W odpowiedzi na pismo z niedziela 05 kwiecień 2009 20:26
(autor Marcin Wasilewski
publikowane na pl.biznes.banki,
wasz znak: <grat44$agm$1@news.task.gda.pl>):

>> Ano. Każdy rozsądny powie ,,wreszcie''. Nie sądzę, żeby duży odsetek
>> klientów mBanku nie miał telefonu. A koszt wydawania list dla dinozaurów
>> przechodzi na klienta. Pewnie uznali, że nie opłaca się utrzymywać linii
>> produkcyjnej z powodu promila antytelefonowców.
> A myślisz, że sms-y bank ma za darmo?

Ale taniej.

> Większość banków za kolejny sms
> w
> m-cu (po przekroczeniu darmowej puli) każe sobie płacić po kilkadziesiąt
> groszy.

Bo chcą zarobić, esesman dla zwykłej ludności jest tańszy. Więc dla masówki
tym bardziej. A mBank do tego jest operatorem komórkowym, więc w ogólności
jeszcze taniej.

> Co powiesz gdy mBank za jakiś czas też tak zacznie robić?

Nie wiem. Zależy jaka ta pula będzie i jaka kwota. Jak na razie mBank jest
najtańszy, i to znacznie, ze wszystkich banków, jakie oglądałem. Więc nawet
jak dodadzą opłaty jakieś, nadal ma szanse być najtańszy. W takim inteligo
z 10zł miesięcznie bym musiał płacić za to, co mam za darmo w mBanku, więc
wiesz...


--
Tristan

Kupię płyty/kasety/mp3/cokolwiek z płyty Mydełko Fa 2

do góry

On Sat, 4 Apr 2009 12:02:55 +0200, Szymon wrote:
> Listy są bezpieczniejsze znacząco bardziej, ale użytkowane zgodnie z
> zasadami logiki.

Ale wiesz, ze w SMSie jest ,,troche'' wiecej informacji poza samym
kodem? Na tyle, ze wiesz *co* *naprawde* potwierdzasz.

Do poduszki: http://en.wikipedia.org/wiki/Man-in-the-middle_attac
k

--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry

On 2009-04-05, Tristan <n...@s...pl> wrote:
>> Większość banków za kolejny sms >> w
>> m-cu (po przekroczeniu darmowej puli) każe sobie płacić po kilkadziesiąt
>> groszy.
>
> Bo chcą zarobić, esesman dla zwykłej ludności jest tańszy. Więc dla masówki
> tym bardziej. A mBank do tego jest operatorem komórkowym, więc w ogólności
> jeszcze taniej.

mBank jest co najwyżej, właścicielem marki oraz firmy świadczącej usługi
MVNO, nie jest on nawet MVNO Infrastrukturalnym. Czytaj: BRE Bank S.A.
ma mBank, mBank jest właścicielem marki moBile, firma zajmująca się
moBile, sprzedaje usługi (bodajże) Plusa i tyle. Nie ma on własnych
"szpejów" do świadczenia usług GSM, całość (nie tylko radio) dzierżawi
od prawdziwego operatora. Co za tym idzie: koszt smsów, nawet do
"własnej" sieci (właściwe to własnej numeracji) jest dla niego całkiem
realny.
Ciekawe co by było gdybyś podał w mBanku (czy też innym banku) numer
komórki zaczynający się od +49, pewnie zabiliby Cię śmiechem i kazali
nabyć komórkę z numerem zaczynającym się od +48.

> Nie wiem. Zależy jaka ta pula będzie i jaka kwota. Jak na razie mBank jest
> najtańszy, i to znacznie, ze wszystkich banków, jakie oglądałem.

Ja powiem nawet więcej, jeśli mBank ma jakąś usługę, to jest ona tańsza,
lepsza i ogólnie wyznacza pewne trendy na rynku, a inne banki starają
sie, albo naśladować, albo przegonić. Tylko wielu usług powyżej
oczekiwań szarego Kowalskiego mBank nie ma. No i jakoś ostanio "nihil
novi" w mBanku...

kd,

--
Krzysztof Drewicz
Podsłuchane na pogrzebie: "Wiem, że to niezręcznie pytać o takie rzeczy w tej
chwili, ale przypominasz sobie, żeby on kiedykolwiek wspomniał coś o kodzie
źródłowym?" --- Charles Addams

do góry

Tristan wrote:

> No żeby ktoś, kto podejrzy hasło głównie nie mógł se dowolnie przelać gdzieś
> do Peru.
>
>> login i haslo moze byc przechwycone przez prostego trojana,
>
> To trzeba nie mieć prostego trojana.

gdybysmy zakladali ze nie klienci nie maja trojanow i ze nikt im
hasel logowania nie poglada to nie potrzebne bylyby hasla jednorazowe :)

ale skoro wiadomo ze tak nie jest to wypada stosowac najlepsze
zabezpieczenia w ramach kosztow oraz utrudnien akceptowalnych dla
uzytkownika

nawet gdyby haslo do wygenerowanie pierwszej listy przez www bylo
przesylane inna droga, to potem wystaczyloby poznac pojedyncze haslo
by wygenerowac sobie nowe listy i potwierdzic juz dowolna liczbe
operacji, co by pozwolilo na likwidacje ewentualnych depozytow
i wyprowadzanie srodkow malymi porcjami nie budzacymi podejrzen banku

w dodatku strasznie by to uproscilo ataki typu man in the middle,
wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
nowo generowane listy hasel

do góry

>> Tymczasem puszczanie samego Killera to 10 przelewów po rząd nie tak
>> dawno było, aby uniknąć belki. A znam osoby, które puszczały na
>> połowę rodziny z uwagi na limit 10000. Zgłupieć było można od
>> tych smsów.
>
> No jak wiadomo, robi się to codziennnie. :)

Codziennie nie, ale jak spływały danego dnia to dziesiąt poszło pod rząd. I
to musiały pójść szybko.

> No i? Ja nie czepiam się tego argumentu tylko stwierdzenia, że mbank
> jest do płatności masowych.

Inaczej myślimy o tzw. płatnościach masowych. Dla Ciebie to miliony operacji
na koncie (prąd, tpsa itp.), a dla mnie do prowadzenie firmy niekoniecznie
jednoosobowej. Myślałem o przelewach rzędu 100 operacji naraz i pojęcia nie
mam jak mogłeś wykoncypować, że chodzi o tpsa, gazownię itp.

do góry

W odpowiedzi na pismo z niedziela 05 kwiecień 2009 21:58
(autor MarcinF
publikowane na pl.biznes.banki,
wasz znak: <grb32t$kf$1@nemesis.news.neostrada.pl>):

>>> login i haslo moze byc przechwycone przez prostego trojana,
>> To trzeba nie mieć prostego trojana.
> gdybysmy zakladali ze nie klienci nie maja trojanow i ze nikt im
> hasel logowania nie poglada to nie potrzebne bylyby hasla jednorazowe :)

No nie, byłyby... Hasło logowania można przechwycić/podejrzeć łatwiej.
Poza tym, hasło moje np. zna czy tam znało w pewnych momentach kilka osób.

> nawet gdyby haslo do wygenerowanie pierwszej listy przez www bylo
> przesylane inna droga, to potem wystaczyloby poznac pojedyncze haslo
> by wygenerowac sobie nowe listy i potwierdzic juz dowolna liczbe
> operacji, co by pozwolilo na likwidacje ewentualnych depozytow
> i wyprowadzanie srodkow malymi porcjami nie budzacymi podejrzen banku

I usera, któremu nagle jego lista przestała działać? Przecież tylko 1 lista
może być aktywna.

> w dodatku strasznie by to uproscilo ataki typu man in the middle,
> wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
> nowo generowane listy hasel

Czy taki atak na łącze SSL jest możliwy faktycznie?


--
Tristan

Kupię płyty/kasety/mp3/cokolwiek z płyty Mydełko Fa 2

do góry

On Mon, 06 Apr 2009 07:39:47 +0200, Tristan wrote:
> > w dodatku strasznie by to uproscilo ataki typu man in the middle,
> > wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
> > nowo generowane listy hasel
>
> Czy taki atak na łącze SSL jest możliwy faktycznie?

Pare lat temu, IE mial tak, ze pokazywal URL banku, a strona byla krzywa.
Jakies kradzieze po tej linii byly z tego co wtedy się pisalo (a pewnie
nie o wszystkim się mowilo ;))

Bylo to mozliwe, jakie babole maja przegladarki na dzis? Ktoz to wie? :-)

pozdrawiam,
--
Michał http://kbns.digart.pl/

wiesiu jest spamtrapem. ja jestem kbns

do góry

Krzysztof Halasa pisze:
>> A co mi przeszkadza dorobić sobie po zdjęciu i używać dorobionych, a
>> właściwe trzymać w sejfie dla zaspokojenia OWU?
>
> Jasne, zwlaszcza w przypadku immobilizera w kluczyku, inna sprawa ze nie
> wiem jak ktos chcialby rozpoznac "dorobiony" kluczyk od "oryginalnego".

może mam nie najnowszy samochód, ale immobilizer w kluczyku to koszt ok.
200 zł, wiem, bo dorabiałem (oczywiście po uprzednim, pisemnym
zawiadomieniu ubezpieczyciela)

andy_nek

do góry

Użytkownik "Michal Tyrala" <w...@b...com.pl> napisał w wiadomości
news:slrngtj9ka.eqc.wiesiu@argon.zonk.pl...
> On Mon, 06 Apr 2009 07:39:47 +0200, Tristan wrote:
>> > w dodatku strasznie by to uproscilo ataki typu man in the middle,
>> > wystarczyloby jedynie monitorowac sesje z bankiem i zapisywac
>> > nowo generowane listy hasel
>>
>> Czy taki atak na łącze SSL jest możliwy faktycznie?
>
> Pare lat temu, IE mial tak, ze pokazywal URL banku, a strona byla krzywa.
co się na tej stronie krzywiło?

> Jakies kradzieze po tej linii byly z tego co wtedy się pisalo (a pewnie
> nie o wszystkim się mowilo ;))
>
> Bylo to mozliwe, jakie babole maja przegladarki na dzis? Ktoz to wie? :-)
>
niekoniecznie przeglądarki, np. pliczek "hosts"

do góry

W odpowiedzi na pismo z poniedziałek 06 kwiecień 2009 12:16
(autor zlotowinfo
publikowane na pl.biznes.banki,
wasz znak: <grckq0$oo1$1@inews.gazeta.pl>):

>> Bylo to mozliwe, jakie babole maja przegladarki na dzis? Ktoz to wie? :-)
> niekoniecznie przeglądarki, np. pliczek "hosts"

No ale jak by wykradli certa mBankowi?

--
Tristan

Kupię płyty/kasety/mp3/cokolwiek z płyty Mydełko Fa 2

do góry