Tärkeää asiaa tietoturvasta
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
Tärkeää asiaa tietoturvasta
Mitä sitten pelaaja voisi tehdä turvallisesti? Ehdoton vaatimus on se, että kaikessa maksuliikenteessä netin yli on toimiva salaus (SSL). Tämä ei täysin estä väärinkäytöksiä, mutta se vähentää niitä. Suomessakaan luottokortilla ei koskaan kannata maksaa mitään, jos SSL-salausta ei ole. Suomalaisessa vedonlyöntibisneksessä luottokortilla voi maksaa ESBC:lle, jonka tietoturva on erittäin huono juuri sen takia, että heillä ei SSL-salausta. Mistä sen tuntee? Siitä, että maksutapahtuman yhteydessä oikeasta alalaidasta löytyy lukon kuva. En olisi viitsinyt mainita koko ESBC:tä tässä yhteydessä, mutta kun he eivät reagoi mitenkään, vaikka otin asiassa heihin yhteyttä, katson tällaisen negatiivisen faktan esille tuomisen jo välttämättömäksi. ESBC:lle ei siis kannata missään nimessä maksaa mitään luottokortilla. Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole. En suosittele ketään boikotoimaan ESBC:tä (päinvastoin, arviot ovat usein asiallisia), vaan pyrin ainoastaan parantamaan heidän tietoturvaansa nykyajan vaatimalle tasolle.
Kannattaa myös varoa bookkereita, joilla on jatkuvasti isoja virhekertoimia. Hyvä esimerkki on vaikkapa Playit.com, jossa saa pelata Allianssin tappiota kertoimella 14.50. Jostain tällaisesta paikasta (mutta ei siis välttämättä Playit -yhtiöstä) on vuotanut yhden korttini tiedot ulos. Toki nämä firmat ostavat maksutapahtumapalvelut ulkoa, mutta ne eivät silti ole ainakaan oman kokemukseni mukaan täysin luotettavia tässä(kään) asiassa.
Eli olkaapa minua varovaisempia.
-
speksi
- Jäsen
- Viestit: 53
- Liittynyt: 06.05.2005, 10:32
- Pisteitä: 0
Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Edit
Aivan samaa mieltä postauksen muiden asioiden kanssa
Minikommentit
-
kumiluu
- Jäsen
- Viestit: 34
- Liittynyt: 06.03.2003, 08:52
- Pisteitä: 0
Nojaa
Suomalaiset nettipankit käyttävät juuri tuota SSL-salausta yhteyksissään, joten kyllä niiden käyttäminen on täysin turvallista.speksi kirjoitti:Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Minikommentit
-
Kari
- Jäsen
- Viestit: 28
- Liittynyt: 29.01.2004, 17:46
- Pisteitä: 7
nordean ja osuuspankin verkkopalveluilla ei näe tilin omistajan tietoja ilman vaihtuvia tunnuksia mutta ainakin sampo-pankissa pelkällä käyttäjä tunnuksella ja salasanalla saa näkyviin tilinomistajan saldon, nimen ja osoitteen mistä voi käydä sopivan hetken tultua hakemassa tilisiirtoihin ym. tarvittavat vaihtuvat tunnukset. Harva niitä kuitenkaan mukanaan kantaa vaan ovat aina sopivasti hollilla tietokoneen lähettyvillä.speksi kirjoitti:Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?Pankkimaksu menettelee jossain mielessä, sillä suomalaispankit käyttävät kertakäyttöisiä tunnuksia pysyvän numerosarjan lisäksi. Turvallista ei sekään kuitenkaan ole.
Minikommentit
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
Koska tiedot voidaan joko hukata tai varastaa. Eikä pelkästään voida, vaan niitä on myös hukattu & varastettu. Tällä hetkellä Suomessa käytetään myös paperisia kertakäyttöisiä nelinumeroisia tunnuslukuja sekä kiinteää asiakasnumeroa. Suomessa Luottokunta hoitaa useiden pankkien (mm. OP ja Tapiola) verkkopankkitunnusten sulkupalvelua. Tätä tarvitaan mm. varkaustapauksissa.speksi kirjoitti:Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.
Kaiken kaikkiaan rikollisuus lisääntyy selvästi tällä alalla. Toistaiseksi korttien ja tunnusten myöntäjät ovat kärsineet suurimmat tappiot nahoissaan, mutta uskoisin juuri siksi muutoksiin lähivuosina niin turvallisuuden kuin asiakkaan oman vastuunkin suhteen.
Minikommentit
-
kumiluu
- Jäsen
- Viestit: 34
- Liittynyt: 06.03.2003, 08:52
- Pisteitä: 0
Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu. Niin moni käyttää nettipankkia useammasta kuin yhdestä paikasta (= useammalla kuin yhdellä IP:llä) että tuommoisella systeemillä yksi nettipankin perusajatuksista - riippumattomuus käyttäjän fyysisestä sijaintipaikasta - putoaa pois. Toisaalta kaikilla ei ole kiinteitä IP-osoitteita tai osa käyttää nettiä anonyyminä ilman julkista IP:tä.Mungo kirjoitti: Vaikka yhteys on siis salattu, se ei takaa mitään, jos tunnukset ovat pöydänkulmalla työpisteessä tai kotona. Juuri tämän vuoksi verkkopankkitoimintaan on tietääkseni suunnitteilla muutoksia. On puhuttu verkkopankkitoiminnan varmentamisesta mm. IP-numeron tai monen muun lisätunnisteen avulla.
Ja eihän se ole systeemin vika jos ihmiset eivät osaa säilyttää oikein tunnuksia/salasanojaan. Samahan se on perinteisen lompakonkin kanssa, kyllä sekin varastetaan jos siitä ei huolehdi
Minikommentit
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
Eipä niin. Sähköinen allekirjoitus on yksi vaihtoehto, mitä on harkittu. Euroopassa tutkitaan myös yhden ison - eurooppalaisen - systeemin luomista, jossa maksukorteilla olisi nykyistä suurempi rooli. Tämä on tietenkin alan yhtiöiden toive.kumiluu kirjoitti:Eipä taida tuo IP-numerovarmennus ainakaan olla hyvä ratkaisu.
Itse olen kuitenkin varma, että lähivuosina maksuliikenne netin yli tulee olemaan ensin nykyistä laajemmin väärinkäytösten kohteena ja sen jälkeen nykyistä turvallisempaa ja ehkä rajoittuneempaa. Aikajänne on sellaiset 3-6 vuotta.
Minikommentit
-
Lius
- Jäsen
- Viestit: 31
- Liittynyt: 13.07.2004, 15:25
- Pisteitä: 0
Tähän varmasti on muitakin konsteja kuin varastaminen. Esim teet ohjelman joka näyttää aivan samalta kuin verkkopankin sivut. Käyttäjä voi joutua sitten ohjelmaan, vaikka huijaajan "vedolyöntitoimiston" nettisivujen linkistä. Näin se voisi toimia.Miksei ole turvallista? Jos tunnusluvut sisältävä kortti on omissa näpeissä, niin miten mahdolliset ketkuilijat voisivat tietää oikean numerosarjan?
Nettisivut näyttävät asiallisilta. Asiakas rekisteröityy palveluun ja kirjoittaa tietonsa. Asiakas haluaa rahaa tilille ja huomaa että sivuilla on linkki suoraan pankin maksutoimintoihin. Asiakas luulee maksavansa tilisiirtona rahaa ihan normaalisti, syöttää koodit ja asettaa summat ja naks ohjelma palautuu vedonlyöntitoimiston sivuille ja saldo tulee näkyviin. Kaikki OK, EI! Nyt huijaaja tietää asiakkaan tiedot pankkiin, käyttäjätunnuksen ja seuraavan muuttuvan koodin.
Minikommentit
-
Arrows
- Jäsen
- Viestit: 1776
- Liittynyt: 17.01.2003, 21:55
-
Tuotto: +5.08 yks.
Palautus%: 106.91%
Panosten ka: 1.88 yks.
Vetoja: 39
- Pisteitä: 75
Minikommentit
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
Nyt on niin kiirus, että en itse ehdi selvitellä tätä asiaa. Mutta palaan siihen myöhemmin.
Minikommentit
-
MarkusM
- Jäsen
- Viestit: 2187
- Liittynyt: 23.03.2003, 16:54
-
Tuotto: -109.66 yks.
Palautus%: 95.74%
Panosten ka: 14.63 yks.
Vetoja: 176
- Pisteitä: 76
- Paikkakunta: Tampere
Minikommentit
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
Firefox ilmoittaa käyttäjän kannalta sen tärkeän tiedon, jos salatulta sivulta siirretään dataa salaamattoman yhteyden yli. Internet Explorer ei tätä tee, joten käyttäjä ei saa IE:lta turvallisuuden kannalta oleellisesta asiasta.
Yksi tärkeä asia vielä. Olen ymmärtänyt, että salatusta yhteydestäkin saa jäämään jälkiä palveluntarjoajan järjestelmiin. Voi olla, että olen väärässä (ja ongelma koskee pelkästään salaamatonta yhteyttä), mutta tietoturvan kannalta tärkeintä olisi se, että palveluntarjoajan järjestelmissä ei säilytettäisi mitään yksilöivää tietoa korttiin tai maksutapahtumaan liittyen.
Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.
Minikommentit
-
MarkusM
- Jäsen
- Viestit: 2187
- Liittynyt: 23.03.2003, 16:54
-
Tuotto: -109.66 yks.
Palautus%: 95.74%
Panosten ka: 14.63 yks.
Vetoja: 176
- Pisteitä: 76
- Paikkakunta: Tampere
ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?Sitten ESBC:stä. Kun asiakas syöttää heidän sivuilleen 1) luottokortin numeron, 2) voimassaoloajan ja 3) kolminumeroisen tunnuksen, yhteys ei ole hetkeäkään salattu. Tämän takia on mielestäni teoriassa mahdollista, että näitä tietoja voi kolmas osapuoli lukea, vaikka dataa ei siirretäkään tätä kautta. Varsinainen korttitunnistus tapahtuu (https-osoite) /pm/servlet/xxx -lomakkeen avulla ja tätä ei voi kolmas osapuoli lukea.
Jos suojaamattomalla sivuilla olisi scriptausta joka esim tarkistaisi syötetyt arvot lähettämällä ne palvelimelle niin riski olisi olemassa mutta tuolla ei sellaista ole ja lopullinen lähetys tapahtuu salattuna. Ainoa mahdollisuus miten kenttiin syötettyjä arvoja voisi kolmas osapuoli lukea on koneella pyörivä spyware tai muu häirikkösofta mutta tässä tapauksessa niitä arvoja pystyttäisiin lukemaan vaikka sivuilla olisi mitkä salaukset. Kun dataa ei siirretä niin sitä on mahdoton lukea edes teorissa.
Sinänsä olet ihan oikeassa että kun tuollainen tilaussivu ei suoraan pyöri https:än päällä niin riski että joku pistää w ww.paypall.co m tyylisen fakesivuston pystyyn eikä käyttäjä tätä huomaa on suurempi.
Minikommentit
-
Mungo
- Jäsen
- Viestit: 4418
- Liittynyt: 25.05.2003, 23:13
-
Tuotto: +59.91 yks.
Palautus%: 101.26%
Panosten ka: 3.65 yks.
Vetoja: 1305
- Pisteitä: 4112
En ole tietoturvaan erityisemmin perehtynyt, mutta kenties juuri siksi minulla on käsitys, että salaamattomalle sivulle syötettyä dataa voidaan varastoida sivuntarjoajan palvelimelle joissain tilanteissa.MarkusM kirjoitti:
ÖÖÖ joo tuota mitä ja miten väität/luulet että kolmas osapuoli pystyisi lukemaan selaimen kenttiin syöttämiäni arvoja ilman että niitä lähetetään minnekkään?
Kaikissa tapauksissa ESBC:n tietoturva on maksutapahtumien osalta hyvää tasoa.
Minikommentit