| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 11/08/2005 21:25:45
|
mtroyap
What is classpath?
Membro desde: 28/07/2005 16:23:45
Mensagens: 6
Offline
|
cv wrote:
Resolvi olhar, mas com o Lynx (que eh o mais proximo de um browser para cegos que eu tenho aqui), nao consegui nem chegar na tela de login. De novo: nao existem bons teclados virtuais, existem teclados virtuais mais ou menos irritantes, mais ou menos acessiveis, mas todos sao inaceitaveis. Todos. Voce pode querer continuar essa discussao ate onde quiser, mas tenha em mente que vc esta perdendo seu tempo.
Esta é uma opinião tua a respeito dos teclados e nem vale a pena discutir. Não me interessa se tu acha ruins ou não. Nas circunstâncias atuais é a melhor solução. É com certeza melhor do que deixar um usuário exposto à ação de keylogers.
Se é pra ter um site acessível, então que se tenha adecência de disponibilizar um site especialmente feito para pessoas com necessidades e um site normal. Assim se pode atender a todos tipos de público. Eu já trabalhei desenvolvendo software de acessibilidade, ok. Já fiz sites pra cegos esei que não é possível ter um site acessível e bonito ao mesmo tempo. Um site realmente acessível não pode ter nem sequer javascript. tem que ser purinho, texto, com rótulos em todos objetos, mas isto é outro assunto.
cv wrote:
Um site funcional pode ser perfeitamente acessivel e seguro. Voce pode perguntar pra Amazon, se quiser. E se roubarem meu smart card ou token, eu ligo pro banco e cancelo, do mesmo jeito que eu faria se roubassem meu cartao de credito. 50% da informacao nao eh suficiente pra fazer a autenticacao. 99% nao seria, tambem.
quem tem 50% da informação precisa buscar somente os 50% restantes. Se quer trabalhar com segurança teu pensamento tem que ser pessimista, e não otimista.
O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o 'componente de segurança' que ele instala para efetuar transações
o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?
cv wrote:
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.
muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto
|
|
|
 |
|
|
11/08/2005 21:42:43
|
cv
Moderador
![[Avatar]](/images/avatar/210f760a89db30aa72ca258a3483cc7f.jpg)
Membro desde: 04/04/2003 00:32:12
Mensagens: 7817
Localização: São Paulo, SP
Offline
|
mtroyap wrote:
O bankboston não usa teclado virtual nos links onde é feita apenas consulta à conta. Tu já procurou ver o que é o 'componente de segurança' que ele instala para efetuar transações
o segundo exemplo não sei se é útil, que banco é esse? nunca ouvi falar, achou no google?
Sim, e eu sou correntista do Boston. O tal do "componente de seguranca" eh tao seguro que me impede ateh de usar o meu Mac pra acessar a minha conta.  Mas, se vc queria um exemplo de banco que nao usa teclado virtual, o BankBoston eh um deles.
O Smile eh outro banco em que eu tenho conta aqui no Reino Unido. 100% online, menor numero de casos de fraude ou roubo de identidade do pais, e, veja so, nao usa teclado virtual. 
mtroyap wrote:
cv wrote:
Feche um contrato com a RSA e ofereca tokens SecurID a preco de banana pra todos os seus clientes (afinal, vc vai vender milhoes). Amortize o resto do preco dos tokens na taxa de manutencao da conta para os clientes que querem usar o internet banking. Eh realista, e o banco que fizer isso ainda vai ter, provavelmente, um lucro escondido em algum lugar dessa historia toda.
muito realista, vou distribui aparelhos de token securid pra todos correntistas do bb q usam o internetbanking a preço de banana. quanto custa o aparelho? não posso obrigar um correntista a usar o securid, ainda mais enfiando mais taxas no fiofó dele além das que ele já tem. pense nisto
Se voce pode obrigar o correntista a usar um cartao de plastico pra pagar coisas no supermercado, pq vc nao pode dizer pra ele "ei, se vc quiser usar o internet banking a partir do dia tal, agora vc vai ter que comprar o SecurID, ou so vai ter acesso pra consultas. A entrega de cada SecurID sai por apenas $25, e voce pode parcelar se quiser - pense na conveniencia e seguranca de saber que nunca vai ter problemas com roubo de identidade, e de quebra o seu banco fica mais facil de usar!"
O preco de reposicao de um SecurID eh USD 70, aproximadamente, e eu nao sei qual o preco de venda, mas com certeza se chega um BB da vida na porta da RSA e diz que vai precisar de uns milhoes, o preco cai de forma BASTANTE consideravel.
|
|
|
|
30/08/2006 12:20:03
|
Roger75
Virtual Machine Man
![[Avatar]](/images/avatar/a82d922b133be19c1171534e6594f754.jpg)
Membro desde: 26/10/2003 12:18:59
Mensagens: 700
Offline
|
Olá pessoal,
Eu precisava de um teclado virtual pra colocar no sistema que estou desenvolvendo. Tem que ser que nem o do Internet Banking da Caixa Econômica.
Até consegui entrar na tela onde mostra o teclado virtual, mas não consigo pegar o código (html, javascript). Quando tento fazer o "Salvar como" do browser salva uma página em branco. Aquele teclado é feito em javascript ou é um Applet?
Alguém saberia onde consigo um teclado igual a esse da Caixa ou como faço para pegar o código da página do Internet Banking?
Valeu!
|
|
|
|
30/08/2006 14:07:49
|
thingol
Moderador
Membro desde: 29/07/2004 16:10:13
Mensagens: 17442
Localização: SP
Offline
|
1) É um applet
2) Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o "altamente seguro" Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension "Web Developer").
3) Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:
- Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a "key loggers".
- O campo "password" usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
- Se você clicar em uma "tecla", ele deveria apagar o teclado inteiro momentaneamente para evitar os "screen loggers".
|
|
|
|
04/09/2006 11:42:54
|
Roger75
Virtual Machine Man
Membro desde: 26/10/2003 12:18:59
Mensagens: 700
Offline
|
thingol wrote:
1) É um applet
2) Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o "altamente seguro" Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension "Web Developer").
3) Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:
- Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a "key loggers".
- O campo "password" usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
- Se você clicar em uma "tecla", ele deveria apagar o teclado inteiro momentaneamente para evitar os "screen loggers".
Tentei ver no Temporary Internet Files usando Internet Explorer mas não achei muita coisa não. O que seria essa extensão "Web Developer" do Firefox? Tem que comprar? Com ela eu consigo chupinzar o código da página?
Apesar do applet atual ter as falhas de segurança que você apontou eu queria usar do jeito que está mesmo.
Valeu!
|
|
|
|
04/09/2006 12:09:32
|
thingol
Moderador
Membro desde: 29/07/2004 16:10:13
Mensagens: 17442
Localização: SP
Offline
|
1) Você não precisa comprar o Web Developer.
https://addons.mozilla.org/firefox/60/
2) Se você olhar o tal do applet vai ver que é chato até para chamá-lo - se não me engano, os parâmetros são criptografados. É melhor fazer o seu. Não é excessivamente difícil.)
|
|
|
|
05/09/2006 02:40:46
|
Ironlynx
Moderador
![[Avatar]](/images/avatar/93d65641ff3f1586614cf2c1ad240b6c.jpg)
Membro desde: 02/05/2003 01:06:41
Mensagens: 3139
Localização: The other side of the screen
Offline
|
1) É um applet
2) Você não está sabendo usar corretamente o seu browser. Veja se alguma coisa ficou no Temporary Internet Files. (Não, não adianta usar Save As). Use o "altamente seguro" Internet Explorer para pegar esses arquivos temporários. De preferência, use um micro velho e a versão 5.01 (que é a versão mais velha que o site da Caixa aceita).
(Nesse ponto o Firefox não é adequado, a menos que você use a extension "Web Developer").
3) Aquele applet está cheio de craca (um fonte só usado para centenas de aplicações diferentes na Caixa); é melhor você fazer o seu, que você pode fazê-lo até muito, muito mais seguro.
Se você pegar um especialista em segurança ele vai lhe apontar uma série de falhas.
As falhas mais óbvias:
- Ele aceita digitação (não deveria aceitar). Isso faz com que seja vulnerável a "key loggers".
- O campo "password" usado é o do AWT, que em versões antigas do Sun Plug-In pode ser inspecionado facilmente;
- Se você clicar em uma "tecla", ele deveria apagar o teclado inteiro momentaneamente para evitar os "screen loggers".
Incrível como até hoje ninguém lançou um tecladinho virtual OSource com todos esses detalhes citados por você.
|
Não basta persistir...tem que prevalecer!
Ironlynx
Anarquista de Sistemas
http://osereojava.blogspot.com/ |
|
|
|
05/09/2006 10:43:45
|
thingol
Moderador
Membro desde: 29/07/2004 16:10:13
Mensagens: 17442
Localização: SP
Offline
|
Acho que não lançaram um teclado open-source porque ele, em resumo, é só uma forma de fazer com que o usuário se sinta seguro pela dificuldade em usá-lo.
Na verdade ele não protege contra quase nada.
E é por isso que você só vê implementações pagas; porque o próprio conceito é "furado".
Esteja à vontade para criar o seu - é fácil; nada mais que uma aplicação AWT normal, que usa a biblioteca netscape.javascript.* (LiveConnect) para passar alguns valores para o browser.
|
|
|
|
28/09/2009 16:29:17
|
McLuck
HelloWorld
Membro desde: 16/05/2009 16:56:39
Mensagens: 21
Offline
|
Se tratando de segurança, vi algo incrivelmente bem bolado, mas depende muito de recursos de infra. Mas está aí a idéia.
Era um sistema que quando você loga, e isto deduz que você seja cadastrado corretamente, então o sistema gera um código de 5 a 7 caracteres e envia o código para o celular via sms.
Então os processos são:
- Login;
- Gera o código;
- Envia para o celular;
- Redireciona o usuário para outra tela aguardando o usuário digitar a "senha" recebida por sms.
Achei muito bem bolado.
Teve uma outra usando hash que achei bem legal também, mas é uma outra história.
Desculpem a intromissão.
Att,
McLuck
|
|
|
|
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[Yahoo!]](/templates/default/images/icon_yim.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}
![[ICQ]](/templates/default/images/icon_icq_add.gif){kind=icon}