jaszczur <j...@a...at.reply-to.invalid> writes:

> > Oczywiscie ze potwierdzenia bylyby identyczne. Nigdy w banku nie byles?
>
> Błe, nie lubie jak ktoś robi taki atak na podmiot, więc ripsotuję:
> Potwierdzenia nie byłyby identyczne - różniłyby się pozycją stempla
> bankowego, kształtem podpisu dysponentki, odciskami palców, fakturą
> papieru, itp ;->

Nie widze tu zadnego ataku na podmiot. Potwierdzenia bylyby identyczne
w dokladnie takim stopniu, niezaleznie od tego, czy dotycza jednej czy
wiecej transakcji.
--
Krzysztof Halasa
Network Administrator

do góry

Krzysztof Halasa wrote:
|| Nie napisales dlaczego kontrahent na podstawie dwoch potwierdzen z
|| dwoma takimi samymi numerami ma domniemywac, ze oba potwierdzenia
|| dotycza tej samej transakcji, i dlaczego ma domniemywac przeciwnie,
|| jesli tych numerow tam w ogole nie bedzie.

Jeśli na dwóch różnych potwierdzeniach będzie ten sam numer operacji, to
sprawa jest jasna.
Jeśli w ogóle nie będzie numeru, a ofiara oczekuje na dwa identyczne
przelewy od oszusta to oszust ma ułatwione zadanie.
Inną sprawą jest zaufanie do kontrahenta, które pozwoli na wydanie
towaru na podstawie świstka. Ja chcę, żeby bankowe procedury nie
ułatwiały potencjalnym oszustom zadania, nawet jeśli ktoś powie później
że ofuara sama jest sobie winna.

|| W sensie formalnym, bo nie chodzi mi o "podejrzenia" - te beda
|| zawsze, a papiery nie powinny byc podstawa do wydawania towaru,
|| jesli nie ma sie wystarczajacego zaufania do klienta.

To prawda.

||| Poza tym takie rozwiązanie powinno także usprawnić pracę samego
||| banku, w połączeniu z dobrze zorganizowanym archiwum. Po prostu
||| wiadomo byłoby od razu, gdzie czego szukać.
||
|| To jest inna sprawa, zupelnie nie zwiazana z problemem dwoch
|| potwierdzen.

Dlatego napisałem "Poza tym".

||| Może to dziwne, ale nie byłem :) Albo zlecam przelewy przez
||| internet i w ogóle nie mam papierka, albo w kasie dostaję
||| potwierdzenie na druku ZBP-owskim,
||
|| I wtedy tez masz numer?

Nie, ale kasjer daje mi tylko jeden druk. Wcześniej pisałeś, że na
życzenie klienta kasjer powinien dać też swój kwitek potwierdzenia, a ja
się z tym nie zgadzam.

||| Ma znaczenie, bo bank nie musi się tłumaczyć że nie jest wielbłądem.
||| Sprawa prosta: na każdym zleceniu jest numer referencyjny, zlecenie
||| o takim numerze było albo nie było wykonane, koniec.
||
|| A jesli numeru nie ma, to sprawa wyglada inaczej? Bez jaj.

Klient zlecił 5 identycznych przelewów. Następnie okazał 6 potwierdzeń z
kasy i zareklamował operację.
Jeśli bank działa w sposób który opisałem, to nie ma szans na wyłudzenie
w ten sposób.

||| Żeby klient mógł zaoszczędzić czas, a bank mógł się nowym ficzerem
||| pochwalić :)
||
|| Chyba tylko to drugie :-(

Myślisz, że nie znalazłby się rynek na taką usługę? Choćby jako
dodatkowy bajer?

||| Poza tym, jak się zastanowiłem to doszedłem do wniosku, że
||| bezpieczeństwo byłoby jednak wyższe - z tego względu, że oglądający
||| rzeczone potwierdzenie miałby pewność, że właśnie jest połączony z
||| serwerem bankowym i ogląda surowe dane bankowe ze źródła. A papierek
||| technicznie nie jest zabezpieczony niczym, oprócz świadomości
||| odpowiedzialności karnej za fałszerstwo.
||
|| To drugie moze byc wazniejsze. A jesli ktos np. anuluje przelew?

To nie problem - można do każdego zlecenia prezentować jego aktualny
status; przyjęte - zaksięgowane - wysłane do KIR taką a taką sesją, itp.

||| Bank wykonuje operację, nadaje jej swój numer. Następnie szyfruje
||| ten numer jakimś algorytmem i dodaje kilka losowych cyfr. Ten numer
||| podaje właścicielowi rachunku, który z usługi chce skorzystać.
||
|| Czyli generuje dlugi numer. Problem jest taki, ze dluzszy numer
|| bedzie za dlugi dla uzytkownikow, a krotszy mozna uzyc do
|| "enumeracji".

Kwestia znalezienia złotego środka.
Korzystanie z e-banków czy IVR-owych bankolinii to też ryzyko i
konieczność pamiętania haseł, a jednak ludzie korzystają.

||| Właściciel ustala hasło, które zabezpieczy dostęp do jego danych.
||| Może być stałe dla wszystkich operacji dokonanych na rachunku.
||| Następnie dzwoni do kontrahenta, podaje numer operacji i swoje
||| hasło dostępowe.
||
|| I to ma byc w jakis sposob bezpieczne? Kontrahent ma znac haslo stale
|| dla wszystkich operacji na rachunku? Cos przesadzasz.

No to zróbmy hasło zmienne :) Ze mną jak z dzieckiem ;)
A poważnie - jest jeszcze numer zlecenia, który trzeba podać bo inaczej
nic się nie wyświetli i już.

||| Jeśli będziesz chciał "na chama" odpytywać bankowy serwer po kolei o
||| różne numery operacji to zajmie Ci dużo czasu żeby trafić na
||| istniejący numer w połączeniu z poprawnym hasłem.
||
|| Tak jak napisalem, przy sensownej dlugosci numerow zajmie to chwile.

Podobnie z włamaniem do e-banku, który jest zabezpieczony statycznym
hasłem logowania. A jakoś nie słychać o tego typu włamaniach. Jeśli
nawet były, to klient nie stracił - bo byłoby o tym głośno.

||| A to co być może uzyskasz, to
||| dane jakiejś-tam operacji jakiegoś-tam pana Kowalskiego. Gra
||| niewarta świeczki.
||
|| Nie. Uzyskam dane o wszystkich realizowanych transakcjach.

Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś zauważy co
robisz i zablokuje.

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry

"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> Jeśli na dwóch różnych potwierdzeniach będzie ten sam numer operacji, to
> sprawa jest jasna.

Nie jest jasna. Numer operacji nie jest zdefiniowany dla kontrahenta,
mozna mu np. powiedziec (tak jak pisalem), ze zawsze jest taki sam.

> Jeśli w ogóle nie będzie numeru, a ofiara oczekuje na dwa identyczne
> przelewy od oszusta to oszust ma ułatwione zadanie.

Jesli ofiara oczekuje na dwa identyczne przelewy od tej samej osoby,
to juz to jest podejrzane, i rozne numery "operacji" tego nie zmienia.

> Nie, ale kasjer daje mi tylko jeden druk. Wcześniej pisałeś, że na
> życzenie klienta kasjer powinien dać też swój kwitek potwierdzenia, a ja
> się z tym nie zgadzam.

Nie pisalem czegos takiego. Napisalem, ze na żądanie klienta bank
powinien wydac np. kopie potwierdzenia.

> Klient zlecił 5 identycznych przelewów. Następnie okazał 6 potwierdzeń z
> kasy i zareklamował operację.
> Jeśli bank działa w sposób który opisałem, to nie ma szans na wyłudzenie
> w ten sposób.

Tak tez nie ma. Ale to juz kwestia procedur banku, domyslam sie, ze
poprawnych.

> Myślisz, że nie znalazłby się rynek na taką usługę? Choćby jako
> dodatkowy bajer?

Mysle, ze koszty by sie nie zwrocily.

> To nie problem - można do każdego zlecenia prezentować jego aktualny
> status; przyjęte - zaksięgowane - wysłane do KIR taką a taką sesją, itp.

Jesli wyslane, to za chwile kontrahent bedzie to mial w swoim (dobrym)
banku - niepotrzebne. Jesli nie jest jeszcze wyslane, to mozna anulowac.

> Kwestia znalezienia złotego środka.
> Korzystanie z e-banków czy IVR-owych bankolinii to też ryzyko i
> konieczność pamiętania haseł, a jednak ludzie korzystają.

Owszem, ale haslo jest dosc stale. Gdyby mialo zmieniac sie przy kazdym
przelewie, to dla wiekszosci uzytkownikow byloby to problemem.

> No to zróbmy hasło zmienne :) Ze mną jak z dzieckiem ;)
> A poważnie - jest jeszcze numer zlecenia, który trzeba podać bo inaczej
> nic się nie wyświetli i już.

Tak jak pisalem, problem enumeracji.
To, ze dla wykonania kazdego dowolnego przelewu potrzebny jest (latwy
do zlamania) zmienny kod, wydaje sie akceptowalne dla prawie wszystkich.
Obawiam sie jednak, ze nie byloby to akceptowalne dla mniej istotnych
z punktu widzenia bezpieczenstwa operacjach. Dodatkowo 5-cyfrowy kod
jest wystarczajaco bezpieczny dla przelewow (gdyz jest to tylko drugi
stopien weryfikacji, nie mozna go latwo sprawdzic metoda brutalnej
sily), ale to za malo dla sprawdzania przelewow przez osobe, ktora
wczesniej nie zalogowala sie w systemie.

> Podobnie z włamaniem do e-banku, który jest zabezpieczony statycznym
> hasłem logowania.

Haslo logowania moze byc bardziej skomplikowane, gdyz jest dosc stale.
Nie wyobrazam sobie jednak podawania takich hasel komukolwiek,
np. przez telefon.

> Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś zauważy co
> robisz i zablokuje.

Zablokuje dzialanie systemu bankowego?
--
Krzysztof Halasa
Network Administrator

do góry

Krzysztof Halasa wrote:
|| "Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:
||
||| Jeśli na dwóch różnych potwierdzeniach będzie ten sam numer
||| operacji, to sprawa jest jasna.
||
|| Nie jest jasna. Numer operacji nie jest zdefiniowany dla kontrahenta,
|| mozna mu np. powiedziec (tak jak pisalem), ze zawsze jest taki sam.

Chyba masz rację, mało kto zwraca na to uwagę.

|| Jesli ofiara oczekuje na dwa identyczne przelewy od tej samej osoby,
|| to juz to jest podejrzane, i rozne numery "operacji" tego nie
|| zmienia.

O ile ofiara będzie wiedziała, co to jest numer referencyjny - to
zmienią. Na pewno nie zaszkodzi wyraźnie podać.

||| Nie, ale kasjer daje mi tylko jeden druk. Wcześniej pisałeś, że na
||| życzenie klienta kasjer powinien dać też swój kwitek potwierdzenia,
||| a ja się z tym nie zgadzam.
||
|| Nie pisalem czegos takiego. Napisalem, ze na żądanie klienta bank
|| powinien wydac np. kopie potwierdzenia.

Rozmawialiśmy o procedurze realizacji zlecenia na druku ZBP-owskim.
Napisałem:
> A więc kasjer powinien wydać wyłącznie
> druk zielony.
A Ty na to:
"Z tym sie oczywiscie zgadzam, ale tylko dlatego, ze wydawanie >1
potwierdzenia jest po prostu zbedne, klient tego nie chcial."
Dla mnie to jest jednoznaczne.

Zwróć uwagę, że potwierdzenie kasowe to nie to samo, co potwierdzenie
lub duplikat operacji wydane na żądanie klienta.
Jeśli natomiast klient chce po prostu kopię potwierdzenia kasowego, to
na ksero z tym i nie ma problemu.

||| Klient zlecił 5 identycznych przelewów. Następnie okazał 6
||| potwierdzeń z kasy i zareklamował operację.
||| Jeśli bank działa w sposób który opisałem, to nie ma szans na
||| wyłudzenie w ten sposób.
||
|| Tak tez nie ma. Ale to juz kwestia procedur banku, domyslam sie, ze
|| poprawnych.

Procedury powinny _zabraniać_ kasjerowi wydania kilku oryginałów druków
kasowych na jedną operację.

||| Myślisz, że nie znalazłby się rynek na taką usługę? Choćby jako
||| dodatkowy bajer?
||
|| Mysle, ze koszty by sie nie zwrocily.

Nie spieram się, bo nie wiem.

|| Jesli wyslane, to za chwile kontrahent bedzie to mial w swoim
|| (dobrym) banku - niepotrzebne. Jesli nie jest jeszcze wyslane, to
|| mozna anulowac.

Nie każdy bank obsługuje wszystkie sesje. Nie każdy księguje przelewy
otrzymane ostatnią sesją w tym samym dniu. A czas leci.
Poza tym nie kłopot zabronić anulowania zlecenia, od strony banku który
taką usługę świadczy i powiedzieć o tym wszystkim. AFAIK przepisy nie
precyzują, czy bank jest obowiązany anulować zlecenie jeśli jest to
możliwe.

||| Kwestia znalezienia złotego środka.
||| Korzystanie z e-banków czy IVR-owych bankolinii to też ryzyko i
||| konieczność pamiętania haseł, a jednak ludzie korzystają.
||
|| Owszem, ale haslo jest dosc stale. Gdyby mialo zmieniac sie przy
|| kazdym przelewie, to dla wiekszosci uzytkownikow byloby to problemem.

OK.

|| To, ze dla wykonania kazdego dowolnego przelewu potrzebny jest (latwy
|| do zlamania) zmienny kod, wydaje sie akceptowalne dla prawie
|| wszystkich. Obawiam sie jednak, ze nie byloby to akceptowalne dla
|| mniej istotnych z punktu widzenia bezpieczenstwa operacjach.

Przyznam, że nie rozumiem.

|| Dodatkowo 5-cyfrowy kod jest wystarczajaco bezpieczny dla przelewow
|| (gdyz jest to tylko drugi stopien weryfikacji, nie mozna go latwo
|| sprawdzic metoda brutalnej sily), ale to za malo dla sprawdzania
|| przelewow przez osobe, ktora wczesniej nie zalogowala sie w systemie.

Tu też masz dwa poziomy weryfikacji - numer operacji i hasło.

||| Podobnie z włamaniem do e-banku, który jest zabezpieczony statycznym
||| hasłem logowania.
||
|| Haslo logowania moze byc bardziej skomplikowane, gdyz jest dosc
|| stale. Nie wyobrazam sobie jednak podawania takich hasel komukolwiek,
|| np. przez telefon.

Zgoda, wygodne to by nie było. Ale czy z punktu widzenia włamu na "brute
force" ma znaczenie poziom skomplikowania hasła?

||| Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś
||| zauważy co robisz i zablokuje.
||
|| Zablokuje dzialanie systemu bankowego?

Nie, odetnie takiemu użytkownikowi dostęp i powiadomi policję.

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry

"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> O ile ofiara będzie wiedziała, co to jest numer referencyjny - to
> zmienią.

Zgodziles sie, ze nie ma on znaczenia dla kontrahenta.

> Na pewno nie zaszkodzi wyraźnie podać.

Oczywiscie ze nie zaszkodzi. Ale tez nie jest to zasadniczy plus.

> Rozmawialiśmy o procedurze realizacji zlecenia na druku ZBP-owskim.
> Napisałem:
> > A więc kasjer powinien wydać wyłącznie
> > druk zielony.
> A Ty na to:
> "Z tym sie oczywiscie zgadzam, ale tylko dlatego, ze wydawanie >1
> potwierdzenia jest po prostu zbedne, klient tego nie chcial."
> Dla mnie to jest jednoznaczne.

A, to inna sprawa, myslalem o innym "kwicie potwierdzenia kasjera",
nie takim na standardowym druku (skojarzylo mi sie z istniejaca procedura
w jednym banku).

Jasne, te dwa potwierdzenia (kopie czy jak to nazwiesz) dotycza jednej
operacji i wciaz nie widze w tym problemu.

> Zwróć uwagę, że potwierdzenie kasowe to nie to samo, co potwierdzenie
> lub duplikat operacji wydane na żądanie klienta.

Tak, ale tylko dlatego, ze potwierdzenie operacji (o jakim mysle) zawiera
informacje o zrealizowaniu przelewu, a nie tylko o jego zleceniu.

> Jeśli natomiast klient chce po prostu kopię potwierdzenia kasowego, to
> na ksero z tym i nie ma problemu.

W praktyce tak, bo klient zwykle nie potrzebuje wiecej niz 1 kopii.
Zreszta tej 1 kopii tez zwykle nie potrzebuje :-)

> Procedury powinny _zabraniać_ kasjerowi wydania kilku oryginałów druków
> kasowych na jedną operację.

Tego to ja juz nie wiem. Czym, Twoim zdaniem, rozni sie oryginal od
kopii w tym przypadku? Bo chyba nie tym, ze kopia jest odbita na ksero?

> Nie każdy bank obsługuje wszystkie sesje. Nie każdy księguje przelewy
> otrzymane ostatnią sesją w tym samym dniu. A czas leci.

To moze niech kontrahent korzysta z takiego banku, ktory to robi.
Duzo bardziej bezpieczne od decydowania co zrobic z towarem na podstawie
pary identycznych kwitkow.

> Poza tym nie kłopot zabronić anulowania zlecenia, od strony banku który
> taką usługę świadczy i powiedzieć o tym wszystkim. AFAIK przepisy nie
> precyzują, czy bank jest obowiązany anulować zlecenie jeśli jest to
> możliwe.

A cel tego jest jaki?
Wez pod uwage, ze nawet posiadajac w dloni podsteplowany kwit nie masz
100% pewnosci, ze przelew zostanie wykonany: moze to byc wina pracownika
jednego z bankow lub np. blad systemu komputerowego.
Normalnie nie jest to oczywiscie problemem, gdyz bank pokryje szkody
- tyle, ze w tym przypadku platnik moze stracic zainteresowanie w ogole
wykonaniem tego przelewu, w koncu ma juz towar.

Dlatego tez nie ma sensu obudowywac procedur bankowych dodatkowymi
zabezpieczeniami tego typu, gdyz tak czy owak dopiero zaksiegowanie
przychodzacego przelewu na rachunku sprzedawcy znaczy dla niego wiecej
niz oswiadczenie kupujacego o zleceniu zaplaty.

> || To, ze dla wykonania kazdego dowolnego przelewu potrzebny jest (latwy
> || do zlamania) zmienny kod, wydaje sie akceptowalne dla prawie
> || wszystkich. Obawiam sie jednak, ze nie byloby to akceptowalne dla
> || mniej istotnych z punktu widzenia bezpieczenstwa operacjach.
>
> Przyznam, że nie rozumiem.

No, dowolny przelew robi sie niezbyt czesto, w koncu sa stali sprzedawcy
itd. Ale trudno wymagac wklepywania zmiennego kodu przy kazdej drobnej
operacji - np. mBank musialby co chwile przysylac nowe listy "hasel".

> || Dodatkowo 5-cyfrowy kod jest wystarczajaco bezpieczny dla przelewow
> || (gdyz jest to tylko drugi stopien weryfikacji, nie mozna go latwo
> || sprawdzic metoda brutalnej sily), ale to za malo dla sprawdzania
> || przelewow przez osobe, ktora wczesniej nie zalogowala sie w systemie.
>
> Tu też masz dwa poziomy weryfikacji - numer operacji i hasło.

Ale oba sa bardzo slabe, lacznie sa slabsze niz zwykle haslo do systemu
komputerowego.

> Zgoda, wygodne to by nie było. Ale czy z punktu widzenia włamu na "brute
> force" ma znaczenie poziom skomplikowania hasła?

Oczywiscie, wlasnie to ma zasadnicze znaczenie.

> ||| Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś
> ||| zauważy co robisz i zablokuje.
> ||
> || Zablokuje dzialanie systemu bankowego?
>
> Nie, odetnie takiemu użytkownikowi dostęp i powiadomi policję.

Tak by bylo gdybym ja to chcial robic z konkretnego bankomatu banku, ale
nie w Internecie.
--
Krzysztof Halasa
Network Administrator

do góry

Krzysztof Halasa wrote:
|| "Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:
||
||| O ile ofiara będzie wiedziała, co to jest numer referencyjny - to
||| zmienią.
||
|| Zgodziles sie, ze nie ma on znaczenia dla kontrahenta.

Napisalem ze malo kto zwraca na to uwage. I w tej kwestii przyznalem Ci
racje.
Nie ma znaczenia dla "statystycznego" kontrahenta.

||| Na pewno nie zaszkodzi wyraźnie podać.
||
|| Oczywiscie ze nie zaszkodzi. Ale tez nie jest to zasadniczy plus.

Zaden z tych plusow o ktorych wspomnialem w watku, nie ma strategicznego
znaczenia dla dzialalnosci banku. Istotne jest, ze wszystkie wystepujące
naraz już są warte uwagi.

||| "Z tym sie oczywiscie zgadzam, ale tylko dlatego, ze wydawanie >1
||| potwierdzenia jest po prostu zbedne, klient tego nie chcial."
||| Dla mnie to jest jednoznaczne.
[...]
|| Jasne, te dwa potwierdzenia (kopie czy jak to nazwiesz) dotycza
|| jednej operacji i wciaz nie widze w tym problemu.

A ja sądzę, że wydanie >1 oryginału potwierdzenia przelewu, z których
każdy wystarczyłby osobno jest problemem. Małe są szanse na skorzystanie
z tej "luki" ale bank powinien miec to na uwadze.
Prawdopodobnie Cię nie przekonam, pozostańmy zatem przy swoim zdaniu.

||| Zwróć uwagę, że potwierdzenie kasowe to nie to samo, co
||| potwierdzenie lub duplikat operacji wydane na żądanie klienta.
||
|| Tak, ale tylko dlatego, ze potwierdzenie operacji (o jakim mysle)
|| zawiera informacje o zrealizowaniu przelewu, a nie tylko o jego
|| zleceniu.

Nie tylko dlatego.
Przede wszystkim potwierdzenie transakcji nie oznaczonej co do "sztuki"
(na druku ZBP) jest równorzędnym dokumentem do druku kasowego
standardowo wydawanego klientowi.
Natomiast każde potwierdzenie jest już osobnym dokumentem, który
powinien być zatytułowany (np. kopia zlecenia lub potwierdzenie
wykonania) i zawierać dane konkretnej sztuki operacji.

||| Procedury powinny _zabraniać_ kasjerowi wydania kilku oryginałów
||| druków kasowych na jedną operację.
||
|| Tego to ja juz nie wiem. Czym, Twoim zdaniem, rozni sie oryginal od
|| kopii w tym przypadku? Bo chyba nie tym, ze kopia jest odbita na
|| ksero?

Oryginał to wydruk kasowy z pieczątką lub zielony odcinek druku ZBP z
pieczątką.
Kopia to drugi odcinek wydruku kasowego (który zostawia sobie kasjer)
lub odbitka któregokolwiek druku.

||| Nie każdy bank obsługuje wszystkie sesje. Nie każdy księguje
||| przelewy otrzymane ostatnią sesją w tym samym dniu. A czas leci.
||
|| To moze niech kontrahent korzysta z takiego banku, ktory to robi.

Nie każdy to robi w tej chwili, a jednak mają klientów na swoje usługi.
To jest istotny czynnik, ale nie decydujący przy wyborze banku.

||| Poza tym nie kłopot zabronić anulowania zlecenia, od strony banku
||| który taką usługę świadczy i powiedzieć o tym wszystkim.
|| A cel tego jest jaki?
|| Wez pod uwage, ze nawet posiadajac w dloni podsteplowany kwit nie
|| masz 100% pewnosci, ze przelew zostanie wykonany:

Oczywiście że nie, ale po pierwsze dane z "mojej" formatki można byłoby
porównać ze swoimi namiarami na bank bez możliwości omyłki kasjera przy
wprowadzaniu zlecenia; poza tym odpada podejrzenie sfałszowania druku.
No i nie trzeba go wysyłać ani faksować, wystarczy wysłać maila albo
zadzwonić i każdy chętny może sprawdzić.

|| Dlatego tez nie ma sensu obudowywac procedur bankowych dodatkowymi
|| zabezpieczeniami tego typu, gdyz tak czy owak dopiero zaksiegowanie
|| przychodzacego przelewu na rachunku sprzedawcy znaczy dla niego
|| wiecej niz oswiadczenie kupujacego o zleceniu zaplaty.

Po pierwsze, to co proponuję to nie jest praktycznie żaden koszt. Po
drugie, są też inne aspekty poza tym, o którym wspomniałeś. Ja wolę
korzystać z banków, które swoje transakcje jednoznacznie oznaczają - są
IMHO bardziej bezpieczne i sprawne.

||| Przyznam, że nie rozumiem.
||
|| No, dowolny przelew robi sie niezbyt czesto, w koncu sa stali
|| sprzedawcy itd. Ale trudno wymagac wklepywania zmiennego kodu przy
|| kazdej drobnej operacji - np. mBank musialby co chwile przysylac
|| nowe listy "hasel".

Ale w przypadku który opisałem, kontrahent dostałby numer od razu z
hasłem. Może zanotować i wstukać, można wysłać SMS-em lub mailem. Poza
tym dotyczyłby on wówczas specyficznego przypadku i innej usługi, a nie
standardowej operacji na rachunku.

||| Tu też masz dwa poziomy weryfikacji - numer operacji i hasło.
||
|| Ale oba sa bardzo slabe, lacznie sa slabsze niz zwykle haslo do
|| systemu komputerowego.

Ale te dane byłyby właściwie bezużyteczne dla postronnej osoby i nie
wiązałyby się z żadnym ryzykiem finansowym, tylko z ujawnieniem poufnych
danych.

||| Zgoda, wygodne to by nie było. Ale czy z punktu widzenia włamu na
||| "brute force" ma znaczenie poziom skomplikowania hasła?
||
|| Oczywiscie, wlasnie to ma zasadnicze znaczenie.

No to się czegoś dowiedziałem :)

||||| Zablokuje dzialanie systemu bankowego?
|||
||| Nie, odetnie takiemu użytkownikowi dostęp i powiadomi policję.
||
|| Tak by bylo gdybym ja to chcial robic z konkretnego bankomatu banku,
|| ale nie w Internecie.

A dlaczego w internecie nie można? Wystarczy automat który będzie
pilnował czy nie ma prób włamania.

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry

"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> Przede wszystkim potwierdzenie transakcji nie oznaczonej co do "sztuki"
> (na druku ZBP) jest równorzędnym dokumentem do druku kasowego
> standardowo wydawanego klientowi.
> Natomiast każde potwierdzenie jest już osobnym dokumentem, który
> powinien być zatytułowany (np. kopia zlecenia lub potwierdzenie
> wykonania) i zawierać dane konkretnej sztuki operacji.

Wszystkie sa zatytulowane i wszystkie zawieraja te dane. To, ze nie
musza zawierac informacji niezdefiniowanych z punktu widzenia klienta
to inna sprawa.

> Oryginał to wydruk kasowy z pieczątką lub zielony odcinek druku ZBP z
> pieczątką.
> Kopia to drugi odcinek wydruku kasowego (który zostawia sobie kasjer)
> lub odbitka któregokolwiek druku.

A zrodlem tych definicji jest?

Co bedzie, jesli np. uzyje 2 blankietow do jednego przelewu i 2 (bedach
kompletem tamtych dwoch) do drugiego? Bede mial jeden oryginal,
jedna kopie i dwie kopie? Takie cos jest normalna praktyka przy
Eliksirze.

Bez przesady.

> Nie każdy to robi w tej chwili, a jednak mają klientów na swoje usługi.
> To jest istotny czynnik, ale nie decydujący przy wyborze banku.

Wiec jesli bank kontrahenta nawet nie potrafi w sensownym czasie
zaksiegowac przelewu, to moj bank ma wprowadzac jaka - szczerze mowiac
naprawde dziwna - usluge jako (bardzo czesciowe) obejscie problemu?

> Ale te dane byłyby właściwie bezużyteczne dla postronnej osoby i nie
> wiązałyby się z żadnym ryzykiem finansowym, tylko z ujawnieniem poufnych
> danych.

... o wielu, np. wszystkich operacjach. Wyglada fatalnie.

> A dlaczego w internecie nie można? Wystarczy automat który będzie
> pilnował czy nie ma prób włamania.

Bo w Internecie jest duzo trudniej odroznic atak brute force od
normalnego uzycia systemu. Bo w Internecie np. jestem w stanie
wykonac jednoczesnie setki polaczen, kazde z innego adresu IP,
a to raczej byloby trudne z bankomatem. Bo w Internecie sa serwery
proxy, i bez zadnego ataku takie proxy moze jednoczesnie posredniczyc
w wielu operacjach.
--
Krzysztof Halasa
Network Administrator

do góry

Krzysztof Halasa wrote:
|| "Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:
||| Natomiast każde potwierdzenie jest już osobnym dokumentem, który
||| powinien być zatytułowany (np. kopia zlecenia lub potwierdzenie
||| wykonania) i zawierać dane konkretnej sztuki operacji.
||
|| Wszystkie sa zatytulowane i wszystkie zawieraja te dane. To, ze nie
|| musza zawierac informacji niezdefiniowanych z punktu widzenia klienta
|| to inna sprawa.

No to jak są zatytułowane i opisane, a nie są kasowym dowodem wpłaty -
to nie ma problemu.

||| Oryginał to wydruk kasowy z pieczątką lub zielony odcinek druku ZBP
||| z pieczątką.
||| Kopia to drugi odcinek wydruku kasowego (który zostawia sobie
||| kasjer) lub odbitka któregokolwiek druku.
||
|| A zrodlem tych definicji jest?

Ja. Gdzie widzisz nieścisłość?

|| Co bedzie, jesli np. uzyje 2 blankietow do jednego przelewu i 2
|| (bedach kompletem tamtych dwoch) do drugiego? Bede mial jeden
|| oryginal, jedna kopie i dwie kopie? Takie cos jest normalna praktyka
|| przy Eliksirze.

Jak masz zamiar zkładać jedno zlecenia na dwóch drukach?

Jak złożysz na jednym, to kasjer powinien Ci wydać Twoją jedną zieloną
kopię.

|| Wiec jesli bank kontrahenta nawet nie potrafi w sensownym czasie
|| zaksiegowac przelewu, to moj bank ma wprowadzac jaka - szczerze
|| mowiac naprawde dziwna - usluge jako (bardzo czesciowe) obejscie
|| problemu?

Dlaczego nie, jeśli stwierdzi że to się opłaci?

||| Ale te dane byłyby właściwie bezużyteczne dla postronnej osoby i nie
||| wiązałyby się z żadnym ryzykiem finansowym, tylko z ujawnieniem
||| poufnych danych.
||
|| ... o wielu, np. wszystkich operacjach. Wyglada fatalnie.

Tak samo jak przy włamaniu do ebanku.

||| A dlaczego w internecie nie można? Wystarczy automat który będzie
||| pilnował czy nie ma prób włamania.
||
|| Bo w Internecie jest duzo trudniej odroznic atak brute force od
|| normalnego uzycia systemu.
[...]

Jeśli tak jest faktycznie, w co nie mam powodu nie wierzyć, to w jaki
sposób są zabezpieczone ebanki?

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry

"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> ||| Oryginał to wydruk kasowy z pieczątką lub zielony odcinek druku ZBP
> ||| z pieczątką.
> ||| Kopia to drugi odcinek wydruku kasowego (który zostawia sobie
> ||| kasjer) lub odbitka któregokolwiek druku.
> ||
> || A zrodlem tych definicji jest?
>
> Ja. Gdzie widzisz nieścisłość?

Widze przyklady odmiennego zastosowania.

> || Co bedzie, jesli np. uzyje 2 blankietow do jednego przelewu i 2
> || (bedach kompletem tamtych dwoch) do drugiego? Bede mial jeden
> || oryginal, jedna kopie i dwie kopie? Takie cos jest normalna praktyka
> || przy Eliksirze.
>
> Jak masz zamiar zkładać jedno zlecenia na dwóch drukach?

Na dwoch kartkach, albo na polowie 4-kartkowego druku.

> || Wiec jesli bank kontrahenta nawet nie potrafi w sensownym czasie
> || zaksiegowac przelewu, to moj bank ma wprowadzac jaka - szczerze
> || mowiac naprawde dziwna - usluge jako (bardzo czesciowe) obejscie
> || problemu?
>
> Dlaczego nie, jeśli stwierdzi że to się opłaci?

_Jesli_. Stwierdzi?

> Tak samo jak przy włamaniu do ebanku.

Zupelnie inaczej, wlamanie do ebanku wymaga zupelnie innej klasy ataku,
i wcale nie jest powiedziane, ze taki atak jest mozliwy.
Atak brute force na latwe do zlamania "hasla" to inna bajka i z cala
pewnoscia jest to mozliwe.

> Jeśli tak jest faktycznie, w co nie mam powodu nie wierzyć, to w jaki
> sposób są zabezpieczone ebanki?

Nie maja zle zabezpieczonych kanalow dostepu. A przynajmniej powinno
tak byc.
--
Krzysztof Halasa
Network Administrator

do góry

Krzysztof Halasa wrote:
||||| A zrodlem tych definicji jest?
|||
||| Ja. Gdzie widzisz nieścisłość?
||
|| Widze przyklady odmiennego zastosowania.

To dlatego, że przy druku kasowym klient dostaje oryginał a kasjer
zatrzymuje kopię, zaś przy druku ZBP-owskim - klient dostaje zieloną
kopię własnego zlecenia, która jest oryginałem potwierdzeniem operacji.
Mam nadzieję że nie namieszałem ;)

||| Jak masz zamiar zkładać jedno zlecenia na dwóch drukach?
||
|| Na dwoch kartkach, albo na polowie 4-kartkowego druku.

Mówisz zatem o druku niestandardowym. W takiej sytuacji kasjer może nie
przyjąć zlecenia, lub odmówić wydania pokwitowania na druku klienta.
Jednak w takiej sytuacji również klient nie powinien dostać więcej niż
jednego druku jako pokwitowanie. Niezależnie czy będzie to druk kasowy,
czy pieczątka na którejś z kartek druku niestandardowego.

||| Dlaczego nie, jeśli stwierdzi że to się opłaci?
||
|| _Jesli_. Stwierdzi?

Naturalnie, to podstawowy warunek.

||| Tak samo jak przy włamaniu do ebanku.
||
|| Zupelnie inaczej, wlamanie do ebanku wymaga zupelnie innej klasy
|| ataku, i wcale nie jest powiedziane, ze taki atak jest mozliwy.
|| Atak brute force na latwe do zlamania "hasla" to inna bajka i z cala
|| pewnoscia jest to mozliwe.

Znasz się na tym lepiej ode mnie, więc proszę wytłumacz jak lamerowi
jaka jest różnica?
W jednym przypadku masz niepowtarzalny numer referencyjny, w drugim
numer (nazwę) użytkownika.
I tu, i tu masz dodatkowe hasło do złamania.
W obu przypadkach łączysz się z serwerem bankowym po SSL.

||| Jeśli tak jest faktycznie, w co nie mam powodu nie wierzyć, to w
||| jaki sposób są zabezpieczone ebanki?
||
|| Nie maja zle zabezpieczonych kanalow dostepu. A przynajmniej powinno
|| tak byc.

Przypominam, że mówimy cały czas o statycznym haśle logowania wraz z
user ID.

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349

do góry