Wpis z mikrobloga

Skopiuj link

16.09.2019, 11:31:38

Tak wygląda wdrażanie wymogów w bankach. Weszły w życie nowe wymagania/przepisy dotyczące banków i logowania. Przy logowaniu podajemy hasło i dodatkowo dostajemy hasło SMS, które trzeba wpisać.
W mBanku można dodać dany komputer/urządzenie do zaufanych co jest całkiem spoko, ale nie ma nigdzie podglądu listy urządzeń zaufanych ani opcji usunięcia urządzenia z listy zaufanych. Wdrożyli "zaufane", ale tak coś nie do końca. Pewnie będą przeprowadzać testy na produkcji.
Uderzyłem do pomocy (screen w załączniku). Uzyskana odpowiedź po prostu mnie rozbawiła, bo co innego zrobić. ¯\_(ツ)_/¯

#mbank #heheszki #bezpieczenstwo #banki #security

mwwilk

16.09.2019, 15:45:34

@pshemeq: tak, masz rację, jest to oparte o ciasteczka przeglądarki. Dodałem Firefoxa do zaufanych w mbanku. Wylogowałem się, zalogowałem i jest OK, nie pyta już o SMS. Usunąłem ciasteczka mbanku, odświeżyłem stronę, loguje się do mbanku i mogę ponownie dodać komputer/urządzenie do zaufanych z potwierdzeniem hasłem SMS. Teraz mam FireFoxa kilka razy dodanego do listy urządzeń, którą nie można zarządzać z panelu. Czyli po wyczyszczeniu ciasteczek komputer przestał być zaufany. :)

mwwilk - @pshemeq: tak, masz rację, jest to oparte o ciasteczka przeglądarki. Dodałem... — **źródło:** comment_Kb3uA4wwiGQBStRqCBdfmcU0AXt5SuQe.jpg
Pobierz

Dolan

16.09.2019, 15:52:17

@mwwilk: przeciez to jest logiczne ze przegladarki korzystają z ciasteczek, nigdzie w ustawieniach konta nie będziesz miał tego kompa w zaufanych, jedynie mogą zrobić listę IP z których się logowałeś.

Dlatego w aliorze mam powiadomienie push na telefon ze ktos sie zalogował, z jakiego IP, jaka przegladarka, itd. Macie to w mkiblu?

mwwilk

16.09.2019, 15:54:23

@Dolan: no tak. Można też korzystać z sesji. Co nie zmienia faktu, że nadal wprowadzili to beż możliwości zarządzania urządzeniami zaufanymi. Mogli poczekać i wprowadzić to w całości razem z możliwością zarządzania listą zaufanych, ale widocznie się im spieszyło.

Dolan

16.09.2019, 15:55:39

@mwwilk: ale nie wprowadzą bo musiałbyś mieć certyfikat albo klucz kryptograficzny na PC zeby mozna to było dodać jako urządzenie zaufane tak samo jak telefon. Z resztą to i tak bez sensu bo wciąz musisz znać hasło, a sms wysyła przy próbie logowania z każdej nowej przeglądarki. Jedynie można by to ominąć kradnąc twoje ciasteczko np z domowego komputera. Ale wciąż muszą mieć hasło.

Generalnie to nic nie zmienia skoro złodzieje

AgainPsychoX

16.09.2019, 16:16:59

@mwwilk: Ta choroba nazywa się @ZespolmBanku. ( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)

Solitary_Man

16.09.2019, 16:32:00 via Android

@mwwilk: przecież można usunąć

a.....4

konto usunięte 16.09.2019, 16:32:15 via Wykop Mobilny (Android)

@mwwilk: Oho, widzę że nie tylko ja tego szukałem

a.....4

konto usunięte 16.09.2019, 16:48:37

@mwwilk: Nie ma i #!$%@? xD

mar-kar-583

16.09.2019, 16:57:41 via Android

@adam163264 tylko to co widać XD

mwwilk

16.09.2019, 17:21:22

@Solitary_Man: zaloguj się na komputerze przez przeglądarkę na konto i sobie poszukaj listy komputerów ;)

carbyne

16.09.2019, 17:30:42

Czyli po wyczyszczeniu ciasteczek komputer przestał być zaufany. :)

@mwwilk: panie odkryłeś pan amerykę! i niebezpiecznik nawet powiadomiony, no proszę
jakbyś chciał to zrobić inaczej?

ale nie wprowadzą bo musiałbyś mieć certyfikat albo klucz kryptograficzny na PC zeby mozna to było dodać jako urządzenie zaufane tak samo jak telefon.

@Dolan: ?
taki przykład z brzegu: aplikacja signal, wersja desktop wyświetla kod qr, android skanuje i ma listę urządzeń do zarządzania

cojaturobietezzajety

16.09.2019, 17:39:16

@mwwilk: rzeczywiście cyrk, ale jakby co to w mbanku gdzieś tam przez kompa możesz znaleźć listę z urządzeniami zaufanymi, dodawać, usuwać itd. Musisz poszukać, jakiś rok temu jeszcze była taka zakładka, nie wierzę, żeby usunęli zupełnie.

BorysKafarov

16.09.2019, 17:43:03

@mwwilk: No #!$%@? faktycznie nic nie ma xd Dzisiaj mi wyskoczył popup o nowym urządzeniu - logowałem się na kompie. Komp dodany i uj, nigdzie nie ma takiej listy żeby ją podejrzeć albo usunąć urządzenie xd

Co się #!$%@?

mwwilk

16.09.2019, 17:53:09

@carbyne: nie chodzi o ciasteczka, a o brak zarządzania listą zaufanych komputerów/urządzeń. Można je sobie dodawać, ale nie można ich usuwać (nie ma listy z zarządzaniem). Ja tylko potwierdziłem, że jest to oparte o ciasteczka i nikt się tym nie podnieca poza paroma osobami jak widzę. Mogli funkcję zaufanych urządzeń wdrożyć za tydzień, dwa razem z listą do zarządzania zaufanymi komputerami, a nie tylko funkcja dodawania i wylane. Agile, raz w

uzbek23
konto usunięte

Euphor

16.09.2019, 19:57:47 via iOS

@mwwilk: deploy na weekend i jazda, w poniedziałek sie zrobi hypercare, co moze pojsc nie tak? ( ͡º ͜ʖ͡º)

a.....3

konto usunięte 16.09.2019, 21:02:02

@mwwilk: kto normalny ma konto w mbanku?

skotfild

17.09.2019, 03:12:47

@mwwilk: mi z tą dyrektywą jedna rzecz się nie podoba. Może się zdarzyć, że jednego dnia zgubisz telefon i portfel. Jak masz się zalogować na konto, aby zablokować kartę?