Krzysztof Halasa wrote:
|| "Piotr Grzegorz Skowronski" <s...@S...PRECZgazeta.pl> writes:
||
||| Jeśli na dwóch różnych potwierdzeniach będzie ten sam numer
||| operacji, to sprawa jest jasna.
||
|| Nie jest jasna. Numer operacji nie jest zdefiniowany dla kontrahenta,
|| mozna mu np. powiedziec (tak jak pisalem), ze zawsze jest taki sam.

Chyba masz rację, mało kto zwraca na to uwagę.

|| Jesli ofiara oczekuje na dwa identyczne przelewy od tej samej osoby,
|| to juz to jest podejrzane, i rozne numery "operacji" tego nie
|| zmienia.

O ile ofiara będzie wiedziała, co to jest numer referencyjny - to
zmienią. Na pewno nie zaszkodzi wyraźnie podać.

||| Nie, ale kasjer daje mi tylko jeden druk. Wcześniej pisałeś, że na
||| życzenie klienta kasjer powinien dać też swój kwitek potwierdzenia,
||| a ja się z tym nie zgadzam.
||
|| Nie pisalem czegos takiego. Napisalem, ze na żądanie klienta bank
|| powinien wydac np. kopie potwierdzenia.

Rozmawialiśmy o procedurze realizacji zlecenia na druku ZBP-owskim.
Napisałem:
> A więc kasjer powinien wydać wyłącznie
> druk zielony.
A Ty na to:
"Z tym sie oczywiscie zgadzam, ale tylko dlatego, ze wydawanie >1
potwierdzenia jest po prostu zbedne, klient tego nie chcial."
Dla mnie to jest jednoznaczne.

Zwróć uwagę, że potwierdzenie kasowe to nie to samo, co potwierdzenie
lub duplikat operacji wydane na żądanie klienta.
Jeśli natomiast klient chce po prostu kopię potwierdzenia kasowego, to
na ksero z tym i nie ma problemu.

||| Klient zlecił 5 identycznych przelewów. Następnie okazał 6
||| potwierdzeń z kasy i zareklamował operację.
||| Jeśli bank działa w sposób który opisałem, to nie ma szans na
||| wyłudzenie w ten sposób.
||
|| Tak tez nie ma. Ale to juz kwestia procedur banku, domyslam sie, ze
|| poprawnych.

Procedury powinny _zabraniać_ kasjerowi wydania kilku oryginałów druków
kasowych na jedną operację.

||| Myślisz, że nie znalazłby się rynek na taką usługę? Choćby jako
||| dodatkowy bajer?
||
|| Mysle, ze koszty by sie nie zwrocily.

Nie spieram się, bo nie wiem.

|| Jesli wyslane, to za chwile kontrahent bedzie to mial w swoim
|| (dobrym) banku - niepotrzebne. Jesli nie jest jeszcze wyslane, to
|| mozna anulowac.

Nie każdy bank obsługuje wszystkie sesje. Nie każdy księguje przelewy
otrzymane ostatnią sesją w tym samym dniu. A czas leci.
Poza tym nie kłopot zabronić anulowania zlecenia, od strony banku który
taką usługę świadczy i powiedzieć o tym wszystkim. AFAIK przepisy nie
precyzują, czy bank jest obowiązany anulować zlecenie jeśli jest to
możliwe.

||| Kwestia znalezienia złotego środka.
||| Korzystanie z e-banków czy IVR-owych bankolinii to też ryzyko i
||| konieczność pamiętania haseł, a jednak ludzie korzystają.
||
|| Owszem, ale haslo jest dosc stale. Gdyby mialo zmieniac sie przy
|| kazdym przelewie, to dla wiekszosci uzytkownikow byloby to problemem.

OK.

|| To, ze dla wykonania kazdego dowolnego przelewu potrzebny jest (latwy
|| do zlamania) zmienny kod, wydaje sie akceptowalne dla prawie
|| wszystkich. Obawiam sie jednak, ze nie byloby to akceptowalne dla
|| mniej istotnych z punktu widzenia bezpieczenstwa operacjach.

Przyznam, że nie rozumiem.

|| Dodatkowo 5-cyfrowy kod jest wystarczajaco bezpieczny dla przelewow
|| (gdyz jest to tylko drugi stopien weryfikacji, nie mozna go latwo
|| sprawdzic metoda brutalnej sily), ale to za malo dla sprawdzania
|| przelewow przez osobe, ktora wczesniej nie zalogowala sie w systemie.

Tu też masz dwa poziomy weryfikacji - numer operacji i hasło.

||| Podobnie z włamaniem do e-banku, który jest zabezpieczony statycznym
||| hasłem logowania.
||
|| Haslo logowania moze byc bardziej skomplikowane, gdyz jest dosc
|| stale. Nie wyobrazam sobie jednak podawania takich hasel komukolwiek,
|| np. przez telefon.

Zgoda, wygodne to by nie było. Ale czy z punktu widzenia włamu na "brute
force" ma znaczenie poziom skomplikowania hasła?

||| Zanim uda Ci się wygenerować poprawny numer i hasło, to ktoś
||| zauważy co robisz i zablokuje.
||
|| Zablokuje dzialanie systemu bankowego?

Nie, odetnie takiemu użytkownikowi dostęp i powiadomi policję.

--
ukłony - skowi
skowi (at) gazeta pl
gg: 2539349