-
Data: 2007-03-01 22:45:26
Temat: Re: ALLEGRo - po raz drugi...
Od: "kravietz" <p...@n...hush.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 21 Lut, 20:31, gerlach <g...@l...com> wrote:
> Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
> zapewnienia bezpieczeństwa w Allegro są niewystarczające do
> przeprowadzania transakcji finansowych na duże kwoty.
Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
czyni całe przedsięwzięcie opłacalnym.
> Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
> 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
> (którego podstawowym celem jest właśnie w celu zawierania umów przez
> internet)
Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
(http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)
> Np. w systemach bankowości elektronicznej:
> 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
> protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
> sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
> Istnieje nawet opcja nieszyfrowanego logowania!
Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
gdyby robili także regenerację PHPSESSID.
> 2. Banki do autoryzacji wykorzystują:
> - (najczęściej tajny) login,
> - tajne hasło, w większości przypadków o wymuszanej sile (długości,
> rodzaju występujących znaków).
> - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
> operacji hasło jest różne
Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
Singapurze nawiasem mówiąc).
--
Wojciech Gustowski "E-społeczność" (e-book)
http://e-spolecznosc.zlotemysli.pl/pdfebook.php
"Dane i bezpieczeństwo" (free e-book)
http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
f
Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
book)
http://zwalcz-spam.zlotemysli.pl/pdfebook.php
Najnowsze wątki z tej grupy
- Dyplomaci a alkomaty
- Zmiana kary
- Poseł Ryszard Petru w Biedronce
- Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- Precedensy politycznie motywowanego nie wydawania w UE
- Obrońcy
- Obrońcy
- Obrońcy
- Ekstradycja
- policja pomaga
- Kolejny biegły
- Taka ciekawostka skrzyżowaniowa
- Poseł oszukany "na policjanta"
- znów chory psychicznie
- Rozproszona Kontrola Konstytucyjności WYBORNE ;-)
Najnowsze wątki
- 2024-12-27 Dyplomaci a alkomaty
- 2024-12-27 Zmiana kary
- 2024-12-23 Poseł Ryszard Petru w Biedronce
- 2024-12-21 Ideologia Geniuszy-Mocarzy dostępna na nowej s. WWW energokod.pl
- 2024-12-20 Precedensy politycznie motywowanego nie wydawania w UE
- 2024-12-20 Obrońcy
- 2024-12-20 Obrońcy
- 2024-12-20 Obrońcy
- 2024-12-20 Ekstradycja
- 2024-12-19 policja pomaga
- 2024-12-19 Kolejny biegły
- 2024-12-19 Taka ciekawostka skrzyżowaniowa
- 2024-12-18 Poseł oszukany "na policjanta"
- 2024-12-18 znów chory psychicznie
- 2024-12-17 Rozproszona Kontrola Konstytucyjności WYBORNE ;-)
![Ceny ofertowe nowych mieszkań w XI 2024 [© Freepik]](https://s3.egospodarka.pl/grafika2/ceny-mieszkan/Ceny-ofertowe-nowych-mieszkan-w-XI-2024-263571-50x33crop.jpg "Ceny ofertowe nowych mieszkań w XI 2024 [© Freepik]")
Ceny ofertowe nowych mieszkań w XI 2024
