onet.pl> writes:
>>Poza tym, nie tylko operatorzy są w stanie "archiwizować" SMSy.
>
> A kto jeszcze ma dostep ?
Trudno ustalić wyczerpującą listę. Np. "służby" (zgodnie z literą prawa
lub nie), ale także np. osoby fizyczne (pracownicy), które niekoniecznie
muszą realizować politykę operatora.
Ponadto, bezpieczeństwo transferu treści SMSów w sieciach także nie jest
specjalnie dobrze gwarantowane.
--
Krzysztof Hałasa
-
9. Data: 2015-06-15 21:15:22
Temat: Re: redundancja w autoryzacji
Od: Liwiusz <l...@b...tego.poczta.onet.pl>
W dniu 2015-06-15 o 18:42, J.F. pisze:
> Użytkownik "Krzysztof Halasa" napisał w wiadomości
> Liwiusz <l...@b...tego.poczta.onet.pl> writes:
>>>> Piszę dlatego bo operatorzy nie kasują SMS-ów.
>>> Nie archiwizują ich.
>> Skąd ta wiedza?
>
> Archiwizuja.
> Tzn maja obowiazek przechowywac przez rok czy dwa, a potem to maja
> obowiazek skasowac, a co najmniej "odpersonalizowac".
To teraz ja się spytam: skąd ta wiedza? (do Ciebie i do Krzysztofa).
--
Liwiusz
-
10. Data: 2015-06-15 22:23:28
Temat: Re: redundancja w autoryzacji
Od: Krzysztof Halasa <k...@p...waw.pl>
Liwiusz <l...@b...tego.poczta.onet.pl> writes:
> To teraz ja się spytam: skąd ta wiedza? (do Ciebie i do Krzysztofa).
Wiedza, taka że wiele osób ma potencjalnie dostęp do SMSów?
Z doświadczenia, wiem jak takie rzeczy są zorganizowane. To, że służby
mają dostęp? Z tego, że wiele razy się tym chwaliły.
Żeby osoba nieuprawniona mogła uzyskać dostęp do SMSów, musi to zrobić
tylko (przynajmniej) w jednym punkcie. Ale żeby stwierdzić, że nic
takiego nie ma miejsca, trzeba mieć pewność co do każdego punktu.
--
Krzysztof Hałasa
Strona główna- Wiadomości
- Firma
- Podatki
- Finanse
- Nieruchomości
- Przetargi
- Praca
- Prawo
- Zakupy
- Porady
- Kantor
Narzędzia
- Wyszukiwarki
- Znajdź pracę
- Znajdź przetarg
- Baza adresowa firm
- Kantor walut online
- Ważne adresy
- Urzędy skarbowe
- Adresy ZUS
- Urzędy Pracy
- Adresy banków
- Firmy zlikwidowane
- Centrum Webmastera
- Centrum Webmastera
- Newsy na Twoją stronę
- Artykuły
- Waluty
- Kantor walut
- Banki
- Pożyczki i chwilówki - ranking
- Kalkulatory finansowe
- Ile trwa przelew
- Baza wiedzy
do góry
Freelancer: jak pracuje, ile zarabia, skąd ma zlecenia?
