DAJ CYNK
  • Wszystko, co dotyczy telefonii komórkowej - usługi, promocje, opinie, itp. Nie o telefonach komórkowych! (patrz niższe działy)
Wszystko, co dotyczy telefonii komórkowej - usługi, promocje, opinie, itp. Nie o telefonach komórkowych! (patrz niższe działy)
Regulamin forum: Zanim założysz nowy temat upewnij się, że wybrałeś odpowiedni dział! W przeciwnym razie wyląduje w koszu! Tak samo będą traktowane nowe posty pisane nie na temat.
 #1133538  autor: neotele
 07 lip 2022, 19:02
@iphoneski
Nikt nie mówi, że pokazywanie dowodu w salonie jest wolne od zagrożeń, ale tam masz do czynienia z jednym "typkiem" i możesz patrzeć mu na ręce.

Natomiast dając dostęp aplikacji Orange do swojego banku:
- nie masz pewności, co ta aplikacja robi w tle (bo nie jest ona typu open source), tj. jakie dane sprawdza? / pobiera? / przechowuje?
- nie wiesz ile osób w Orange ma dostęp do pozyskanych w ten sposób danych i czy przypadkiem ktoś nie będzie chciał tego wykorzystać (a może sprzedać oszustom?).
W sumie więc, szacuję, aplikacja stwarza ponad 100-1000 razy większe ryzyko, niż wizyta w salonie z dowodem.
 #1133539  autor: Remington
 07 lip 2022, 19:11
@neotele
Bezpieczeństwo tych danych zależy nie tyle od niej co od systemu operacyjnego. Aplikacja nie ma własnej przeglądarki internetowej tylko korzysta z systemowej i jeśli system nie ma luki, to apka niczego nie jest w stanie podejrzeć, nawet hasła choć wydaje się, że wpisujesz je w niej bezpośrednio. Jedyne ryzyko to gdyby zhackowana aplikacja kierowała do phishingowej strony, a nie prawdziwej bankowej (wtedy dane zbierałaby strona, a nie apka), w iOS można to łatwo sprawdzić, nie wiem jak w Androidzie.
 #1133544  autor: iphoneski
 07 lip 2022, 20:08
Jest dokładnie tak jak pisze @Remington. No i logując się do systemu przez Moje id, system udostępnia Orange wyłącznie te dane, które są niezbędne do rejestracji. Dokładnie te same, które ty podajesz im rejestrując numer w salonie. I to są te same dane, które potem może wykraść ten sam człowiek z Orange, który mógłby to zrobić po rejestracji w aplikacji.
I niby co da patrzenie na ręce gościowi z salonu? Jaka sztuka zapamiętać kilka danych z dowodu, a potem szybko je gdzieś zapisać? Ja spokojnie dałbym radę pozyskiwać tak dane, a potem zamawiać dowody kolekcjonerskie i brać chwilówki na losowych ludzi.
Rejestrując w aplikacji ryzyko właśnie minimalizujesz, bo wykluczasz typka z salonu. Reszta ryzyk jest podobna, bo te same dane trafiają w te same miejsca i mogą je wykraść dokładnie ci sami ludzie.
 #1133546  autor: Remington
 07 lip 2022, 20:35
neotele pisze:
07 lip 2022, 20:10
Nie wiem na jakiej zasadzie działa i co faktycznie robi aplikacja Orange Flex. I nikt poza producentem też tego nie wie.

I tu się mylisz. Wie każdy kto zna możliwości Androida lub iOS-a, a konkretnie ograniczenia ich API. Aplikacja nie może więcej niż pozwala API systemu. Czyli może śledzić np. aktywność, ale do zapoznania się z danymi telefonu lub połączenia sieciowego musisz nadać jej samodzielnie uprawnienia, ani nie podejrzy jakie dane wpisujesz na stronie banku, ani jakie bank Tobie wyświetla, a tego się obawiałeś.
 #1133548  autor: iphoneski
 07 lip 2022, 20:54
@neotele
To, że ty czegoś nie wiesz, nie znaczy, że ktoś próbuje cię orżnąć. Ja na przykład nie wiem jak działają czarne dziury, dlatego słucham naukowców badających to zjawisko i daje wiarę ich wypowiedziom. Tak samo skoro Apple dopuścił do swojego (skrupulatnie weryfikowanego) sklepu aplikację, a banki dopuszczają ją do swojego (skrupulatnie weryfikowanego) systemu to daje wiarę, że te instytucje wiedzą co i z kim robią.
Twoje podejście jest trochę jak tych wszystkich co nie chcą nadajników - nie znam się, ale szwagier kolegi mówił, że od tego kury się nie niosą i krowy mleka nie dają.
 #1133550  autor: iphoneski
 07 lip 2022, 21:16
O widzisz, to tego nie wiedziałem. Myślałem, że tam musisz się zgłosić i oni cię potem łaskawie dopuszczają - coś jak przystąpienie do UE tylko w mniejszej skali ;)
No ale tak jezt chyba nawet jeszcze lepiej, bo standardy zostały opracowane, wdrożone i aplikacja nie ma na to żadnego wpływu.
 #1133551  autor: neotele
 07 lip 2022, 21:19
iphoneski pisze:
07 lip 2022, 20:54
@neotele
To, że ty czegoś nie wiesz, nie znaczy, że ktoś próbuje cię orżnąć.
Stawiasz bezpodstawne i nieprawdziwe hipotezy.
Jedyne co napisałem, to że nie podoba mi się weryfikacja poprzez aplikację i konto bankowe (nie wiedząc na jakiej zasadzie to przebiega, co Orange widzi, zapisuje itp.), gdyż widzę tu wiele potencjalnych zagrożeń (co nie znaczy, że zakładam iż tak jest).
Natomiast Orange, chociażby przez to, że nierzetelnie informuje swoich klientów na temat bezpieczeństwa swoich aplikacji, nie pomaga tu klientom.
iphoneski pisze: Twoje podejście jest trochę jak tych wszystkich co nie chcą nadajników - nie znam się, ale szwagier kolegi mówił, że od tego kury się nie niosą i krowy mleka nie dają.
Odnosząc się do tej Off-topic'owej frazy, powiem, że znowu się mylisz i sugeruję skupić się na faktach, zamiast uciekać w ogólnikowe i w większości mylne oraz bezproduktywne porównania.
 #1133553  autor: Remington
 07 lip 2022, 22:36
iphoneski pisze:
07 lip 2022, 21:16
Myślałem, że tam musisz się zgłosić i oni cię potem łaskawie dopuszczają - coś jak przystąpienie do UE tylko w mniejszej skali ;)

Tak właśnoe jest, ale zgłaszać się trzeba raz do KIR-u i on sprawdza czy wszystko działa. Banki są podłączone do niego i jeśli on akceptuje to u nich zaczyna działać.
neotele pisze:
07 lip 2022, 21:19
i konto bankowe (nie wiedząc na jakiej zasadzie to przebiega, co Orange widzi, zapisuje itp.), gdyż widzę tu wiele potencjalnych zagrożeń

No to napisz może jakich, bo mówisz ogólnikami i trudno się do nich odnieść, więc i odpowiedzi dostajesz na ogólnym poziomie. Na pewno Orange nie widzi tego co wpisujesz bankowi w ich aplikacji ani co bank pokazuje w niej Tobie - to na pewno.

Ja natomiast jako minus procudury zdalnej uważam fakt, że obraz dowodu osobistego przyjmuje postać elektroniczną - zawsze to jest potencjalne ryzyko wycieku, nawet gdy firma gwarantuje, że zdjęcie zaraz potem usuwa itp.
 #1133554  autor: iphoneski
 07 lip 2022, 23:30
Z fotką dowodu to fakt - nigdy nie ma 100% pewności.

@neotele
Nie stawiam żadnych hipotez: ani błędnych, ani trafnych. Odnoszę się jedynie do twoich wypowiedzi, z których wynika jedynie to, że się boisz bo nie wiesz jak działa. I pewnie nie wiesz też innych rzeczy, na przykład dlaczego samoloty nie spadają. I czy to znaczy, że nigdy nie polecisz na wakacje? Ja też nie wiem wielu rzeczy i pewnie wiedział nie będę, dlatego ufam specjalistom w swoich branżach, podobnie jak ludzie ufają mi w mojej branży. Najmniej pewnym elementem w zasadach bezpieczeństwa zawsze był i będzie czynnik ludzki, dlatego zacząłem tę dyskusję. Bo uznałeś, że lepiej zarejestrować u człowieka, któremu możesz patrzeć na ręce. A ja cię od kilku godzin uświadamiam, że to jest właśnie najbardziej niebezpieczny punkt całej operacji. System został zaprojektowany do konkretnych zadań i wykonuje konkretne zadania. Człowiek natomiast może je wykonać, ale może też wykonać inne, które posłużą mu do jego prywatnych celów. A co i jak może zrobić i robi Orange już wyjaśnił Rem, więc nie będę tworzył tych samych postów.
 #1133560  autor: neotele
 08 lip 2022, 10:19
Sądzę, że dostęp do konta bankowego przez kogokolwiek innego niż użytkownik, np. operatora sieci GSM, powinien być bardzo bardzo klarownie określony w zakresie tego dostępu i ściśle ograniczony co do tego zakresu.

Zakładacie optymistyczny scenariusz i, jak mi się wydaje, wierzycie, że operator w profesjonalny sposób coś tam (ale co?) na waszym koncie sprawdzi poprze API i nic, ani celowo, ani przez pomyłkę innego potencjalnie szkodliwego nie zrobi. I prawdopodobnie tak jest.

Jednak sądzę, że w tym szczególnym przypadku, jakim jest dostęp do konta bankowego, nie powinno się bazować tylko na wierze w umiejętności i uczciwość operatora, ale powinny być spełnione poniższe warunki:
- generalnie aplikacja operatora powinna być dokładnie i jawnie opisana w zakresie bezpieczeństwa danych klienta (a dla aplikacja Orange brak jest "informacji na temat tego, jak aplikacja zbiera, udostępnia i wykorzystuje Twoje dane");

- w przypadku dostępu do konta bankowego poprzez aplikację, powinno być jasno określone co aplikacja może podglądać, zbierać i przetwarzać a czego nie może i nie będzie robić;

- w tej szczególnej sytuacji, aby nie polegać tylko na wierze, kod aplikacji powinien być upubliczniony, tak aby osoby zainteresowane (i posiadające odpowiednią wiedzę) były w stanie zweryfikować powyższe (a być może wskazać jakieś niedociągnięcia aplikacji).
 #1133562  autor: Remington
 08 lip 2022, 10:31
neotele pisze:
08 lip 2022, 10:19
Zakładacie optymistyczny scenariusz i, jak mi się wydaje, wierzycie, że operator w profesjonalny sposób coś tam (ale co?) na waszym koncie sprawdzi poprze API i nic, ani celowo, ani przez pomyłkę innego potencjalnie szkodliwego nie zrobi. I prawdopodobnie tak jest.

To nie jest "optymistyczny" scenariusz, lecz jedyny możliwy, wynikający z ram jakie nakładają producenci systemów Android i iOS. Apka Orange nic nie może podejrzeć oprócz tego, co przekaże jej KIR. Wydaje mi się, że nie ze specyfikacja aplikacji Orange powinieneś się zpoznać, lecz ze specyfikacją MojeID (nie wiem czy jest dostępna), bo Orange tylko podłącza się do tego systemu.

Upublicznianie kodu komercyjnych aplikacji nie jest często spotykaną praktyką, ze względu na możliwość kopiowania przez konkurencję lub innych programistów oraz wykrycia ewentualnych luk przez przestępców. Wręcz przeciwnie, standardem jest tzw. obfuskacja kodu czyli czynienie go niemal niemożliwym do odczytania.
 #1133563  autor: neotele
 08 lip 2022, 10:43
Remington pisze:Wydaje mi się, że nie ze specyfikacja aplikacji Orange powinieneś się zpoznać, lecz ze specyfikacją MojeID
Chodzi o to, że to nie klient powinien się domyślać, co i w jaki sposób aplikacja Orange może podglądnąć i co podglądnie, ale operator powinien jednoznacznie wskazać, do czego będzie miał dostęp, co zapamięta i co wykorzysta.
Upublicznianie kodu komercyjnych aplikacji nie jest często spotykaną praktyką, ze względu na możliwość kopiowania przez konkurencję lub innych programistów oraz wykrycia ewentualnych luk przez przestępców. Wręcz przeciwnie, standardem jest tzw. obfuskacja kodu czyli czynienie go niemal niemożliwym do odczytania.
Tu mamy konflikt pomiędzy tajemnicą firmy a bezpieczeństwem klienta i niestety, najczęściej interes firmy traktowany jest priorytetowo.

Jeśli zaś chodzi o kwestię bezpieczeństwa wynikającą ze stosowania kodu otwartoźródłowego, to osobiście mam większe zaufanie do takiego softu, gdyż, w takich przypadkach, jeśli dojdzie do wykrycia jakiegoś zagrożenia, to jest ono w miarę szybko łatane, w przeciwieństwie do softu z ukrytym kodem, gdzie ujawnione podatności na zagrożenia czasami bywały nie załatane nawet przez lata.
 #1133575  autor: iphoneski
 08 lip 2022, 15:08
neotele pisze:
08 lip 2022, 10:19
Sądzę, że dostęp do konta bankowego przez kogokolwiek innego niż użytkownik, np. operatora sieci GSM, powinien być bardzo bardzo klarownie określony w zakresie tego dostępu i ściśle ograniczony co do tego zakresu.
I właśnie tak jest, ale ty nie potrafisz albo co bardziej prawdopodobne nie chcesz tego przyjąć do wiadomości. Operator dostaje jedynie imię, nazwisko i PESEL, czyli dane niezbędne do rejestracji. Więcej nie dostaje nawet gdyby chciał, bo tylko te dane przekazuje mu bankowy system Moje ID. Żadnych dostępów do konta bankowego nie ma, bank tylko potwierdza, że zweryfikował wcześniej te dane, są prawdziwe i można na ich podstawie zarejestrować numer.
 #1133578  autor: neotele
 08 lip 2022, 17:41
iphoneski pisze: Operator dostaje jedynie imię, nazwisko i PESEL, czyli dane niezbędne do rejestracji.
...
Żadnych dostępów do konta bankowego nie ma
Jeśli tak by było, to dla mnie byłoby do zaakceptowania. Ale to powinno być jasno sformułowane przez operatora na jego stronie i w jakimś Regulaminie, tak aby klient chcący skorzystać z promocji lub tylko założyć konto, nie miał tu żadnych wątpliwości.
 #1133579  autor: iphoneski
 08 lip 2022, 18:22
W regulaminie to chyba nie może być, bo to są zasady Moje ID, więc to jest określone w jakichś zasadach działania ich systemu. Orange mogłoby jedynie dodać komunikat PDF na swojej stronie, w którym wyjaśniłoby jak to się odbywa. Właściwie to nawet nie jest taki zły pomysł, żeby taki komunikat zrobili. Mi były potrzebne 2 zdania napisane w czasie wolnym, więc tym bardziej oni mogliby zrobić to w godzinach pracy, żeby mniej świadomi klienci mogli ogarnąć zasady działania tej weryfikacji.
 #1133581  autor: Remington
 08 lip 2022, 18:28
Dokładnie to samo miałem napisać. Jeśli ktokolwiek miałby to zawrzeć w regulaminie to bank przystępujący do MojeID, względnie KIR. Może już to robią? Orange nie ma wpływu czy bank nie przyśle mu więcej danych niż potrzebuje, to już jest sprawa KIR i banków.
 #1133583  autor: neotele
 08 lip 2022, 19:09
Klient chce założyć konto we Flex, wiec wchodzi na ich stronę i tu powinno być klarownie opisane, jakie informacje będą żądane od banku i przekazane do aplikacji Flex.
Tu także powinna być, choćby skrócona informacja, co to jest Moje ID, bo nie każdy, nawet korzystający z tego forum, miał z czymś takim wcześniej do czynienia i może nie jest świadomy, że istniej strona https://www.mojeid.pl/ , jak się domyślam, związana z usługą Moje ID w aplikacji Flex.
Ale raz jeszcze podkreślam - nie może to być wynik przypuszczeń klienta i dyskusji na forach, ale powinna być jasna informacja ze strony Orange Flex.