eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoALLEGRo - po raz drugi...Re: ALLEGRo - po raz drugi...
« poprzedni post
  • Data: 2007-03-01 22:45:26
    Temat: Re: ALLEGRo - po raz drugi...
    Od: "kravietz" <p...@n...hush.com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On 21 Lut, 20:31, gerlach <g...@l...com> wrote:

    > Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
    > zapewnienia bezpieczeństwa w Allegro są niewystarczające do
    > przeprowadzania transakcji finansowych na duże kwoty.

    Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
    koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
    czyni całe przedsięwzięcie opłacalnym.

    > Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
    > 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
    > (którego podstawowym celem jest właśnie w celu zawierania umów przez
    > internet)

    Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
    (http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
    wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)

    > Np. w systemach bankowości elektronicznej:
    > 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
    > protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
    > sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
    > Istnieje nawet opcja nieszyfrowanego logowania!

    Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
    na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
    na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
    że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
    bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
    gdyby robili także regenerację PHPSESSID.

    > 2. Banki do autoryzacji wykorzystują:
    > - (najczęściej tajny) login,
    > - tajne hasło, w większości przypadków o wymuszanej sile (długości,
    > rodzaju występujących znaków).
    > - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
    > operacji hasło jest różne

    Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
    banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
    rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
    zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
    Singapurze nawiasem mówiąc).



    --
    Wojciech Gustowski "E-społeczność" (e-book)
    http://e-spolecznosc.zlotemysli.pl/pdfebook.php

    "Dane i bezpieczeństwo" (free e-book)
    http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
    f

    Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
    book)
    http://zwalcz-spam.zlotemysli.pl/pdfebook.php

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Inne grupy