Hlavní navigace

Vlákno názorů k článku Mikroplatby konečně na českém Internetu! od netwolf - Take ja jsem si koupil Neffovu povidku za...

  • Článek je starý, nové názory již nelze přidávat.
  • 7. 12. 2000 13:16

    netwolf (neregistrovaný)
    Take ja jsem si koupil Neffovu povidku za supercenu 10 Q. Co me vsak chybi jsou dalsi informace:
    - kde si muzu vymeit Q za CZK a obracene?
    - jak se stat Qemitorem, Qolektorem?
    - vzniknou Q banky, realizujici urocene vQlady/pujcky?
    - jak je technicky zajistena autorizace klienta sbiraciho od emitora Q (mam na mysli situaci kdy by uzivatel (bez vlastniho vedomi) sbiral pro nekoho jineho)?

    Jinak pochopitelne preji autorum mnoho zdaru. Skutecnym a definitivnim potvrzenim uspechu projektu bude paradoxne nepopolurani opatreni: zavedeni Qdani.
  • 7. 12. 2000 20:16

    Author (neregistrovaný)
    Penove, jedina poznamka to s ohledem na bezpecnost.
    Jiz nyni je vic nez pravdepodobne, ze vas system bude napaden a proto vam doporucuji se o sifrovani a bezpecnost PORADNE zajimat. Kdyz mi reknete "zabezpeceny kanal", tak je mi to trochu smesne, ptz to zni jako byste nosili paketiky s transakcemi do mezibankovniho clearing centra :)))))
    Podle meho nazoru tohle je klicova a zcela zasadni zalezitost, ptz staci JEDINY prunik do systemu a okamzite je system zdiskreditovan a uz to nikdy nenapravite a to vam nepreji.
    Proto bych radeji nerikal "bezpecny kanal" (me osobne jiz po tom svrbi ruce abych se sam podival jak je bezpecny ;) ), ale radeji napiste, ze napr. pouzivate JCA/JCE implementaci (dival jsem se na vasi spolupraci se Sunem a Javove prostredi tak proto to zminuji ;) ) a ze mate jejich referencni implemtaci se silnym sifrovanim. Proste kdyz zminite, ze tam treba pouzivate 128-bitove proudove sifry a na to vazane treba 4kilove RSA tak jiz jen tenhle fakt mnoho lidi odradi od pruniku do systemu. Ten je v teto tezkotonazni kalibraci mozny jiz jen pres chybu v implementaci, ale to je DESNE netrivialni najit. A jiz tim jen stoupne vase duveryhodnost a bude se vam lepe delat marketing.

    Jinak vam preji hodne zdaru, ptz sam vim co vas ceka. Sami jsme se snazili vybudovat platebni system asi pred 3 roky ale nakonec to padlo na nezajmu bank. Snad se vam bude darit lepe.
  • 8. 12. 2000 1:09

    Jan Palka (neregistrovaný)
    Vazeny pane,
    Vase poznamka je spravna a dekuji za podporu. Rozumna bezpecnost kazdeho mikroplatebniho mechanismu je nutna. Rozumnou bezpecnostni myslim takovou, kdy naklady na obohaceni jsou vyssi nez obohaceni samo.
    Domnivam, ze napadnuti primo transakcniho systemu je temer vylouceno. Je zajistena fyzicka bezpecnost a vzdaleny pristup k systemu je evidovan a zaznamenavan. Pristup k jednotlivym uctum je umoznen pouze pres bezpecnostni heslo zasilane, jako vsechna hesla pres SSL. Mame 128 bitovy certifikat od THAWTE, ale samozrejme zalezi na browseru, jak silne sifrovani implementuje. Hesla uzivatelu jsou v databazi zasifrovana a nikdo krome uzivatele by je nemel znat.
    Z algoritmu, ktere pouzivame zminim SHA1 pro zajisteni integrity zprav. Preferujeme symetricke sifrovani (tajne klice) pred RSA zduvodu rychlosti. Take pouzivame nahodny generator, ktery se ridi doporucenim IEEE P1363.
    Dalsi otazkou je bezpecnost samotnych pripojenych serveru, proto se snazime vybudovat takovou bezp. politiku, kdy vetsina nastaveni si zapojeny server administruje pres system I LIKE Q. Implementaci jakou pouzivame nemohu takto verejne sdelit, ale rekneme, ze Vami popsane schema povazujeme take za dobre :).
    Pokud mate zajem o vice informaci napiste mi na moji adresu, rad se o tom s Vami pobavim, zvlaste kdyz mate bohate zkusenosti z teto oblasti.

    Jan Palka
  • 8. 12. 2000 12:34

    Hynek Med (neregistrovaný)
    Copak o to, v sifrovani/autentizaci/integrite opravdu neni problem, ale bohuzel je malokdy sifrovani nejslabsim clankem retezu. Daleko horsimi problemy jsou bezpecnost serveru (a tohle je o dost horsi situace nez u bezneho webu, jde tu o penize), prihlasovacich hesel jak spravcu systemu (aneb kdo mi zabrani na Windows administratora treba virem nainstalovat odchytavac klavesnice), tak samotnych uzivatelu (podivam se na nejaky seznam uzivatelu, treba z nejakych logu meho zucastneneho serveru, zkusim hadat jejich hesla, u tech co je uhadnu si vsechny penize prevedu na svuj ucet ktery nasledne promenim na koruny a zmizim do ciziny). Spousta dalsich problemu muze vzniknout nedomyslenosti protokolu..

    Konkretne u Ilikeq mi prijde hodne divne, ze se sice heslo autentizuje pres https formular, ovsem stranka, ze ktere se na ni jde, zasifrovana neni, a po autentizaci je zde opet redirect na normalni stranky.

  • 8. 12. 2000 13:19

    Jan Palka (neregistrovaný)
    Dobry den Hynku,
    myslim, ze ti muzu tykat, trochu se prece zname.
    bezpecnost serveru a sprava je skutecne povolena jen omezene skupine osob, ktere znaji rizika a prihlasuji se zasadne z dedikovanych pocitacu, proto napriklad treba jen drobna uprava v designu banky se musi naplanovat a koordinovat.
    Tvoji starost kolem hadani hesel, trojskych koni v pocitacich uzivatelu, chapu. Je to, ale komplexni problem, kdy uzivatele musime naucit, aby meli hesla opravdu kvalitni, a aby druhe heslo zadavali ze stroju, kterym veri. Tvuj napad je jiste dobry, ale tak, jak si ho popsal by zcela 100% nefungoval - ale to tady nemuzu psat :). Muzu, ale rict, ze podezrele chovani (statisticky vyznamne odlisne od ocekavaneho chovani) se v systemu monitoruje a jsou interne nastavene nejake "limity".
    Uzivatelum nabidneme smenitelnost na zacatku ledna. A pokud mas pocit, ze jsem Ti nenapsal vse, tak se stav, muzeme se o tom pobavit - a treba I LIKE Q jeste vylepsime :)

    Jan Palka
  • 8. 12. 2000 18:41

    Hynek Med (neregistrovaný)
    Ale o to nejde -- ja jsem tyhle ruzne veci uvadel jen jako
    ilustraci toho, ze v sile a typu sifry rozhodne neni vsechno, jak to naznacoval prispevek Authora. V sile sifry je mozna tak maximalne falesny pocit bezpeci. :-)
  • 7. 12. 2000 14:39

    Villusion a.s. - I LIKE Q (neregistrovaný)
    - kde si muzu vymenit Q za CZK a obracene?
    momentalne system umoznuje oboustranou vymenu pro servery, termin zpristupneni teto sluzby uzivatelum je 1.1.2001

    - jak se stat Qemitorem, Qolektorem?
    vyplnte formular na www.ILIKEQ.cz v menu ZAPOJENE SERVERY-KONTAKTNI FORMULAR
    (primy odkaz: http://gate.villusion.com/~rakiwe/servers/)
    a budou Vam zaslany informace o zapojeni do systemu I LIKE Q vcetne kontaktu na obchodni oddeleni, ktere je pripraveno odpovedet na Vase dalsi dotazy.

    -vzniknou Q banky, realizujici urocene vQlady/pujcky?
    Spolecnost Villusion a.s. vyvinula a provozuje system
    I LIKE Q jako univerzalni mikroplatebni transakcni system. Villusion a.s. spolu s jiz zapojenymi servery a dalsimi partnery chysta nekolik dalsich projektu.
    Tuto platformu vsak muze vyuzit kdokoliv. Jsme presvedceni, ze servery, uzivatele, podnikatele a ostatni vyuziji system I LIKE Q k realizaci vlastnich skvelych napadu a obchodnich zameru.

    - jak je technicky zajistena autorizace klienta sbiraciho od emitora Q (mam na mysli situaci kdy by uzivatel (bez vlastniho vedomi) sbiral pro nekoho jineho)?

    System je zabezpecen kombinaci jmeno/heslo , ktere zna pouze uzivatel. Tyto udaje jsou prenaseny bezpecnym kanalem.

    Pokud Qdane maji predstavovat poplatky za pouziti systemu: Pro uzivatele je a bude system zdarma.

    Grzegorz Hóta
    Villusion a.s.
    Tel: +420 2/2278 0155
    Fax: +420 2/2278 2660
    Mob: +420 603/415 724
    email1: grzegorz.hota@villusion.com
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).