On Wed, 16 Jul 2025, Michał Jankowski wrote:

> W skarbonce można kod wyświetlić na stronie, z tym, że trzeba potwierdzić
> "narzędziem autoryzacji" - ale to może być sms.

No to widać że ąćki jak zwykle tworzy problemy rodem z socjalizmu.
Chyba że znalazł sobie jeszcze coś innego niż skarbonkę.
A w skarbonce wszystkie karty mają już obowiązkowo zmienne CVx2 czy można
to sobie włączyć/wyłączyć?
Akurat apki skarbonkowej nie mam - no i kart też nie mam, inteligo leży
sobie odłogiem, nawet już przestałem robić co pół roku ping-pongi na
grosza, żeby mi znów rachunków za "brak aktywności" nie zamknęli -
przestało mi się chcieć sprawdzać, czyj koniec będzie wcześniej - mój czy
ich ;)

> Kod jest np. w tej chwili ważny do 6 rano.

O, to trzeba było sprawdzić o 4, do której będzie ważny ;)
Może generują na 8 godzin?

> Ale transakcję też trzeba potwierdzić, więc bez karty sim nic nie kupisz,
> nawet gdyby kod był stały.

Dlaczego "bez karty sim nic nie kupisz"?
Właśnie o to chodziło, że apka nie chce działać przez wifi, jeśli w
urządzeniu nie ma karty sim.
A "normalne" apki pozwalają na potwierdzanie "apkowe" mając dowolne
połączenie "internetowe".
Zaś ta ąćkiego nawet mając "internet" przez wifi, podobno wymaga dodatkowo
karty sim w telefonie, i to jeszcze aktywnej (choć nie wiem, czy to akurat
sprawdził - albo czy w ogóle ten jego tablet ma modem GSM).

> A zauważyliście, jaka jest kolejność weryfikacji przy płatności? Otóż
> najpierw się przechodzi przez to całe 3d z zatwierdzaniem, a dopiero POTEM
> jest sprawdzany ten kod. Jakoś wydaje mi się to bez sensu.

To ma sens - sprawdzana jest poprawność całego zestawu haseł.
No chyba że jest na tyle głupio, że jeśli na etapie 3DS źle podasz kod to
od razu wyskakuje błąd.
No ale to jest do usprawiedliwienia - 3DS to kody zmienne.
Ale gdyby najpierw było sprawdzane czy podałeś prawidłowy CVx2 - i w razie
podanie złego wyskakiwał błąd, to jest wektor ataku - w końcu CVx2 to
tylko 1000 kombinacji i jeśli bank nie zastrzeże karty po np. 10. błędnym
podaniu CVx2, to można go w ten sposób odnaleźć.

Hmmm, tak się zastanawiam i karty citka zawsze chcą 3DS, ale santander MC
chyba nigdy (a co ciekawe, visa santandera chyba też zawsze, nawet o to do
nich pisałem reklamację, czemu robią sobie takie jaja, odpowiedź
oczywiście spodziewanej treści: "bo tak i tak ma być, bo tak jest
dobrze"), więc właściwie mam kartę, która może być podatna na taki atak.

Ale jakby człowiek wpadł na głupi pomysł, żeby samemu sprawdzić, to,
słuchajcie dzieci wujka i zapamiętajcie, lepiej niech sobie przypomni
historię jednego francuza, który znalazł poważną dziurę w
zabezpieczeniach takiego francuskiego systemu kartowego "carte blue" (czy
jakoś tak) - i jako porządny obywatel (ale bynajmniej nie grażdanim
sowieckiego sojuza, czyli nastojaszczy sowiecki człowiek) napisał do nich,
że mają taki bug.
A francuzi jako to oni: "wcale nie, co ty mi tu kulwa będzie p*olił,
wszystko jest super cacy i nie przeszkadzaj w piciu wina" - no to ten się
wkurzył (widać jakiś pseudo-francuz, zapewne z polską domieszką, być może
ze źródłem z dywizji gen. Maczka - a to podobno nierzadkość, jako
pamiątki z pochodu armii Andersa we Włoszech też się porodziło sporo
polsko-włochów - i dobrze, bo jeden mojemu wujkowi życie uratował) i
przeprowadził pokazowy atak.
I co - i zamkli go za to i wg prawa mieli rację.

Więc trzeba myśleć, co się robi.
To nie tak łatwo, jak z mistrzem Mazurem z elki PW, który kiedyś znalazł
buga w K7 i napisał do AMD, że spieprzyli, a oni mu w podobnym tonie jak
ci francuzi, tylko pewnie bez wina.
Mistrz się wkurzył i wysłał im kawałek programu, który na K7 działał źle.
Tu oczywiście sytuacja inna, AMD zaproponowało mu współpracę, a mistrz na
to, że nie ma czasu ;>