Re: ALLEGRo - po raz drugi... - Grupy dyskusyjne w eGospodarka.pl

Data: 2007-03-01 22:45:26
Temat: Re: ALLEGRo - po raz drugi...
Od: "kravietz" <p...@n...hush.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
On 21 Lut, 20:31, gerlach <g...@l...com> wrote:

> Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
> zapewnienia bezpieczeństwa w Allegro są niewystarczające do
> przeprowadzania transakcji finansowych na duże kwoty.

Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
czyni całe przedsięwzięcie opłacalnym.

> Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
> 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
> (którego podstawowym celem jest właśnie w celu zawierania umów przez
> internet)

Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
(http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)

> Np. w systemach bankowości elektronicznej:
> 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
> protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
> sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
> Istnieje nawet opcja nieszyfrowanego logowania!

Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
gdyby robili także regenerację PHPSESSID.

> 2. Banki do autoryzacji wykorzystują:
> - (najczęściej tajny) login,
> - tajne hasło, w większości przypadków o wymuszanej sile (długości,
> rodzaju występujących znaków).
> - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
> operacji hasło jest różne

Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
Singapurze nawiasem mówiąc).

--
Wojciech Gustowski "E-społeczność" (e-book)
http://e-spolecznosc.zlotemysli.pl/pdfebook.php

"Dane i bezpieczeństwo" (free e-book)
http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
f

Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
book)
http://zwalcz-spam.zlotemysli.pl/pdfebook.php