Re: Płatność kartą powyżej (...)zł - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Prawo › Grupy › pl.soc.prawo › Płatność kartą powyżej (...)zł › Re: Płatność kartą powyżej (...)zł

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Olgierd <n...@n...problem>
Newsgroups: pl.soc.prawo
Subject: Re: Płatność kartą powyżej (...)zł
Date: Wed, 28 Jul 2010 07:07:00 +0000 (UTC)
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 51
Message-ID: <p...@r...org>
References: <i2hs56$b9l$1@inews.gazeta.pl> <i2jc9b$gbi$1@polsl.pl>
<i2jfue$3bt$1@news.net.icm.edu.pl> <mrc3o.339191$NW.9244@hurricane>
<i2jku9$89d$1@node2.news.atman.pl> <i2jmjq$lue$1@news.onet.pl>
<4c4d93a1$1@news.home.net.pl> <p...@r...org>
<i2k6es$619$2@news.onet.pl> <s...@p...org>
<i2kcue$nlt$1@news.onet.pl> <i2m3a3$mnp$1@news.onet.pl>
<p...@r...org> <i2m854$59n$1@news.onet.pl>
<i2n8ds$t19$2@news.net.icm.edu.pl>
<p...@l...org.pl>
<i2ngih$eg3$1@news.net.icm.edu.pl>
NNTP-Posting-Host: hub.money.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1280300820 1105 217.153.72.70 (28 Jul 2010 07:07:00 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 28 Jul 2010 07:07:00 +0000 (UTC)
X-User: olgierdr
User-Agent: Pan/0.133 (House of Butterflies)
Xref: news-archive.icm.edu.pl pl.soc.prawo:647714
[ ukryj nagłówki ]
Dnia Tue, 27 Jul 2010 22:46:09 +0200, Robert Jaroszuk napisał(a):

> To że protokół EMV w założeniach miał służyć przeniesieniu
> odpowiedzialności za bezpieczeństwo transakcji z issuera na merchanta
> i/lub cardholdera.
> Jeśli transakcja została potwierdzona podpisem klienta - odpowiada
> merchant. Jeśli PINem - odpowiada klient. I pod tym względem się
> sprawdza. Bank przenosi ryzyko i odpowiedzialność na innych.

Co do zasady: troszkę w tym jednak ploty (którą sam rozpowszechniałem...)
-- "liability shift" dotyczy sprzedawców, którzy nie wdrożyli czip-
terminali (http://www.chipandpin.co.uk/business/card_payments/
means/
shift_liability.html); natomiast co do odpowiedzialności za transakcje to
w ustawie EIP jest to dość dokładnie rozpisane.

> W przypadku transakcji offline, weryfikacja PIN odbywa się poprzez
> komunikację z kartą, a nie z centrum autoryzacyjnym. Tego typu
> architektura z założenia będzie mniej bezpieczna niż transakcje
> online'owe, ponieważ nie ma "trzeciej strony", która autoryzuje
> transakcje. Myślę że nie muszę się specjalnie gimnastykować żeby
> udowodnić że jest to mniej bezpieczne, prawda?

Jednak "dawca" karty i techniki tam zaszytej też ma coś tu do powiedzenia
(i stracenia?).
Z drugiej strony transakcję online można podsłuchać. Nie mam pojęcia
(nietechniczny jestem) czy w ramach autoryzacji "idzie" PIN i jak to jest
szyfrowane, ale ryzyko zawsze istnieje.

> Są przez to podatne na różnego rodzaju ataki typu Man-in-the-middle, czy
> nawet na klonowanie i przeprogramowanie, przez co stają się tzw. 'yes
> card'. Po prostu sklonowana karta zawsze odpowiada twierdząco na
> zapytanie o poprawność PINu.

Czyli tak czy inaczej wychodzimy albo od sklonowanej, albo wytworzonej we
własnym zakresie -- w oparciu o cudze numery kart -- plasticzki.

> W przypadku kart DDA, które posiadają klucze RSA, istnieje możliwość
> oszukania terminala poprzez modyfikację pakietów autoryzacyjnych,
> przesyłanych pomiędzy kartą a terminalem. Oczywiście nie będzie to
> możliwe gdy musimy podać kartę sprzedawcy w sklepie i to on wtyka ją w
> terminal, ale często jest tak, że klient sam to robi i wtedy można użyć
> kradzionej karty.

Kradzionej czy podrobionej? Zakładając, że miałbym kartę tego rodzaju i
dałbym ją Tobie -- da się "podrobić" PIN? E...

--
pozdrawiam serdecznie, Olgierd
Lege Artis ==> http://LegeArtis.org.pl <==
pstryczki ==> http://www.flickr.com/photos/olgierd/
[reklama] dobre foto we Wrocławiu ==> http://foto-krzyki.pl