Alf/red/ wrote:

> W dniu 06.05.2017 o 16:07, Marek pisze:
>> gdzieś jeszcze jest w ogóle prosty interfejs?
>
> BOŚ ma dość posty, nawet prostszy niż dawny m.
>

Interfejs BOŚ ma konkretne wady:

* na wszystkich ekranach gdzie możesz mieć potencjalnie kilka elementów -
np. lista kont, etc. - nawet jak jest jeden element to trzeba go wybrać,
żeby zrobić na nim operację - czyli np. otwarcie historii konta wymaga 3
kliknięć: 1) konta, 2) oznaczenie na liście jedynego konta, 3) historia;
jest to bardzo upierdliwe;

* na wielu ekranach z listami elementów kliknięcie w nazwę elementu wybiera
nieoczywistą czynność - np. szablony przelewów - spodziewam się, że
kliknięcie w nazwę szablonu powinno otworzyć przelew według danego szablonu;
tymczasem otwiera coś innego; i znowu - żeby zrobić przelew na dany szablon
mając na ekranie listę szablonów trzeba zrobić tak: 1) oznaczyć na liście
dany szablon, 2) z przycisków na dole wybrać "wykonaj";

* no i jeszcze takie pierdołki jak to, że przelewy zlecone w sesji dziennej
i przelewy zlecone poza sesją pokazują się w historii w innej zakładce - te
poza sesją są to "Przelewy Odroczone";

Ale ma też plusy:

* praktycznie wszystkie operacje można wrzucić w koszyk - także na koncie
dla fizoli - i podpisać jednym użyciem nzarzędzie autoryzacyjnego;

--
Wysłane z pola.

do góry

s...@g...com writes:

> Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się
zgadzają.
>
> I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów
> jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla
> poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to
> nie znaczy ze jest dobrze.
> Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji
> rootkita czy wirusa nie mozna wierzyć temu co sie widzi w
> przegladarce.

Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
oprogramowanie, to niczego nie możemy być pewni.

> A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
> scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
> przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
> oszukał.

I to by miało coś gwarantować?

Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to
lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez
podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer
- "nie mieszać".

Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego
dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio
był taki temat, a może już to załatali?
--
Krzysztof Hałasa

do góry

W dniu sobota, 13 maja 2017 23:08:55 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> > Oczywiscie nic na dysku nie znalazlem, zero wirusów, dns-y dobre, certyfikaty się
zgadzają.
> >
> > I co ciekawe dokopać sie do opublikowanych poprawnych certyfikatów
> > jakie powinny byc jest trudno. Bo to ze mi sie certyfikat wyswietla
> > poprawnie w przegladarce i ma poprawny ciąg certyfikatów zaufanych to
> > nie znaczy ze jest dobrze.
> > Antywirusy podmieniają certyfikaty i też to wyglada dobrze. W sytuacji
> > rootkita czy wirusa nie mozna wierzyć temu co sie widzi w
> > przegladarce.
>
> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
> oprogramowanie, to niczego nie możemy być pewni.
>

Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to widzisz scieżkę i
wszystko jest zielnie i wogóle cacy.

Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch wyglądać to nie
wiesz czy jest taki jak ma byc czy jest dobrze zrobiony ale oszukany.

Jak masz wirusa to jaki problem aby on do przeglądarki naładował ze 3-4 certyfikaty
powiązane ze soba i wyglądające na poprawne?

> > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
> > scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
> > przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
> > oszukał.
>
> I to by miało coś gwarantować?
>

Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag certyfikacyjny wraz z
numerami seryjnymi i modulo to ja wiem co powinno być widoczne w przeglądarce.
Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc trudne...

> Jeśli ktoś boi się, że jego komputery opanowały wirusy i rootkity, to
> lepiej przynajmniej przejść na kody SMSowe (i używać telefonu bez
> podobnych "atrakcji"). Listy kodów jednorazowych + zawirusowany komputer
> - "nie mieszać".
>

No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie wlazł w komórke?
OK. Jak to głupia komórka to spoks (choć ostatnio u niemców kody sms tez zhackowali
na poziomie sieci gsm). smartfony tez są hackowane i po bezpieczeństwie nici.

W takim wypadku tylko hasla jednorazowe i token.

Jesli komputer jest zawirusowany to po ptokach

> Z tym, że w mBanku chyba jest jakaś droga uzyskania większego/pełnego
> dostępu, jeśli znamy tylko dane do logowania (np. z wirusa)? Ostatnio
> był taki temat, a może już to załatali?

w mbanku mamy id klienta i hasło do interfejsu webowego plus telekod do logowania sie
przez telefon.
I do kompletu pare danych które mozna pamietac (nazwisko panienskie matki) albo nie
pamietac (czy korzystasz z porduktu kredytowego - czy jakos tak).


Tak czy siak, mialem taki problem i szukalem na stronie banku opublikowanych
certyfikatów aby je porównać z tymi widzianymi w komputerze. Nie znalazłem w takiej
formie jak napisalem. Musialem zalozyc ze inny komp jest czysty i porównać z
widocznymi na tamtym...

do góry

s...@g...com writes:

>> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
>> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
>> oprogramowanie, to niczego nie możemy być pewni.
>
> Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.

Nie, nie jest to potrzebne.
Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
CA" (zawierający w szczególności root CA, od którego zaczyna się
"ścieżka").

Ew. korzystne może też być wykluczenie certyfikatów korzystających
z MD5, ostatnio było to dość mocno atakowane.

> Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> widzisz scieżkę i wszystko jest zielnie i wogóle cacy.

Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.

> Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> zrobiony ale oszukany.

https://pl.wikipedia.org/wiki/Infrastruktura_klucza_
publicznego
https://pl.wikipedia.org/wiki/Certyfikat_klucza_publ
icznego

>> > A ja bym chciał aby był url z obrazkiem z numerkami certyfikatu i
>> > scieżki certyfikacyjnej aby ktos mi mógł taki obrazek przysłać albo
>> > przeczytać abym mógł szybko sprawdzić czy ktos mi przeglądarki nie
>> > oszukał.
>>
>> I to by miało coś gwarantować?
>>
>
> Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> powinno być widoczne w przeglądarce.
> Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc
trudne...

Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.

> No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> są hackowane i po bezpieczeństwie nici.

Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
samego komputera, o którym wiemy, że jest "zawirusowany".

> W takim wypadku tylko hasla jednorazowe i token.

Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
token.
Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
bardziej bezpieczny.

> Tak czy siak, mialem taki problem i szukalem na stronie banku
> opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...

BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
czegokolwiek tego typu na stronie banku to nieporozumienie
(niezrozumienie idei PKI).
--
Krzysztof Hałasa

do góry

W dniu wtorek, 16 maja 2017 20:18:36 UTC+2 użytkownik Krzysztof Halasa napisał:
> s...@g...com writes:
>
> >> Sprawdzenie ścieżki certyfikatów jest łatwe, ale wymaga komputera,
> >> nad którym mamy kontrolę. Jeśli komputer ma zainstalowane wredne
> >> oprogramowanie, to niczego nie możemy być pewni.
> >
> > Jest łatwe jak wiesz co powinno byc w łancuchu certyfikacji.
>
> Nie, nie jest to potrzebne.
> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
> CA" (zawierający w szczególności root CA, od którego zaczyna się
> "ścieżka").
>

Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to robią. Malware
tez to moze zrobic.

> > Dziś większość antywirusów podmienia certyfikaty i jak zajrzysz to
> > widzisz scieżkę i wszystko jest zielnie i wogóle cacy.
>
> Nie wiem o jakie antywirusy chodzi, ale jeśli mamy złamany komputer, to
> może on nam wyświetlać jakie mu się podobają "ścieżki", i nic to nie daje.
>

Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie musi byc on
poprawny i taki sam jak wystawiany przez bank.
Wtedy dobrze jest móc znaleźć poprawny ciąg certyfikacji którego malware nie
podmieni.

> > Ale jak nie masz informacji na stronie banku jak powinien ten łańcuch
> > wyglądać to nie wiesz czy jest taki jak ma byc czy jest dobrze
> > zrobiony ale oszukany.
>
> https://pl.wikipedia.org/wiki/Infrastruktura_klucza_
publicznego
> https://pl.wikipedia.org/wiki/Certyfikat_klucza_publ
icznego
>

No i co z tego?

Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?


> > Oczywiscie. Jak bank opublikuje jak powinien wyglądać ciag
> > certyfikacyjny wraz z numerami seryjnymi i modulo to ja wiem co
> > powinno być widoczne w przeglądarce.
> > Zrobienie certa zawierającego takie numerki jak w poprawnym jest dziś dosyc
trudne...
>
> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
>

poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i umiescila
na imgurze.
Tego wirus nie podmieni...

> > No nie, Jak ktos ci zawirusował komputer to jaka jest szansa ze nie
> > wlazł w komórke? OK. Jak to głupia komórka to spoks (choć ostatnio u
> > niemców kody sms tez zhackowali na poziomie sieci gsm). smartfony tez
> > są hackowane i po bezpieczeństwie nici.
>
> Jest pewne ryzyko, ale jest ono dużo mniejsze niż w przypadku tylko
> samego komputera, o którym wiemy, że jest "zawirusowany".
>

Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi środkami na koncie.

> > W takim wypadku tylko hasla jednorazowe i token.
>
> Hasła jednorazowe nie sprawdzają treści dyspozycji. Podobnie "zwykły"
> token.
> Oczywiście "token", który pokazuje szczegóły np. przelewu, jest dużo
> bardziej bezpieczny.
>

Ano. Taki urok chyba kazdej uslugi ze "man in the middle" narobi problemów. Czy to
ludzik z pałką czy z hakerskim komputerem...

> > Tak czy siak, mialem taki problem i szukalem na stronie banku
> > opublikowanych certyfikatów aby je porównać z tymi widzianymi w
> > komputerze. Nie znalazłem w takiej formie jak napisalem. Musialem
> > zalozyc ze inny komp jest czysty i porównać z widocznymi na tamtym...
>
> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
> czegokolwiek tego typu na stronie banku to nieporozumienie
> (niezrozumienie idei PKI).
>

Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.
A PKI jest fajne o ile nie masz po drodze firmowego proxy czy antywirusa.

http://www.thesafemac.com/avasts-man-in-the-middle/

Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie bedzie widać ze
są podmienione. Idea PKI tu nie pomaga o ile nie jest wsparta mozliwoscia
zewnetrznego sprawdzenia - recznie. Co da sie zrobic ale albo trzeba miec zaufany
komputer i przepatrzec czy sie numery seryjne i modulo zgadzaja albo miec mozliwosc
uzyskania lancucha certyfikacyjnego w sposob który moze nie byc kontrolowany przez
malware...

do góry

On Tue, 9 May 2017 00:50:55 -0700 (PDT), Dawid Rutkowski
<d...@w...pl> wrote:
> Chodzi o kochających mBąk miłością BDSM i skar?
> ?ących się potem na grupach, jakie to numery robi im ukochana i
> nstytucja, czy też o trollujących w celu zrobienia mBąkowi c
> zarnego PR - i wymyślających czasem nawet ciekawe historie, kt?
> ?rych bohaterem mógłby być każdy bank, a jest ten, za
> który akurat jest płacone?

Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego
banku z zupełnie.innych powodów niż możesz sobie wyobrazić.

--
Marek

do góry

W dniu środa, 17 maja 2017 22:46:57 UTC+2 użytkownik Marek napisał:

> Nie mam.pojęcia o czym piszesz, ja jestem zmuszony do uzywania tego
> banku z zupełnie.innych powodów niż możesz sobie wyobrazić.

Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to powody.
Rzeczywiście nie potrafię sobie wyobrazić, co może zmusić do używania danego banku.
Są takie różne szykany jak np. wymóg wpływu wynagrodzenia przy kredycie, ale to nie
znaczy, że trzeba z tego banku korzystać jako z głównego transakcyjnego - zmusza to
tylko do wykonania jednego przelewu w miesiącu do jakiegoś sensowniejszego (bo
sensownych nie ma) banku.

do góry

s...@g...com writes:

>> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
>> CA" (zawierający w szczególności root CA, od którego zaczyna się
>> "ścieżka").
>>
>
> Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
> robią.

Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

> Malware tez to moze zrobic.

Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
cokolwiek.

> Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
> musi byc on poprawny i taki sam jak wystawiany przez bank.

Może też być taki sam.
Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
czy pokazywanie czegoś innego?
Bo nakład pracy jest taki sam.

Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.

> No i co z tego?
>
> Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?

Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
antywirusami w kontekście PKI i HTTPS.
Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.

>> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
>> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
>
> poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i
umiescila na imgurze.
> Tego wirus nie podmieni...

Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
samo jak oryginał.
Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).

> Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
> środkami na koncie.

W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
(lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
środki na koncie, ew. limity kredytowe itp.

W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
kogoś innego.

>> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
>> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
>> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
>> czegokolwiek tego typu na stronie banku to nieporozumienie
>> (niezrozumienie idei PKI).
>
> Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.

Certyfikat może się zmienić nawet bez malware.

> A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
> antywirusa.

Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
firmowe?

> Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
> bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
> wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.

Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.
--
Krzysztof Hałasa

do góry

On Thu, 18 May 2017 01:28:11 -0700 (PDT), Dawid Rutkowski
<d...@w...pl> wrote:
> Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to
powody

Świadczenie im usług. Podobną politykę stosował PKO BP. Obowiązek
założenia konta był w warunkach umowy o świadczenie im usług. w
ogłaszanych przetargach.

--
Marek

do góry

W dniu piątek, 19 maja 2017 17:55:58 UTC+2 użytkownik Marek napisał:
> > Jeśli to nie tajemnica czy sprawy osobiste, to napisz, jakie to
> powody
>
> Świadczenie im usług. Podobną politykę stosował PKO BP. Obowiązek
> założenia konta był w warunkach umowy o świadczenie im usług. w
> ogłaszanych przetargach.

OK, niech będzie. Ale czy był tylko wymóg założenia konta - czy również utrzymania go
przez cały czas współpracy? Oraz jakieś wymagania w stosunku do aktywności (osobną
sprawą jest aktywność wymagana do ew. bezpłatności konta - bo rozumiem, że firmowe)?
Lub jakieś obostrzenia - np. zakaz przelewania na swoje konto w innym banku?
Choć jak firmowe to już nie ma takiej swobody wyboru innego banku (chyba że DG, do
której można wykorzystywać "fizolskie" konto, choć to często w regulaminach banków
zabronione) - nawet biorąc pod uwagę twierdzenie, ze backup należałoby mieć...

do góry