-
Data: 2010-07-28 07:07:00
Temat: Re: Płatność kartą powyżej (...)zł
Od: Olgierd <n...@n...problem> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Dnia Tue, 27 Jul 2010 22:46:09 +0200, Robert Jaroszuk napisał(a):
> To że protokół EMV w założeniach miał służyć przeniesieniu
> odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
> i/lub cardholdera.
> Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
> merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
> sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.
Co do zasady: troszkę w tym jednak ploty (którą sam rozpowszechniałem...)
-- "liability shift" dotyczy sprzedawców, którzy nie wdrożyli czip-
terminali (http://www.chipandpin.co.uk/business/card_payments/
means/
shift_liability.html); natomiast co do odpowiedzialności za transakcje to
w ustawie EIP jest to dość dokładnie rozpisane.
> W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
> komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
> architektura z założenia będzie mniej bezpieczna niż transakcje
> online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
> transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
> udowodnić że jest to mniej bezpieczne, prawda?
Jednak "dawca" karty i techniki tam zaszytej też ma coś tu do powiedzenia
(i stracenia?).
Z drugiej strony transakcję online można podsłuchać. Nie mam pojęcia
(nietechniczny jestem) czy w ramach autoryzacji "idzie" PIN i jak to jest
szyfrowane, ale ryzyko zawsze istnieje.
> Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
> nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
> card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
> zapytanie o poprawność PINu.
Czyli tak czy inaczej wychodzimy albo od sklonowanej, albo wytworzonej we
własnym zakresie -- w oparciu o cudze numery kart -- plasticzki.
> W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
> oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
> przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
> możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
> terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
> kradzionej karty.
Kradzionej czy podrobionej? Zakładając, że miałbym kartę tego rodzaju i
dałbym ją Tobie -- da się "podrobić" PIN? E...
--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://LegeArtis.org.pl <==
pstryczki ==> http://www.flickr.com/photos/olgierd/
[reklama] dobre foto we Wrocławiu ==> http://foto-krzyki.pl
Następne wpisy z tego wątku
- 28.07.10 07:10 Tomasz Kaczanowski
- 28.07.10 07:34 Herald
- 28.07.10 07:41 Herald
- 28.07.10 07:56 Konrad
- 28.07.10 08:09 Robert Jaroszuk
- 28.07.10 08:14 Robert Jaroszuk
- 28.07.10 08:16 Tomasz Kaczanowski
- 28.07.10 08:23 Robert Jaroszuk
- 28.07.10 08:29 Tomasz Kaczanowski
- 28.07.10 08:59 Robert Jaroszuk
- 28.07.10 09:02 Tomasz Kaczanowski
- 28.07.10 09:13 Robert Jaroszuk
- 28.07.10 09:26 Tomasz Kaczanowski
- 28.07.10 10:43 Herald
- 28.07.10 12:26 Konrad
Najnowsze wątki z tej grupy
- Nordstrim
- obostrzenia
- ilość węzłów sanitarnych w biurowcu
- Korekta prognozy
- ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- Czy można orzekać po pijaku?
- reparacje
- ustawienie przetargu
- Przeszukiwanie baz i netu
- Mini Netykieta polskich grup dyskusyjnych
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI
Najnowsze wątki
- 2024-07-06 Nordstrim
- 2024-07-06 obostrzenia
- 2024-07-05 ilość węzłów sanitarnych w biurowcu
- 2024-07-04 Korekta prognozy
- 2024-07-04 ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- 2024-07-03 Czy można orzekać po pijaku?
- 2024-07-02 reparacje
- 2024-07-02 ustawienie przetargu
- 2024-07-02 Przeszukiwanie baz i netu
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-06-30 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-06-28 Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- 2024-06-27 AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI