Re: PSD2 mBank i pewnie nie tylko... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › PSD2 mBank i pewnie nie tylko... › Re: PSD2 mBank i pewnie nie tylko...

Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
e.net!feeder.erje.net!newsfeed.xs4all.nl!newsfeed7.news.xs4all.nl!85.12.16.70.M
ISMATCH!peer03.ams1!peer.ams1.xlned.com!news.xlned.com!peer03.fr7!futter-mich.h
ighwinds-media.com!news.highwinds-media.com!newsfeed.neostrada.pl!unt-exc-02.ne
ws.neostrada.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl.POSTED!not-for
-mail
Newsgroups: pl.biznes.banki
From: Wojciech Bancer <w...@g...com>
Subject: Re: PSD2 mBank i pewnie nie tylko...
References: <5d3ef4e4$0$500$65785112@news.neostrada.pl>
<s...@p...org>
<5d52c35d$0$17348$65785112@news.neostrada.pl>
<s...@p...org>
<qj0ftc$1ejh$1@gioia.aioe.org>
<s...@p...org>
<qj0jlh$1vds$1@gioia.aioe.org>
<s...@p...org>
<5d53ec28$0$17364$65785112@news.neostrada.pl>
<qj0uhs$1hdo$1@gioia.aioe.org>
<5d5400d7$0$17364$65785112@news.neostrada.pl>
<qj0vtf$1nb5$1@gioia.aioe.org>
<5d541ba5$0$17341$65785112@news.neostrada.pl>
<qj1h1u$6bp$1@gioia.aioe.org>
<5d5a9741$0$17352$65785112@news.neostrada.pl>
<qje5ok$198m$1@gioia.aioe.org>
<5d5a9d07$0$500$65785112@news.neostrada.pl> <m...@p...waw.pl>
<5d5bc4f8$0$534$65785112@news.neostrada.pl>
<qjgirr$1r4g$1@gioia.aioe.org>
<5d5bd4a5$0$17348$65785112@news.neostrada.pl>
<qjgork$m5b$1@gioia.aioe.org>
<c...@g...com>
<s...@p...org>
Organization: None
Date: Tue, 20 Aug 2019 15:02:26 +0200
User-Agent: slrn/1.0.3 (Darwin)
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
Message-ID: <s...@p...org>
Lines: 45
NNTP-Posting-Host: 31.60.28.152
X-Trace: 1566306153 unt-rea-a-02.news.neostrada.pl 539 31.60.28.152:15490
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 3460
X-Received-Body-CRC: 2156272124
Xref: news-archive.icm.edu.pl pl.biznes.banki:645249
[ ukryj nagłówki ]

On 2019-08-20, Wojciech Bancer <w...@g...com> wrote:
> On 2019-08-20, Kris <k...@g...com> wrote:
>
> [...]
>
>>> Chcę zrobić przelew, w znakomitej większości korzystam ze
>>> zdefiniowanych. Haker nie może wiedzieć, jakie mam przelewy zdefiniowane
>>> w systemie. Jeśli zatem widzę, że lista jest pusta to czy nie jest to
>>> wystarczającym sygnałem ostrzegającym dla klienta, że ze stroną coś jest
>>> nie tak?
>>
>> Haker nie wie tez jakie masz saldo konta czy tam innych rachunków. Więc jak
wejdziesz na fałszywą stronę to chociażby po saldzie konta widzisz że coś jest nie
tak
>
> Napisanie "proxy" które będzie pobierało dane ze strony banku

Żeby nie być gołosłownym, to takie najbardziej prymitywne
rozwiązanie to chociażby:
https://github.com/chimurai/http-proxy-middleware

---
var express = require('express');
var proxy = require('http-proxy-middleware');

var app = express();

app.use('/', proxy({ target: 'http://strona.mojego.banku', changeOrigin: true }));
app.listen(3000);
---

Czyli jakieś 6 linijek kodu i wszystko masz "przekazywane", tak że jedynie
po domenie widzisz różnicę. Bank również dostaje wszystkie właściwe dane,
nagłówki przeglądarki itp., wszystko od Ciebie.

Oczywiście banki stosują pewne zabezpieczenia, ale jak ktoś wie co robi,
to i je obejdzie. A w środku powyższego możesz dodać kod dowolnie
modyfikujący wybrane fragmenty strony, czy tego co użytkownik
przekazuje.

Dopisanie więc, że przelew który użytkownik autoryzuje
zamiast 1,00 zł, to <saldo konta>,00 zł, to dość prosta
rzecz.

--
Wojciech Bańcer
w...@g...com