| Data: 2016-10-18 02:35:03 | |
| Autor: Bolko | |
| obrazek bezpieczeństwa w IPKO | |
|
Wybrałem obrazek bezpieczeństwa w iPKO
o co chodzi? wie ktoś? |
|
| Data: 2016-10-18 12:23:25 | |
| Autor: PiteR | |
| obrazek bezpieczeństwa w IPKO | |
|
Bolko pisze tak:
Wybrałem obrazek bezpieczeństwa w iPKO To taki gadżet dla dzieci Androida. Pokemon który pojawia się po każdym podaniu numeru klienta. Pokemon jest przypisany do numeru klienta. Fałszywa strona banku nie wie jaki to obrazek. Taki duży kolorowy ostrzegacz dla tłumoków, żeby pochopnie nie wpisali jeszcze złodziejom hasła. -- Piter w banku bądź czujny jak pies podwójny! |
|
| Data: 2016-10-18 12:38:28 | |
| Autor: J.F. | |
| obrazek bezpieczeństwa w IPKO | |
|
Użytkownik "PiteR" napisał w wiadomości grup dyskusyjnych:XnsA6A57E0AA5818PanElektronik@localhost.net...
Bolko pisze tak: Wybrałem obrazek bezpieczeństwa w iPKO To taki gadżet dla dzieci Androida. Pokemon który pojawia się po każdym I na tlumackich hackerow - co za problem sprawdzic na stronie banku jaki jest obrazek dla tego klienta ? J. |
|
| Data: 2016-10-18 13:10:02 | |
| Autor: PiteR | |
| obrazek bezpieczeństwa w IPKO | |
|
J.F. pisze tak:
Użytkownik "PiteR" napisał w wiadomości grup dyskusyjnych:XnsA6A57E0AA5818PanElektronik@localhost.net... No siedzi tam sztab informerów lepszych zapewne niż w Biedronce. To pewnie poeta miał coś na myśli. -- Piter w banku bądź czujny jak pies podwójny! |
|
| Data: 2016-10-19 17:26:56 | |
| Autor: Wojciech Bancer | |
| obrazek bezpieczeństwa w IPKO | |
|
On 2016-10-18, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] I na tlumackich hackerow - co za problem sprawdzic na stronie banku jaki jest obrazek dla tego klienta ? Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2016-10-19 17:53:38 | |
| Autor: J.F. | |
| obrazek bezpieczeństwa w IPKO | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrno0f460.ake.wojciech.bancer@pl-test.org...
On 2016-10-18, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: [...] I na tlumackich hackerow - co za problem sprawdzic na stronie banku Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie. Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a potem juz nic nie bedzie zabezpieczalo ... J. |
|
| Data: 2016-10-19 18:02:37 | |
| Autor: Wojciech Bancer | |
| obrazek bezpieczeństwa w IPKO | |
|
On 2016-10-19, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a potem juz nic nie bedzie zabezpieczalo ... Na oko. :) To jest trudniejsze niż wygląda na pierwszy rzut oka. No i pamiętaj, że to nie jest jedyne zabezpieczenie. W pewnym momencie suma "zabezpieczeń" robi się na tyle duża, że cała operacja przestaje być opłacalna. -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2016-10-19 18:33:39 | |
| Autor: J.F. | |
| obrazek bezpieczeństwa w IPKO | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrno0f68t.ake.wojciech.bancer@pl-test.org...
On 2016-10-19, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Nie jest to niemożliwe, ale jest to zawsze jakieś utrudnienie.Zawsze jakies, ale na oko - na pare godzin roboty hackera ... a potem Na oko. :) Wersja a): od strony serwera polaczyc sie ze strona pko, wpisac klienta, sciagnac obrazek i przekazac do udawanej strony. Wada - moze zwrocic uwage na duza ilosc polaczen ze strony jednego serwera - trzeba by rozrzucic po wielu komputerach. Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany obrazek. Nie mowie ze sie uda, ale coz szkodzi sprawdzic. J. |
|
| Data: 2016-10-20 11:50:27 | |
| Autor: Wojciech Bancer | |
| obrazek bezpieczeństwa w IPKO | |
|
On 2016-10-19, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] Na oko. :) Zablokować połączenia bez sesji/ciacha od klienta, dorzucić kontrolnie check nagłówków (user agent, przekierowania z CSRFem, zmieniać randomowo kod HTML utrudniają automatyczne parsowanie kodu przez serwer). Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki klienta polaczy sie do PKO, wpisze nr klienta, i pokaze otrzymany obrazek. Zablokować połączenia AJAX (przeglądarki to wysyłają tak, że da się wykryć). A to tylko takie prostsze rzeczy, które stosuje się zawsze. :) I co zrobisz? :) -- Wojciech Bańcer wojciech.bancer@gmail.com |
|
| Data: 2016-10-20 12:21:03 | |
| Autor: J.F. | |
| obrazek bezpieczeństwa w IPKO | |
|
Użytkownik "Wojciech Bancer" napisał w wiadomości grup dyskusyjnych:slrno0h4r3.kv3.wojciech.bancer@pl-test.org...
On 2016-10-19, J.F. <jfox_xnospamx@poczta.onet.pl> wrote: Wersja b): zaprogramowac to w javascript strony. Skrypt z przegladarki Zablokować połączenia AJAX (przeglądarki to wysyłają tak, że da się wykryć). I co zrobisz? :) Wyswietle komunikat "blad w trakcie odczytu strony", przekieruje klienta do prawdziwej strony ... ale sobie zanotuje w bazie ktory klient dal sie nabrac. Wejde na strone banku recznie, wpisze jego id, zapamietam obrazek, i dopisze do bazy falszywego serwera ze temu klientowi nastepny razem ten obrazek sie pokaze. I postaram sie podeslac mu ponownie falszywa strone. Raz sie nabral, to moze i drugi raz sie nabierze. Ale wtedy nie bedzie mial powodow nie wpisywac hasla :-) Wymaga to troche obslugi recznej ... ale imo z duza szansa powodzenia. J. |
|
| Data: 2016-10-20 12:50:06 | |
| Autor: PiteR | |
| obrazek bezpieczeństwa w IPKO | |
|
J.F. pisze tak:
I co zrobisz? :) Jeszcze jest kwestia datownika na dole obrazka. Trzeba by obrazek uciąć i generować bieżącą datę albo jakoś nakładać na wierzch. -- Piter w banku bądź czujny jak pies podwójny! |
|
| Data: 2016-10-20 04:09:51 | |
| Autor: Dawid Rutkowski | |
| obrazek bezpieczeństwa w IPKO | |
Jeszcze jest kwestia datownika na dole obrazka. Trzeba by obrazek uciąć i generować bieżącą datę albo jakoś nakładać na wierzch. Datownik jest "bardzo mądrze" dodawany właśnie na samym dole obrazka, na bialutkim tle. Już tak głupi nie byli, żeby przy zmianie obrazka pokazywały się do wyboru bez datownika - ale tak czy siak tak zrealizowane "zabezpieczenie" jest marne. |
|
| Data: 2016-10-21 00:02:00 | |
| Autor: MarcinF | |
| obrazek bezpieczeństwa w IPKO | |
|
W dniu 2016-10-19 o 18:02, Wojciech Bancer pisze:
No i pamiętaj, że to nie jest jedyne zabezpieczenie. W pewnym momencie Raczej odbezpieczenie, teraz klienci będą sprawdzać obrazki zamiast np. ścieżkę certyfikacji. |
|
| Data: 2016-10-21 06:58:39 | |
| Autor: Kamil Jońca | |
| obrazek bezpieczeństwa w IPKO | |
|
MarcinF <marfi@interia.pl> writes:
W dniu 2016-10-19 o 18:02, Wojciech Bancer pisze: Zakładasz, że większość sprawdza ścieżkę certyfikacji :) KJ -- http://stopstopnop.pl/stop_stopnop.pl_o_nas.html Computers are like air conditioners. Both stop working, if you open windows. -- Adam Heath |
|
| Data: 2016-10-20 23:42:09 | |
| Autor: Bolko | |
| obrazek bezpieczeństwa w IPKO | |
> Raczej odbezpieczenie, teraz klienci będą sprawdzać obrazki zamiast A po polsku co to jest? |
|
| Data: 2016-10-24 00:38:12 | |
| Autor: MarcinF | |
| obrazek bezpieczeństwa w IPKO | |
|
W dniu 2016-10-21 o 08:42, Bolko pisze:
A po polsku co to jest? To całe bezpieczeństwo https opiera się na wierze w autentyczność pewnych certyfikatów umieszczonych w systemie operacyjnym czy przeglądarce web. Główne certyfikaty na początku ścieżki potwierdzają inne pośrednie, a te pośrednie z kolei potwierdzają certyfikat strony banku. Wyświetlenie ścieżki certyfikacji prezentuje certyfikaty odpowiedzialne za potwierdzenie autentyczności strony banku, może też pomóc ocenić czy są prawdziwe i godne zaufania. |
|