"Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:

> Technologia nie ma znaczenia. Chodzi o to, że taki spreparowany druk
> miałby służyć właśnie do przedstawienia _jako_oryginał - nie da się nie
> stwierdzić, czy to kopia czy nie. Jeśli tam będzie numer operacji, to
> oszust będzie musiał wysmażyć kopię i zmienić ten numer, a to już jest
> kryminał.

Nie napisales dlaczego kontrahent na podstawie dwoch potwierdzen z dwoma
takimi samymi numerami ma domniemywac, ze oba potwierdzenia dotycza
tej samej transakcji, i dlaczego ma domniemywac przeciwnie, jesli tych
numerow tam w ogole nie bedzie.

W sensie formalnym, bo nie chodzi mi o "podejrzenia" - te beda zawsze,
a papiery nie powinny byc podstawa do wydawania towaru, jesli nie ma sie
wystarczajacego zaufania do klienta.

> Poza tym takie rozwiązanie powinno także usprawnić pracę samego banku, w
> połączeniu z dobrze zorganizowanym archiwum. Po prostu wiadomo byłoby od
> razu, gdzie czego szukać.

To jest inna sprawa, zupelnie nie zwiazana z problemem dwoch potwierdzen.

> Może to dziwne, ale nie byłem :) Albo zlecam przelewy przez internet i w
> ogóle nie mam papierka, albo w kasie dostaję potwierdzenie na druku
> ZBP-owskim,

I wtedy tez masz numer?

> || Reklamacje zglasza klient w swoim banku, wiec to bez znaczenia.
>
> Ma znaczenie, bo bank nie musi się tłumaczyć że nie jest wielbłądem.
> Sprawa prosta: na każdym zleceniu jest numer referencyjny, zlecenie o
> takim numerze było albo nie było wykonane, koniec.

A jesli numeru nie ma, to sprawa wyglada inaczej? Bez jaj.

> Żeby klient mógł zaoszczędzić czas, a bank mógł się nowym ficzerem
> pochwalić :)

Chyba tylko to drugie :-(

> Poza tym, jak się zastanowiłem to doszedłem do wniosku, że
> bezpieczeństwo byłoby jednak wyższe - z tego względu, że oglądający
> rzeczone potwierdzenie miałby pewność, że właśnie jest połączony z
> serwerem bankowym i ogląda surowe dane bankowe ze źródła. A papierek
> technicznie nie jest zabezpieczony niczym, oprócz świadomości
> odpowiedzialności karnej za fałszerstwo.

To drugie moze byc wazniejsze. A jesli ktos np. anuluje przelew?

> || I moze nie bedzie moim celem potwierdzenie jakichkolwiek operacji,
> || a uzyskanie danych o nich?
>
> To inna sprawa, dobrze że o tym wspomniałeś.
> Sądzę, że dałoby się skonstruować taki system, żeby nikomu się nie
> opłacało tego robić. Widzę to na przykład następująco:
> Bank wykonuje operację, nadaje jej swój numer. Następnie szyfruje ten
> numer jakimś algorytmem i dodaje kilka losowych cyfr. Ten numer podaje
> właścicielowi rachunku, który z usługi chce skorzystać.

Czyli generuje dlugi numer. Problem jest taki, ze dluzszy numer bedzie
za dlugi dla uzytkownikow, a krotszy mozna uzyc do "enumeracji".

> Właściciel ustala hasło, które zabezpieczy dostęp do jego danych. Może
> być stałe dla wszystkich operacji dokonanych na rachunku. Następnie
> dzwoni do kontrahenta, podaje numer operacji i swoje hasło dostępowe.

I to ma byc w jakis sposob bezpieczne? Kontrahent ma znac haslo stale
dla wszystkich operacji na rachunku? Cos przesadzasz.

> Jeśli będziesz chciał "na chama" odpytywać bankowy serwer po kolei o
> różne numery operacji to zajmie Ci dużo czasu żeby trafić na istniejący
> numer w połączeniu z poprawnym hasłem.

Tak jak napisalem, przy sensownej dlugosci numerow zajmie to chwile.

> A to co być może uzyskasz, to
> dane jakiejś-tam operacji jakiegoś-tam pana Kowalskiego. Gra niewarta
> świeczki.

Nie. Uzyskam dane o wszystkich realizowanych transakcjach.
--
Krzysztof Halasa
Network Administrator