https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:31 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c4364 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Po pierwsze nie "może mieć", tylko "już ma" miejsce w rzeczywistości. Po drugie to, o co w tym wszystkim chodzi jest dość dokładnie opisane w tym wpisie oraz wpisach pokrewnych, w szczególności w tym wpisie, który prezentuje wyniki eksperymentu: http://archive.mroczna-zaloga.org/archives/997-jak-i-z-jakim-skutkiem-atakowalem-kody-sms.html Sun, 02 Oct 2011 17:51:22 +0200 https://archive.mroczna-zaloga.org/archives/996-guid.html#c4364 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c4363 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Skaarj) Nie rozumiem czemu to wszystko ma służyć... na stronie http://bootcamp.threats.pl/e/test02.php (wersja z SMS) mamy jakiś banalny skrypcik który coś robi (potwierdza)... O co tu w ogóle chodzi??? Myślałem, że jest tu pokazane jakieś niebezpieczeństwo w zabezpieczeniach przy internetowych przelewach, a tu jakieś zwykłe podmienianie danych przez skrypt i ktoś uważa, że coś takiego może mieć miejsce w rzeczywistości? Z pewnego pkt'u widzenia może, ale bez jaj... panowie... Sun, 02 Oct 2011 15:45:42 +0200 https://archive.mroczna-zaloga.org/archives/996-guid.html#c4363 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3618 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Ogólnie autoryzacja "nietypowych" operacji, które są dość powszechnie spotykane w bankowościach korporacyjnych, jest problemem. Wystarczy wspomnieć przelewy masowe, paczki przelewów czy paczki przelewów płacowych. Do tego trzeba dodać potencjalne rozdzielenie ról osoby wpisującej przelewy i osoby je autoryzującej. W pewnych przypadkach (przelewy płacowe) może być nawet taka sytuacja, że osoba autoryzująca przelew nie powinna znać dokładnych parametrów autoryzowanej operacji... Tue, 08 Mar 2011 12:47:54 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3618 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3617 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Jakub Dębski) W przypadku autoryzacji jednego przelewu np. SMSem użytkownik musi uważać, ale jest w stanie wykryć problem. Jednak gdy autoryzujemy wiele przelewów (co jest często robione w firmach) taki SMS zawiera jedynie liczbę transakcji i łączną kwotę, które autoryzujemy. Tue, 08 Mar 2011 12:24:41 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3617 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3612 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Mam prośbę - nie opisujcie NA RAZIE w komentarzach jakie konkretnie przypadki "ataku" zauważyliście. Na razie jeszcze zbieram dane i chciałbym, by osoby wykonujące eksperyment na samym początku i teraz miały podobną świadomość tego, co ich może spotkać. Kick, puszczę Twój komentarz jak skończę zbierać dane :) Mon, 07 Mar 2011 11:35:44 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3612 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3611 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (kick) Rzeczywiście coś działa :) Podmieniasz w locie SMSa i nikt nie zwraca uwagi co podpisuje? Z rachunku 76 2002 6798 0640 9869 9399 0269 Na rachunek 08 5021 8077 3642 1757 3365 9043 Kwota 250,00 PLN Operacja nr 4 Przelew z rach.: ..33659043 na rach.: 0850..659043 kwota 250,00 PLN, hasło: 547585 Mon, 07 Mar 2011 11:28:18 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3611 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3610 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Wróćmy do tej dyskusji za jakiś czas, dobrze? Konkretnie wówczas, gdy czas zbierania danych się skończy i pokażę wyniki. Sun, 06 Mar 2011 12:18:36 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3610 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3609 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (leszczuu) Jest podobny, ale kupując rzeczy na allegro łatwiej wychwycił bym na przykład inną kwotę - bo najpierw sprawdził bym ile muszę zapłacić i widząc zupełnie inną kwotę być może dało by mi to do myślenia. Natomiast w eksperymencie w niektórych momentach zastanawiałem się "hmm no dobrze to jaką kwotę wylosowałem poprzednio" chcąc sprawdzić czy ta na stronie z potwierdzeniem się zgadza. Natomiast do reszty numerów to odnosi się już mniej(wcale). Sat, 05 Mar 2011 23:59:58 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3609 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3595 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (sk) Pomimo świadomości podstępu - bo przecież eksperyment ma polegać na próbie oszustwa użytkownika, gdzieś po 6 transakcjach i tak moja świadomość bardziej mówiła "klikaj next, next, next" niż "sprawdzaj dokładnie co klikasz". Musiałem walczyć ze sobą ;-). Fri, 04 Mar 2011 10:27:22 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3595 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3592 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Możesz wpisywać inne, prawdziwe docelowe numery rachunku. Podałem listę przykładowych numerów tylko po to, by ułatwić życie tym osobom, które z jakichś powodów nie chcą na przykład używać swoich numerów. Poza tym wydaje mi się, że scenariusz w tych moich przykładach będzie mocno podobny na przykład do kupowania rzeczy na Allegro. Fri, 04 Mar 2011 07:42:15 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3592 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3591 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (leszczuu) To że dane do przelewu są sztuczne - powoduje że trudniej wyłapać niezgodności, w praktyce jest zwykle łatwiej bo wtedy jestem bardziej skoncentrowany na ile i gdzie ( na z kąd już mniej ale to raczej nowy ficzer niż bug). Thu, 03 Mar 2011 21:16:51 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3591 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3588 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Już działa. Zastosowałem profesjonalne obejście problemu i usunąłem maxlength :) Thu, 03 Mar 2011 14:37:44 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3588 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3587 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Krzysztof Kotowicz) Anulowanie transakcji w wersji SMSowej nie działa w Chrome. Komunikat: Please shorten this text to 6 characters or less (you are currently using 32 characters). Co ciekawe, to akurat mechanizm Chrome'a, który (nie wiem, od kórej wersji, teraz zauważyłem), waliduje maxlength i nie pozwoli przesłać formularza. Thu, 03 Mar 2011 14:30:05 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3587 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3586 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Zobaczymy jak będą wyglądać wyniki za tydzień/dwa tygodnie, gdy więcej osób weźmie udział w eksperymencie. I tak pewnie wyniki będą trochę wypaczone właśnie przez to, że uczestnicy spodziewają się podstępu :) Thu, 03 Mar 2011 13:59:54 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3586 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#c3585 https://archive.mroczna-zaloga.org/archives/996-zrob-kilka-przelewow-i-nie-daj-sie-okrasc.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=996 nospam@example.com (Paweł Goleń) Dobry przykład konfliktu wygoda vs. bezpieczeństwo. Co jest lepsze - przez pomyłkę wysłać przelew, czy przez pomyłkę go nie wysłać? :) Warto popatrzeć jak to wygląda w różnych sytuacjach. Na przykład zamknięcie programu z niezapisanym dokumentem domyślnie ustawia focus na przycisku powodującym jednak zapisanie zmian. Ale jeśli chce się zapisać plik pod nazwą, która już istnieje, wówczas domyślna akcja to "nie". Thu, 03 Mar 2011 13:54:54 +0100 https://archive.mroczna-zaloga.org/archives/996-guid.html#c3585