Re: Kolejny wyrok - mBank musi oddać - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › Kolejny wyrok - mBank musi oddać › Re: Kolejny wyrok - mBank musi oddać

Data: 2016-04-30 12:12:26
Temat: Re: Kolejny wyrok - mBank musi oddać
Od: Krzysztof Halasa <k...@p...waw.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]

"J.F." <j...@p...onet.pl> writes:

>> QR kod działa w praktyce bezproblemowo.
>
> Probowales z roznymi urzadzeniami, w roznych warunkach ?

Jasne.
Tzn. nie wykluczam, że mogą być takie, które kiepsko sobie radzą
(skanery generalnie).
Dla porównania, mam do czynienia także z kamerami video, w tym z takimi
analogowymi, PAL 576i. Niektóre bardzo kiepsko sobie radzą :-)

> Jak sam skanera nie pisales, to nie wiesz co zawiera :-)
> A jak chcesz sprawdzac, to mozesz i stos sprawdzic :-)
>
> No chyba, zeby kupic osobny modul z jakims prostym interfejsem.
> Ale przeciez jeszcze wyzsza warstwa programu moze byc wrazliwa - atak
> w stylu SQL Injection ...

Owszem, ale to także kwestia prawdopodobieństwa, oraz nakładu pracy.
Teoretycznie "odpowiedni" błąd może być wszędzie, tak się jednak składa,
że częściej one są w specyficznych miejscach.

> No ale komus trzeba w koncu ufac. Komu, jesli nie wlasnemu bankowi ?

Jak to było? Kontrola podstawą zaufania czy jakoś tak.
Jeśli nie potrzebujemy komuś ufać, to lepiej nie być do tego zmuszonym.
Bank sam w sobie (mury itd) nic złego nam nie zrobi. Osoby mogą.

>> Poza tym tablety, kioski bez dostępu do USB itd.
>
> Logowac sie do banku z nieznanego kiosku ? Hm ....

No wiem, ale praktyka jaka jest każdy widzi.
Poza tym, może być znany, np. bankowy (co nie znaczy, że można mu
bezgranicznie ufać).

> Token falszywy. Kradna ci token, ale podstawiaja falszywy.

Tak może być, ale to są inne reguły gry.
Zagrożeń jest więcej (bardziej prawdopodobnych): np. "wymuszenie
rozbójnicze".

> No, jest to jakas koncepcja prawna.
> Ale co - bank jest zawsze winny, a klient ma nieogranicza
> nieodpowiedzialnosc ?

Moim zdaniem rozsądna granica powinna być tam, gdzie kończy się wpływ
danej strony.
Np. bank decyduje, że dostęp do niego odbywa się przeglądarką
internetową i hasłami SMS - to niech odpowiada za przeglądarkę
i telefon z SMSami (oczywiście w granicach sensu, działanie klienta
w złej wierze itp. pomijam). Zawsze przecież może wyposażyć klienta
w te narzędzia :-)

Bank decyduje, że do autoryzacji potrzebny jest token i kanał QR,
to niech za to odpowiada. Przeglądarka z wirusem nie jest wtedy
problemem (pomijając ew. niewykonanie dyspozycji).

Bank decyduje, że jest otwarty system z podpisem cyfrowym, niech
odpowiada za realizację prawidłowo podpisanych zleceń. BTW realizowane
w praktyce, chociaż do bezpieczeństwa po stronie klienta można mieć
pewne "uwagi".

Bank decyduje, że wystarczy nazwisko panieńskie jako hasło, no cóż.
--
Krzysztof Hałasa