[Owasp-poland] Kryteria oceny bezpieczen??stwa bankowos??ci internetowej

Paweł Goleń pawel.golen at gmail.com
Tue May 18 10:30:52 EDT 2010


On 2010-05-18 16:06, Tomasz Dudzisz wrote:

> Ten argument jest bardzo często podawany przez klientów, jako jedno
> z niedogodności tej technologii, niestety.

Nie wiem, nie spotkałem się. Może akurat inna grupa docelowa klientów
była mieszkająca na obszarze lepiej pokrytym przez GSM.

>> Zadanie jest trywialne. Użytkownik nie ma możliwości sprawdzenia, jaką
>> operację rzeczywiście autoryzuje.
> No właśnie ma. Te wszystkie dane powinny być zawarte w kodzie 
> challenge i wyświetlone wraz z wygenerowaniem kodu response.

Chyba kręcimy się w kółko. Powinny, ale nie zawsze są. Opisuję jedną z
możliwych (i istniejących w naturze, że tak się wyrażę) implementacji
tokenu CR na telefony komórkowe. W TEJ KONKRETNEJ implementacji klient
NIE MA możliwości sprawdzenia jaką operację rzeczywiście autoryzuje.
Uznanie TEJ KONKRETNEJ implementacji z automatu za lepszą (wyłącznie na
tej podstawie, że jest to token na komórce) od unikalnych kodów SMS dla
konkretnej transakcji, jest wątpliwe. Inna implementacja może być
lepsza, tego nie kwestionuję.

Dlatego uważam, że w ramach opracowanej listy należy wskazać
"postulaty", które dany mechanizm bezpieczeństwa musi/powinien spełniać
i na podstawie ich (nie)spełnienia powinna być możliwa w miarę
obiektywnego określenia ich "lepszości", przy czym spełnienie
poszczególnych "postulatów" może mieć różną wagę, co dobrze byłoby
również uwzględnić.

Oczywiście spełnienie postulatów może być pozorne, patrz wspominane
przez Wojtka Dworakowskiego błędy w implementacji. To, jak głębokie
powinny być te "postulaty" już zależy od adresatów listy, co zresztą
również było podnoszone.

-- 
Paweł Goleń
mailto:pawel.golen at gmail.com


More information about the Owasp-poland mailing list