https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:14 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7161 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Paweł Goleń) Po pierwsze nie jest to dziura techniczna. Jeśli uznać to za podatność, to znajduje się ona między krzesłem, a klawiaturą. Moim zdaniem każdy ma prawo robić dowolnie głupie rzeczy, pod warunkiem, że za ich skutki sam odpowiada. Mon, 11 Jun 2012 13:57:39 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7161 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7160 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Artur) Dziwią mnie wasze stonowane wypowiedzi w serwisie poświęconym bezpieczeństwu, w którym często drobiazgi u Pawła rosną do rangi zagrożenia. Tutaj mamy do czynienia z dziurą aż do Chin, złymi praktykami, wyłudzeniem i tak można wymieniać jeszcze długo. Do bankowości elektronicznej też nikt z nas nie ma bezgranicznego zaufania, a ten Sofort nawet nie podlega pod prawo bankowe. Mon, 11 Jun 2012 13:03:10 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7160 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7055 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Paweł Goleń) Zacznę od końca - ilość osób, którym taka usłga by się przydała jest tak niewielka, że niech lepiej idą męczyć konkurencję. I nie mogę się zgodzić z tym, co pisałeś o ujawnieniu informacji. Inne systemy płatności (np. PBL) nie dostają dostępu do historii transakcji albo listy posiadanych produktów. Thu, 31 May 2012 08:33:23 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7055 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7054 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (rozie) Tyle, że ujawnienie informacji o zwyczajach/wydatkach posiadacza konta zawsze zachodzi przy korzystaniu podobnych systemów płatności. Przynajmniej w zakresie obsługiwanym przez dany system, rzecz jasna. Akurat wariant drugi, czyli konto w kolejnym banku miałem na myśli. Bez problemu można założyć darmowe konto do takiego celu. Wydawać się średnio wygodne, ale założenie konta to jednorazowa operacja, więc jeśli mówimy o koncie pod popularny system płatności, z którego planujemy korzystać dłuższy czas, to może mieć sens. Swoją drogą dziwię się, że banki nie pozwalają na kolejne oddzielne konta (oddzielne wszystko - konto, karta) za drobną opłatą i wolą wygnić człowieka do konkurencji, żeby osiągnął to samo. Wed, 30 May 2012 08:32:11 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7054 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7047 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Paweł Goleń) Jeśli chodzi o pieniądze, to ja bym się tak bardzo nie bał, że one sobie pójdą gdzieś w świat. Systemy bankowości internetowej powinny być projektowane w taki sposób, by dostęp do konta (wykradnięcie danych uwierzytelniających, przejęcie sesji) nie pozwalał na wyprowadzenie środków. Większym problemem jest ujawnienie informacji o wydatkach/zwyczajach posiadacza konta. Ale wydaje mi się, że tutaj nieco popłynąłeś: "(...) spokojnie można mieć osobne konto bankowe pod Sofort (...)" To znaczy jak Ty to widzisz? Idziesz do banku i prosisz o DWÓCH niezależnych użytkowników do dostępu do bankowości internetowej, gdzie jeden z nich będzie miał dostęp tylko do części produktów bankowych, jakie Ty jako osoba fizyczna posiada w banku? Fakt, w bankowości korporacyjnej coś takiego da się zrobić (założyć użytkowników, przypisać uprawnienia), ale chyba nie o to chodzi :) No i chyba też nie chodzi o to, by iść do kolejnego banku i założyć tam konto z dostępem do BI tylko po to, by płacić z niego przez Sofort, prawda? :) Mon, 28 May 2012 22:47:28 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7047 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7046 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (rozie) Nie dramatyzuj tego ryzyka. Mechanizmy bezpieczeństwa mogą stosować dokładnie takie same jak bank. W banku również mogą być nieuczciwi pracownicy, włamania itp. Potwierdzenie SMSem jest, więc bez wiedzy klienta nikt przelewu nie zrobi (pozostaje pytanie dokąd pójdzie przelew). Last but not least: spokojnie można mieć osobne konto bankowe pod Sofort. Wtedy będą mieli dostęp do danych, do których i tak mają dostęp. I do wydzielonej ilości pieniędzy. Mon, 28 May 2012 22:02:50 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7046 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7013 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Marcin Rybak) biznes lubi wygodę. Przecież te wszystkie systemy PAYu, dotpay czy nawet paypal powstały własnie przez wygodę. Bo wygoda to także szybkość transakcji. Tak jak w przytoczonym komentarzu - jesli Iksińskiemu - zależy by towar doszedł szybko, a sprzedający pisze, że towar będzie wysłany albo po "zaksięgowaniu przelewu" albo po "potwierdzeniu z systemu płatności "szybszych" xyz", to ze względu na to że bank Iksińskiego wspiera system xyz, Iksiński wybierze tę szybszą metodę. Stąd też powstały tak przez wszystkich bezpieczników nielubiane karty paypass, systemy NFC itp. Wszystko to ze względu na wygodę i szybkość. Czytniki linii papilarnych montowane na stałe w laptopach nawet tych budżetowych - to też nie dla bezpieczeństwa a dla wygody właśnie, by Iksiński nie musiał wpisywać hasła przy logowaniu się do systemu. Dziwić się - że każdy wybiera świnki - jak świnki są kolorowe, a bezpieczeństwo jest smutne, nudne i trudne? Konfigurując router internetowy, gdy wybieram opcję WPA - od razu wymusza na mnie 8 znaków hasła... hmmm... 12345678 - PASUJE - Tak właśnie działa praktycznie każdy przeciętny obywatel. Dlatego - jak zaznaczył Paweł - to system powinien mu zapewniać bezpieczeństwo - i nawet na siłę komplikować autoryzację przelewu - choćby np. poprzez "Twoja transakcja jest gotowa - na Twój adres e-mail/komórkę/adres pocztowy zostało wysłane potwierdzenie... bla bla bla". To właśnie projektant takiego systemu powienie zadbać i pomyśleć za użytkownika, bo przeciętny użytkownik - na pewno tego nie zrobi Thu, 24 May 2012 11:31:38 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7013 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7012 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (piXi) dobre ;) wczoraj czytajac o sofort na gazeta.pl przez chwile przeszlo mi przez mysl, zeby linka do Ciebie wyslac, bo ciekaw bylem Twojej opinii na ten temat ;) a dzisiaj sprawdzam bloga i ... mam ;) Thu, 24 May 2012 11:00:41 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7012 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7009 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (.) Owszem, w każdym przypadku, obojętne jaka technologia nie byłaby zastosowana, zaufanie i etyka jest nieodłącznym elementem bezpieczeństwa jako całości. Można jednak odnieść wrażenie, że poglądami takie jak te wyrażane w wypowiedzi p.Fornalskiego, a w pogoni za zyskiem (bądź jak kto woli wychodzeniem na przeciw wymaganiom klientów), robi się klientom niedźwiedzią przysługę. Kto zagwarantuje że firma przechowująca dane, a zatrudniająca "krystalicznie czystych" pracowników, nie padnie ofiarą włamania i wycieku tych danych ? Czy miarą zaufania do danej firmy ma być tylko fakt, że od dłuższego czasu korzystają z jej usług na Zachodzie ? Litości. Czy którykolwiek z klientów Sofort ostrzega z kolei w jakikolwiek sposób swoich klientów o ryzyku jakie ponoszą ? Teraz już tylko czekać na kolejne modyfikacje malware'u... chyba że etykę odbiorcy tych danych można określić po adresie ip. Thu, 24 May 2012 08:56:09 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7009 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7007 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (Paweł Goleń) Każdy biznes obarczony jest ryzykiem. Jeśli dostawca usługi jest gotów płacić "ze swoich" za takie przypadki, jego sprawa (nie wiem jak wygląda kwestia umowy między Sofort, a "kupcami"). Jeśli biznes skalkulował odpowiednio, wciąż mu się to będzie opłacało. Jeśli nie - albo zmieni podejście, albo wróci na rynek, gdzie mentalność klientów odpowiada temu modelowi biznesowemu. Mam tylko wątpliwość, czy rzeczywiście nasze społeczeństwo (jako całość) będzie tak bardzo niechętne do skorzystania z tego typu usługi. Jeśli chodzi o stronę "kupca", to tu wątpliwości nie mam, "jest taniej, to biorę". A jeśli chodzi o stronę płacącego? Komentarze na Niebezpieczniku pokazują, że ta część społeczeństwa z tej usługi nie skorzysta. Obawiam się jednak, że próbka jest mocno niereprezentatywna. Wed, 23 May 2012 21:38:28 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7007 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#c7005 https://archive.mroczna-zaloga.org/archives/1122-sofort.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1122 nospam@example.com (rozie) Albo przekręt na dużą kasę (i wtedy pewnie wariant ze słupem), albo przeciwnie, na relatywnie małą. Ani zmiana hasła do banku, ani wycofanie transakcji nie są przestępstwami same z siebie. Ba, jak ktoś będzie chciał dupochron to jeszcze maila wyśle, że zrezygnował z transakcji i żeby nie wysyłali. Odpowiednio późno, rzecz jasna. A o kilkaset zł niekoniecznie musi być ekonomiczny sens iść do sądu, tym bardziej, że wyrok niekoniecznie musi być skazujący (oszuści z Allegro mają się świetnie), a nawet jeśli, to pieniądze nie muszą być możliwe do wyegzekwowania... Moim zdaniem jest ewidentny błąd bezpieczeństwa w projekcie tego rozwiązania w realiach naszego kraju. Być może w Niemczech jest to po prostu skuteczniej ścigane i stąd takie podejście? Albo inna mentalność i nie oszukują, więc ryzyko mniejsze? Trochę zapewne tak, bo gdzieniegdzie na zachodzie (nie tylko Norwegia) działa http://demotywatory.pl/2003611/Uczciwosc I nie, to nie jest zdjęcie sprzed wielu lat... Wed, 23 May 2012 21:25:13 +0200 https://archive.mroczna-zaloga.org/archives/1122-guid.html#c7005