W dniu Mon, 05 Aug 2019 17:02:34 +0200, użytkownik J.F. napisał:

> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
> jednego telefonu ?
> Np swoje, firmowe, rodzicow ...

W przyzwoitej aplikacji to się powinno załatwiać pełnomocnictwem do
konta. Wtedy w SWOJEJ aplikacji widzisz wszystkie konta, do których masz
pełnomocnictwa.

do góry

W dniu 2019-08-06 o 19:18, Dominik Ałaszewski pisze:

>> Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy
>> najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą,
>> za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-)
>
> Akurat w tym przypadku uważam, że zamiast rażącego niedbalstwa
> spokojnie wystarczyłoby "niezachowanie należytej staranności".

Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie
łagodniejszy sposób od innych firm. Jeśli założymy, że to problem
użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej
staranności to od razu można zmniejszyć wymagania bezpieczeństwa np.
sprzętu elektrycznego. Każdy sprzęt przewidziany do zasilania z gniazdka
z bolcem uziemiającym może być śmiertelnie niebezpieczny gdy użytkownik
podłączy go do gniazdka bez bolca. Kopnęło go - no cóż - był zobowiązany
dochować należytej staranności a nie dochował - jego wina.

Rosnąca złożoność otaczającego nas świata wymusiła podejście
zakładające, że użytkownik nie musi się znać na tym co używa.
Producentowi zależy, aby sprzedać swój wyrób jak największej grupie
użytkowników więc musi przewidzieć, że znaczna część z nich nie będzie
rozumiała jakie zagrożenia dany produkt powoduje i jego zadaniem jest
zapewnienie bezpieczeństwa użytkownika nawet, gdy ten popełni dające się
przewidzieć błędy wynikające z braku wiedzy. Skutek jest taki, że
obecnie dostępne wyroby są znacznie bardziej bezpieczne niż dawniej. Jak
miałem 4 lata i 4 miesiące byłem w stanie tak wetknąć wtyczkę do
gniazdka, że gdy bolce miały już kontakt z blaszkami w gniazdku między
wtyczką a gniazdkiem zmieścił się mój palec wskazujący dotykający obu
bolców (wtyczkę trzymałem w garści). Obecnie nie znajdzie się już
gniazdek z tak niskim rantem.
Tak samo bank, jako producent aplikacji, powinien odpowiadać za dające
się przewidzieć błędy użytkownika. Na moje wyczucie użytkownicy
aplikacji na telefonach popełniają więcej błędów dotyczących
bezpieczeństwa niż użytkownicy komputerów. Np. nie słyszałem aby
użytkownik komputera nie korzystał z drugiego kanału dla otrzymania
hasła SMS potwierdzającego operację, natomiast chyba niewielu
użytkowników telefonów korzysta w tym celu z drugiego aparatu.

Jeśli bank nie jest w stanie zapewnić odpowiedniego poziomu
bezpieczeństwa to proste - nie oferuje takiego rozwiązania. Jeśli
oferuje to ponosi odpowiedzialność. Tylko taki układ wydaje mi się
logiczny w obecnym świecie.
P.G.

do góry

On 2019-08-05, J.F. <j...@p...onet.pl> wrote:

[...]

> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
> jednego telefonu ? Np swoje, firmowe, rodzicow ...

Konto as in "numer klienta" możesz powiązać jeden.
A w tymże koncie możesz mieć przypisane rachunki osobiste, firmowe,
czy te do których masz pełnomocnictwo.

>> i logowania się tam bez dodatkowej autoryzacji i której mowa w
>> dyrektywie.
>
> Zapowiadaja, a wyjdzie ... zobaczymy.
> I zauwaz ze ja nie proponuje "bez autoryzacji", tylko autoryzacja za
> pomoca programu na komputerze.

Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie
radośnie wrzucać.

>>Mówimy o dodatkowym źródle autoryzacji.
> O podstawowym !

Podstawowe źródło to mózg usera i hasło.
Drugi czynnik (second factor) to urządzenie mobilne.
Większy sens ma by drugim czynnikiem było coś "zewnętrznego"
co posiada użytkownik niż komputer z którego się użytkownik
chce zalogować.

>> do niej ze strony banku), to nie ma opcji żeby Ci coś ją podmieniło,
>> czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.
>
> A musi podmieniac ? Zainstaluje druga, o nazwie mbank-pro np, i
> zobaczymy w co klikniesz palcem.

A po co miałby tą drugą instalowac?

>> więc powoli idą w tym kierunku, ale to jescze długo nie będzie taki
>> poziom.
> taaa ... i przestaniesz byc wlascicielem swojego komputera :-(

Nie chcę Cię martwić, ale nigdy nim nie byłes.
Jesteś właścicielem sprzętu, swoich danych i w sumie tyle.
Oprogramowanie to masz licencjonowane i nie jesteś jego właścicielem.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-06, Kamil Jońca <k...@p...onet.pl> wrote:
> Wojciech Bancer <w...@g...com> writes:
>
> [...]
>>
>> Nie słyszałem o przypadku zrootoowania urządzenia przez bład.
>> Wskażesz linka? Bo to że aplikacje sobie proszą o nadmiarowe
>> uprawnienia, a użytkownicy je dają, to nie jest błąd systemu.
>
> TERAZ, to chyba producenci już nie próbują walczyć z wiatrakami i
> pozwalają "legalnie" dostać roota, lub uwolnić bootloader, ale jeszcze
> +- 4 lata temu robiło się to właśnie przez błedy.
> Przychodzi mi do głowy tylko towel root czy kingroot, ale pewnie było
> tego więcej.

Ja się w Androida bawiłem gdzieś 2013-2015 roku i wtedy się rootowało
za pomocą kabelka, trybu serwisowego i podmiany flasha (sam tak robiłem
z HTC). I tak, traciło się gwarancje. Ale faktycznie sprawdziłem był
krótki okres, kiedy pojawił się bug, który to umożliwiał łatwego roota
na Androidzie (z racji błędu w kernelu linuksa). A zapewne część systemów
pozostała niezałatana, bo producenci mieli to gdzieś.

No cóż. Polityka google, która przerzuca "łatanie" na producentów
telefonów ma swoje konsekwencje, ale to tylko kolejny props do stosowania
iPhone (Apple wypuszcza łatki security bardzo długo i nie ma problemu z ich
wgraniem). W tym roku wypuścili łatki security na iOS 9+, a przecież lada
dzień wychodzi wersja 13 systemu.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrnqklbeb.kh6.wojciech.bancer@pl-test.
org...
On 2019-08-05, J.F. <j...@p...onet.pl> wrote:
>> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
>> jednego telefonu ? Np swoje, firmowe, rodzicow ...

>Konto as in "numer klienta" możesz powiązać jeden.
>A w tymże koncie możesz mieć przypisane rachunki osobiste, firmowe,
>czy te do których masz pełnomocnictwo.

Zawsze to cos, ale czy takie dobre ...

A jak w innych bankach i ich apkach to wyglada ?

>>> i logowania się tam bez dodatkowej autoryzacji i której mowa w
>>> dyrektywie.
>> Zapowiadaja, a wyjdzie ... zobaczymy.
>> I zauwaz ze ja nie proponuje "bez autoryzacji", tylko autoryzacja
>> za
>> pomoca programu na komputerze.

>Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie
>radośnie wrzucać.

Mowisz, ze Androidy lepiej ?

>>>Mówimy o dodatkowym źródle autoryzacji.
>> O podstawowym !
>Podstawowe źródło to mózg usera i hasło.

Komputery sa slabo zabezpieczone :-P

>Drugi czynnik (second factor) to urządzenie mobilne.
>Większy sens ma by drugim czynnikiem było coś "zewnętrznego"
>co posiada użytkownik niż komputer z którego się użytkownik
>chce zalogować.

A na apce mobilnej jakos nie uwazacie, zeby bylo potrzebne dodatkowe
urzadzenie :-P

>>> do niej ze strony banku), to nie ma opcji żeby Ci coś ją
>>> podmieniło,
>>> czy (w przypadku iOS) dostało się do jakichkolwiek jej danych.
>> A musi podmieniac ? Zainstaluje druga, o nazwie mbank-pro np, i
>> zobaczymy w co klikniesz palcem.
>A po co miałby tą drugą instalowac?

Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ...

>>> więc powoli idą w tym kierunku, ale to jescze długo nie będzie
>>> taki
>>> poziom.
>> taaa ... i przestaniesz byc wlascicielem swojego komputera :-(

>Nie chcę Cię martwić, ale nigdy nim nie byłes.
>Jesteś właścicielem sprzętu, swoich danych i w sumie tyle.
>Oprogramowanie to masz licencjonowane i nie jesteś jego właścicielem.

Ale kiedys robilo to co ja chce, a dzis jest odwrotnie :-(

J.

do góry

Użytkownik "Piotr Gałka" napisał w wiadomości grup
dyskusyjnych:qiea7n$pec$1$P...@n...chmurka.ne
t...
W dniu 2019-08-06 o 19:18, Dominik Ałaszewski pisze:
>>> Znaczy wg Ciebie zamiast zabezpieczać lepiej systemy
>>> najlepiej zmienić prawo tak by użytkownik był wszystko-wiedzącą,
>>> za-wszystko-odpowiedzialną istotą? No jakaś myśl to jest. :-)
>
>> Akurat w tym przypadku uważam, że zamiast rażącego niedbalstwa
>> spokojnie wystarczyłoby "niezachowanie należytej staranności".

>Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie
>łagodniejszy sposób od innych firm. Jeśli założymy, że to problem
>użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej
>staranności to od razu można zmniejszyć wymagania bezpieczeństwa np.

Taaa ... tylko niech bank napisze, co to znaczy "nalezyta
starannosc" - dokladnie :-)

>sprzętu elektrycznego. Każdy sprzęt przewidziany do zasilania z
>gniazdka z bolcem uziemiającym może być śmiertelnie niebezpieczny gdy
>użytkownik podłączy go do gniazdka bez bolca. Kopnęło go - no cóż -
>był zobowiązany dochować należytej staranności a nie dochował - jego
>wina.

Hm,
-chyba nadal sprzet kopac nie powinien ... i to producent bedzie mial
klopoty
-zauwaz, ze konsstrukcja naszych gniazdek jest taka, ze to raczej do
gniazdka z bolcem nie wsadzisz wtyczki bez dziury.
Czyli co - w tym pomieszczeniu wolno uzywac tylko urządzen uziemionych
?

-zobacz np kuchenki/plyty grzejne. Nie ma gniazdka, "musi podlaczyc
elektryk z uprawnieniami".

-no i USA ... "nie wsadzaj kota do mikrofalowki".

>Tak samo bank, jako producent aplikacji, powinien odpowiadać za
>dające się przewidzieć błędy użytkownika. Na moje wyczucie
>użytkownicy aplikacji na telefonach popełniają więcej błędów
>dotyczących bezpieczeństwa niż użytkownicy komputerów. Np. nie
>słyszałem aby użytkownik komputera nie korzystał z drugiego kanału
>dla otrzymania hasła SMS potwierdzającego operację,

No ba - komputery zasadniczo nie odbieraja SMS.

>natomiast chyba niewielu użytkowników telefonów korzysta w tym celu z
>drugiego aparatu.

I proponujesz, zeby bank tego wymagal ?
To 90% klientow straci :-)

A tak swoja droga ... przechodza wlasnie na autoryzacje w apce
mobilnej, bo SMS zbyt niebezpieczne ... ale czy ciagle apka nie chce
potwierdzenia za pomoca SMS ?
Sami sobie nie wierza ? :-)

J.

do góry

W dniu 07.08.2019 o 12:18, jureq pisze:
> W dniu Mon, 05 Aug 2019 17:02:34 +0200, użytkownik J.F. napisał:
>
>> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
>> jednego telefonu ?
>> Np swoje, firmowe, rodzicow ...
>
> W przyzwoitej aplikacji to się powinno załatwiać pełnomocnictwem do
> konta. Wtedy w SWOJEJ aplikacji widzisz wszystkie konta, do których masz
> pełnomocnictwa.
>

Tak to działa w ipko. W innych bankach - nie wiem.

MJ

do góry

W dniu 2019-08-07 o 13:37, J.F. pisze:

>> Nie widzę żadnego powodu, aby banki traktować w jakiś specjalnie
>> łagodniejszy sposób od innych firm. Jeśli założymy, że to problem
>> użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa należytej
>> staranności to od razu można zmniejszyć wymagania bezpieczeństwa np.
>
> Taaa ... tylko niech bank napisze, co to znaczy "nalezyta starannosc" -
> dokladnie :-)
>
>> sprzętu elektrycznego. Każdy sprzęt przewidziany do zasilania z
>> gniazdka z bolcem uziemiającym może być śmiertelnie niebezpieczny gdy
>> użytkownik podłączy go do gniazdka bez bolca. Kopnęło go - no cóż -
>> był zobowiązany dochować należytej staranności a nie dochował - jego
>> wina.
>
> Hm,
> -chyba nadal sprzet kopac nie powinien ... i to producent bedzie mial
> klopoty

Przeoczyłeś, że ja piszę o sytuacji po przyjęciu założenia że:
"to problem użytkownika jeśli zrobi sobie krzywdę gdy nie dochowa
należytej staranności to od razu
_można_zmniejszyć_wymagania_bezpieczeństwa_ np. sprzętu elektrycznego."
a nie rzeczywistości.

>> Tak samo bank, jako producent aplikacji, powinien odpowiadać za dające
>> się przewidzieć błędy użytkownika. Na moje wyczucie użytkownicy
>> aplikacji na telefonach popełniają więcej błędów dotyczących
>> bezpieczeństwa niż użytkownicy komputerów. Np. nie słyszałem aby
>> użytkownik komputera nie korzystał z drugiego kanału dla otrzymania
>> hasła SMS potwierdzającego operację,
>
> No ba - komputery zasadniczo nie odbieraja SMS.
>

Ale fakt jest faktem :)
P.G.

do góry

On 2019-08-07, J.F. <j...@p...onet.pl> wrote:

[...]

>>> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da z
>>> jednego telefonu ? Np swoje, firmowe, rodzicow ...
>> Konto as in "numer klienta" możesz powiązać jeden.
>> A w tymże koncie możesz mieć przypisane rachunki osobiste, firmowe,
>> czy te do których masz pełnomocnictwo.
> Zawsze to cos, ale czy takie dobre ...

Z tego co kojarzę, jest to najbardziej popularne.

> A jak w innych bankach i ich apkach to wyglada ?

iPKO, mBank, Alior Bank i BZWBK mają powiązanie
z konkretnym numerem klienta.

>> Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie
>> radośnie wrzucać.
>
> Mowisz, ze Androidy lepiej ?

Tak. Mimo wszystko lepiej niż komputery.
Android (obecnie) się Ciebie *zapyta* czy chcesz
dać innej apce dostęp do Twoich maili itp.
Aplikacja na komputerze (Windows) nie musi tego
robić jeśli działa w kontekście danych do jakich
Ty masz dostęp.

>>>>Mówimy o dodatkowym źródle autoryzacji.
>>> O podstawowym !
>>Podstawowe źródło to mózg usera i hasło.
> Komputery sa slabo zabezpieczone :-P

Dlatego potrzebne będzie drugie źródło autoryzacji :)

>>Drugi czynnik (second factor) to urządzenie mobilne.
>>Większy sens ma by drugim czynnikiem było coś "zewnętrznego"
>>co posiada użytkownik niż komputer z którego się użytkownik
>>chce zalogować.
>
> A na apce mobilnej jakos nie uwazacie, zeby bylo potrzebne dodatkowe
> urzadzenie :-P

Bo smarfon jest uważany za bardziej osobiste urządzenie.
Zabezpieczenia na smartfonie to:
- konieczność powiązania "urządzenia" jako zaufanego
- pytanie o PIN (nie o hasło) LUB autoryzacja biometryczna
We wszystkich aplikacjach jakie widziałem występują oba
czynniki.

>>> zobaczymy w co klikniesz palcem.
>>A po co miałby tą drugą instalowac?
> Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ...

Przy takim mass-mailingu taka aplikacja zniknie bardzo szybko,
bo dużo kumatych osób to zgłosi. No i kurcze, bank wypisuje
często i gęsto jak postępować i skąd instalować aplikacje
oraz ostrzega przed fałszywymi aplikacjami.

--
Wojciech Bańcer
w...@g...com

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:slrnqklid0.cs6.wojciech.bancer@pl-test.
org...
On 2019-08-07, J.F. <j...@p...onet.pl> wrote:
>>>> A propos - gdybym chcial kilka kont klienta obslugiwac, to sie da
>>>> z
>>>> jednego telefonu ? Np swoje, firmowe, rodzicow ...
>>> Konto as in "numer klienta" możesz powiązać jeden.
>>> A w tymże koncie możesz mieć przypisane rachunki osobiste,
>>> firmowe,
>>> czy te do których masz pełnomocnictwo.

>> Zawsze to cos, ale czy takie dobre ...
>Z tego co kojarzę, jest to najbardziej popularne.

Rozrozniaja sie te konta jakos wyraznie na stronie czy w apce ??

>> A jak w innych bankach i ich apkach to wyglada ?
>iPKO, mBank, Alior Bank i BZWBK mają powiązanie
>z konkretnym numerem klienta.

Taa ... nie mam zdrowia z PKO wyjasniac, ale mialem tam jakies lokaty
walutowe, zlikwidowalem niedawno ... i sie okazuje, ze pobierali pare
zl co miesiac.
A powiadomili o zmianie "elektronicznie".
Co jest o tyle ciekawe, ze juz nic wiecej nie mialem z nimi wspolnego.
Tylko bylem pelnomocnikiem do konta ojca ... i chyba uznali, ze to
wystarczy.

No, mam jeszcze konto w Inteligo, ale dla nich to osobny bank.

Hm, a moze by jednak wyskrobac reklamacje ? :-)

>>> Komputery są (IMHO) za słabo zabezpieczone by coś takiego na nie
>>> radośnie wrzucać.
>
>> Mowisz, ze Androidy lepiej ?

>Tak. Mimo wszystko lepiej niż komputery.
>Android (obecnie) się Ciebie *zapyta* czy chcesz
>dać innej apce dostęp do Twoich maili itp.

A ciemny lud pozwoli, a jasny ... byc moze tez da sie nabrac.
Bo te zabezpieczenia to jakies takie malo funkcjonalne.

>>>> zobaczymy w co klikniesz palcem.
>>>A po co miałby tą drugą instalowac?
>> Przez przypadek, z reklamy, z e-maila "nowa aktualizacja" ...

>Przy takim mass-mailingu taka aplikacja zniknie bardzo szybko,
>bo dużo kumatych osób to zgłosi.

Zaczac od niekumatych :-)

>No i kurcze, bank wypisuje często i gęsto jak postępować i skąd
>instalować aplikacje
>oraz ostrzega przed fałszywymi aplikacjami.

no przeciez ze sklepu instalowana :-)

J.

do góry