[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Goleń pawel.golen at gmail.com
Mon May 17 10:23:24 EDT 2010


On 2010-05-17 11:43, Wojciech Dworakowski wrote:

> Obawiam się że "ocena oparta o rzeczywiste cechy implementacji" bez
> zgody danego banku może nie być możliwa (formalnie). Jak dobrze wiemy
> najlepszy pomysł/algortym można wspaniale zepsuć na etapie
> implementacji (przykładowo: kod SMS generowany po stronie
> przeglądarki).

Nie chodziło mi o aż tak niskopoziomowe ujęcie pojęcia "implementacji".
Przykładowo zatrzymujemy się na poziomie "SMS zawiera dane transakcji"
lub "response generowany jest na podstawie danych transakcji" albo nawet
"w trakcie autoryzacji użytkownik ma możliwość weryfikacji potwierdzanej
transakcji", nie skupiamy się natomiast na tym czy dany kod jest
wystarczająco losowy i generowany w odpowiednim miejscu.
Rożne wdrożenia SMS lub CR mogą spełniać, lub nie, ten postulat/te
postulaty.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list