[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Wojciech Dworakowski Wojciech.Dworakowski at securing.pl
Mon May 17 05:43:54 EDT 2010


> From: Paweł Goleń
> Sent: Saturday, May 15, 2010 4:34 PM
>
> Mam nadzieję, że jeśli pomysł Przemka doczeka się realizacji, a nie
> skończy się na kilku dniach dyskusji, w oparciu o opracowane kryteria
> będzie można porównać konkretne implementacje algorytmów autoryzacji
> transakcji w różnych bankach i wystawić im ocenę opartą o rzeczywiste
> cechy implementacji, a nie ogólne założenie, że CR jest lepszy niż SMS.

Obawiam się że "ocena oparta o rzeczywiste cechy implementacji" bez zgody danego banku może nie być możliwa (formalnie).
Jak dobrze wiemy najlepszy pomysł/algortym można wspaniale zepsuć na etapie implementacji (przykładowo: kod SMS generowany po stronie przeglądarki).
Definiując kryteria oceny o których dyskutujemy trzeba brać pod uwagę również możliwośc popełnienia błędów przy implementacji a oceniając - w większości przypadków - trzeba wykonywać testy empiryczne, które jak wiemy nie są trywialne.

Podsumowując - obiektywne kryteria oceny są jak najbardziej potrzebne ale raczej nie da się ich zastosować do porównania bankowości internetowych na potrzeby tego typu artykułów jak cytowany przez Przemka.
Inna sprawa że z punktu widzenia "redaktora z poważnego pisma" łatwiej jest zrobić porównanie takie jak w tym artykule niż wnikać w szczegóły merytoryczne. Tak więc raczej tego typu kwiatków nie wyeliminujemy.

wd


More information about the Owasp-poland mailing list