https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:22 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1117-nie-wszystko-zloto.html#c6904 https://archive.mroczna-zaloga.org/archives/1117-nie-wszystko-zloto.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1117 nospam@example.com (Paweł Goleń) Musisz zrozumieć, że banki to duże instytucje o ogromnej bezwładności. Na pytania nie zawsze odpowiadają osoby do tego najbardziej merytorycznie kompetentne. Jeśli chodzi o zmiany, nawet tak niewielkie jak dodanie nagłówka, to administratorzy też nie mogą sobie od tak wprowadzić zmiany. Jeśli zmiana ma być w kodzie, to z kolei zaczyna się proces zmiany, który trwa (i kosztuje). Skoro kosztuje, to może nie jest to najbardziej istotny temat do wydawania pieniędzy. Nie zgadzam się z Twoim ostatnim zdaniem w komentarzu. System powinien być wystarczająco bezpieczny. To, co to w praktyce oznacza (jakie ryzyko bank jest skłonny zaakceptować), zależy od banku. Spora część działalności banku to właśnie szacowanie ryzyka i podejmowanie decyzji, co z nim zrobić. A wpływ na ryzyko ma nie tylko bankowość, ale też całe "wsparcie" za nią, którego nie widać. Choćby wykrywanie fraudów i reakcja na nie. Thu, 26 Apr 2012 06:53:53 +0200 https://archive.mroczna-zaloga.org/archives/1117-guid.html#c6904 https://archive.mroczna-zaloga.org/archives/1117-nie-wszystko-zloto.html#c6902 https://archive.mroczna-zaloga.org/archives/1117-nie-wszystko-zloto.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1117 nospam@example.com (vizzdoom) Dokładnie się z Tobą zgadzam, tak jak pisałem na blipie. Ataki Clickjacking ogółem nie są ogromnym niebezpieczeństwem - ale dobrze wiesz, że jednak mogą wywołać duże nieprzyjemności, chociażby na co dwudziestym atakowanym użytkowniku. No jest to klasyczny problem phishingu - niby nic, a jednak ludzie pieniądze tracą. W artykule pisałem bardziej w kontekście tego, że banki nie kwapią się, aby wprowadzać zabezpieczenia szybko i sprawnie, nawet gdy ktoś wprost wspomina o błędach. Jeśli chodzi o wykradzenie pieniędzy jest to już przykład skrajnie ciężki i trudny. Praktycznie nie możliwy do wykonania tą metodą. Jednak e-bankowość to nie tylko przelewy. Mam konto tylko w jednym banku, ale mogę tam zrobić dużo operacji nie związanych z przelewem, a których nie chciałbym "wyklikać". I nie wszedzie są wymagane tokeny smsem. Artykuł, który opisałem był mi potrzebny do szkolenia, które prowadziłem - jako pewna demonstracja stopnia olewania tej tematyki na polskich stronach. Podzieliłem się nim po prostu dalej. Każdy zaznajomiony z tematem wie czym jest Clickjacking i jak trudno coś przy jego pomocy zyskać. Badanie to jednak badanie, ma nakreślić jakąś część rzeczywistości szerszej publice (po co trzymać coś dla siebie, jak innych może zaciekawić). Ja dalej uważam, że banki trochę olewają sprawę - dla mnie bankowość elektroniczna powinna być wzorem w tematyce bezpieczeństwa IT. Wed, 25 Apr 2012 23:43:09 +0200 https://archive.mroczna-zaloga.org/archives/1117-guid.html#c6902