-
Data: 2007-03-01 22:45:26
Temat: Re: ALLEGRo - po raz drugi...
Od: "kravietz" <p...@n...hush.com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 21 Lut, 20:31, gerlach <g...@l...com> wrote:
> Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
> zapewnienia bezpieczeństwa w Allegro są niewystarczające do
> przeprowadzania transakcji finansowych na duże kwoty.
Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
czyni całe przedsięwzięcie opłacalnym.
> Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
> 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
> (którego podstawowym celem jest właśnie w celu zawierania umów przez
> internet)
Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
(http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)
> Np. w systemach bankowości elektronicznej:
> 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
> protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
> sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
> Istnieje nawet opcja nieszyfrowanego logowania!
Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
gdyby robili także regenerację PHPSESSID.
> 2. Banki do autoryzacji wykorzystują:
> - (najczęściej tajny) login,
> - tajne hasło, w większości przypadków o wymuszanej sile (długości,
> rodzaju występujących znaków).
> - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
> operacji hasło jest różne
Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
Singapurze nawiasem mówiąc).
--
Wojciech Gustowski "E-społeczność" (e-book)
http://e-spolecznosc.zlotemysli.pl/pdfebook.php
"Dane i bezpieczeństwo" (free e-book)
http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
f
Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
book)
http://zwalcz-spam.zlotemysli.pl/pdfebook.php
Najnowsze wątki z tej grupy
- Nordstrim
- obostrzenia
- ilość węzłów sanitarnych w biurowcu
- Korekta prognozy
- ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- Czy można orzekać po pijaku?
- reparacje
- ustawienie przetargu
- Przeszukiwanie baz i netu
- Mini Netykieta polskich grup dyskusyjnych
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI
Najnowsze wątki
- 2024-07-06 Nordstrim
- 2024-07-06 obostrzenia
- 2024-07-05 ilość węzłów sanitarnych w biurowcu
- 2024-07-04 Korekta prognozy
- 2024-07-04 ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- 2024-07-03 Czy można orzekać po pijaku?
- 2024-07-02 reparacje
- 2024-07-02 ustawienie przetargu
- 2024-07-02 Przeszukiwanie baz i netu
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-06-30 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-06-28 Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- 2024-06-27 AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI