| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | | Actualizem os antivírus aqui, aqui, aqui, aqui, ou aqui.
I live the way I type; fast, with a lot of mistakes. |
| |
| |
|
|
| | Eu actualizo o antivirus sempre aqui, nunca me falhou até hoje.
----------------------------
if it bleeds, we can kill it |
| |
| | | "update-virus.zoy.org could not be found. Please check the name and try again." Pelos vistos começou hoje a falhar.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Desculpa-me parece que mudaram de url, agora é este.
----------------------------
if it bleeds, we can kill it |
| |
| | "hey everybody, i'm a big homo".
SINCLAIR ZX SPECTRUM+2
128K RAM
COMBO TAPE READER/RECORDER ONBOARD
CRT 12" WITH SPEAKER |
| |
| | E quando é que a garotada cresce???? Ja nao bastavam alguns comentarios infantis que ainda vem para aqui com atitudes de m....
|
| |
| | Alguém que gostou tanto da gayzada que agora está a incentivar à visita!
Tonidosimpostos: "a firewall mais segura que conheço é o cinto de castidade!" |
| |
| | e eu que pensava que o firefox era imune a estas coisas....
|
| |
| | Aquilo é flash não é o firefox que trata, mas podes sempre não instalar o flash, instalar o flashblock ou usar o adblock para bloquear o script. Eu pessoalmente uso o flashblock e cliquei no botão para activar aquilo abriu algumas janelas com imagens e outra com um flash que eu já não activei e por isso a coisa ficou por aqui.
PS: O flashblock permite-te criar uma whitelist com sites que podem correr flash directamente.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Não estou para aí virado e não creio que fosse gostar, de qualquer maneira o erro continua a dar!
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | o post era para cima, nao para este sorry
|
| |
| | Se não forem keylogers são os screenlogers ou um vírus que apanha o próprio input no JS, whatever, enquanto o pessoal usar um sistema de merda e os bancos continuarem a aconselhar browsers de merda a coisa vai sempre ter problemas.
A informática dos bancos é uma desgraça, e isso comprova-se quando ficamos a saber que a banca e as seguradoras são os maiores consumidores de .net em Portugal, os próprios intefaces dos sites demonstram que nem uma coisa tão simples com isso sabem fazer, e como se não bastasse o maior(???) banco português coloca um sistema on-line que dois dias depois berrou completamente e teve que voltar ao sistema antigo.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| |
| | Que versão do firefox é que estavas a utilizar quando fizeste esse screenshot ??
___________________________________ (linooks (at) zmail (dot) pt) |
| |
| | Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041209 Firefox/1.0 (Ubuntu) (Ubuntu package 1.0-2ubuntu4-warty99)
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | | Pois, quando eu experimentei o novo site na segunda com o Firefox/Windows 1.0 o menu estava a funcionar correctamente !!! Nem sempre a culpa é dos developers :)
___________________________________ (linooks (at) zmail (dot) pt) |
| |
| | Olha que a culpa é dos developers que usam CSS's e não sabem qual o comportamento destas por defeito se aquilo for como penso problema dos paddings na CSS bastava-lhes uma linha de CSS para corrigir aquilo.
Se o problema não for esse creio que deve ser então uma mistura de posições absolutas e tamanhos relativos ou vice-versa que ainda é mais grave.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Agora que falas de CSS..
Já usaram/deram uma vista de olhos nisto?
http://extensionroom.mozdev.org/more-info/webdeveloper
Só isto é por si só motivo para usar Mozilla/Firefox em detrimento de qualquer outro browser. Sem qualquer dúvida, uma ferramente imprescindível para qualquer web developer!
Paradoxo do ano: Microsoft Works!
Dominus vobiscum |
| |
| | Por acaso não estás a usar fontes personalizadas não? Pergunto isto porque já reparei que algumas rendirizações ficam foleiras porque uso fontes personalizadas (basicamente, estou a forçar o uso das Bitstream Vera :-))
---
Este espaço pode ser seu... |
| |
| | Estou com as que vêem por defeito no Firefox do ubuntu, não mexi em nada disso das fontes.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | a configuração está serif, serif, sans-serif, monospace.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Não fales do que não sabes... A não ser que penses que a culpa é da Microsoft no caso dos bancos :)
O Gildot é um site de notícias, onde se transcreve um conteúdo de uma notícia, quanto muito traduz-se e reporta-se a fonte.
by 4GR |
| |
| | | Se não forem keylogers são os screenlogers ou um vírus que apanha o próprio input no JS, whatever, enquanto o pessoal usar um sistema de merda e os bancos continuarem a aconselhar browsers de merda a coisa vai sempre ter problemas. Os keyloggers e os screenloggers pouco o nada têm que ver com o browser usado. Quanto a ataques de phishing, UI phishing,etc atacam um pouco todos os browsers, não há solução mágica. Uma versão não actualizada dum mozilla é em muitos casos tão vulnerável como uma versão não actualizada do IE...
|
| |
| | | Uma versão não actualizada dum mozilla é em muitos casos tão vulnerável como uma versão não actualizada do IE... Eu diria que uma versão não actualizada do Mozilla é em muitos casos tão vulnerável como uma versão actualizada do IE.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Estaria a mentir se também não me tivesse ocorrido isso quando escrevi a resposta anterior... :D
|
| |
| | | Tens de rever isso. O maior banco português já não é a CGD mas sim o BCP aka Millenium BCP que por acaso até tem agora esta mensagem: " Por motivo de manutenção e tendo em vista a melhoria da qualidade do serviço, o millenniumbcp.pt encontra-se temporariamente indisponível."
Cumprimentos,
Jorge Laranjo
01100110 01110101 01100101 01100111 00110000
The Tao of Webdesign |
| |
| | Também já tinha ouvido qualquer coisa sobre isso da CGD já ser o 2º maior e não o maior.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Penso que o BCP é o maior banco privado. Acho que a CGD continua a ser a maior entidade bancária portuguesa apesar de, pelos vistos, os resultados operacionais do grupo BCP apresentados recentemente terem batido os da CGD.
|
| |
| | Mudem o titulo do artigo, um site fequentado por pessoas com o nível de conhecimento técnologico como é o gildot deveria ter vergonha de apresentar um título "Vírus ataca contas online em bancos portugueses" referindo-se a um vírus que claramente ataca os computadores cliente de qualquer utilizador.
Só porque os gajos da telepress não sabem o que escrevem o Gildot não deveria seguir o exemplo.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | | Enquanto os sistemas de autenticação não usarem One Time Passwords (ex: RSA SecureID) eles nunca serão totalmente seguros. Cenas como teclados virtuais, utilização de digitos de documentos de identificação, etc servem mais para dar uma imagem de seguraça de que cria-la.
___________________________________ (linooks (at) zmail (dot) pt) |
| |
| |
| | Concordo contigo e até digo mais, existe uma probabilidade infinitamente maior de alguém ver o código que estou a marcar com o teclado virtual do que alguém me conseguir instalar um keyloger na máquina. Já para não falar que qualquer pato pode ver o código e usá-lo enquanto conhecimentos para usar um keyloger muito poucos têm. Quanto as dígitos de documentos pessoais é outra inutilidade, no caso específico do nº de contribuinte existe um padrão e alguns dígitos são fácilmente previsiveis, quanto a saber esse número, quem souber o meu nome não terá dificuldades em saber o meu número de contribuinte.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Independentemente de ser mais ou menos seguro o teclado virtual em relação ao físico, olha que não é assim tão difícil instalar um keylogger na máquina de um utilizador comum. Basta algum social engineering, tipo no IRC: "este screensaver tá o máximo: http://XXXXX".
Portanto, mais importante que tudo isto, é mesmo os bancos explicarem os cuidados a ter na internet. Para não cansar as pessoas com um texto enorme enquanto a subscrição do serviço, podia haver tipo uma caixa com dicas aleatórias cada vez que uma pessoa fizesse o login.
Religion, the only confort left in a world splited by religion. (The Daily Show) |
| |
| | Olha o social engineering necesário para ver o código num teclado virtual, noutro dia tinha um amigo cá em casa e antes de sair tinha que carregar o télemovel, quando abri o site do banco, tentei começar a marcar o código o mais discretamente possível e oiço logo o gajo (que é utilizador do bpinet) dizer "aí isso é assim? assim vejo o código todo!".
E depois fico chateado, claro que fico, neste caso é uma pessoa de confiança mas podia não ser e ia fazer o quê? Dizer "olha retira-te agora que vou carregar o télemovel!"?
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Epá, não percebo essa tua insistencia em que o teclado virtual é menos seguro....... Os bancos não decidiram mudar quase todos para teclados virtuais na mesma semana por obra e graça do espirito santo..... HOUVE de facto ataques sistematicos e combinados através de keyloggers........ Quanto a conseguires ou não escrever o teu código sem alguem te olhar por cima do ombro tb depende da tua boa vontade! mas para o utilizador comun é mais facil de fazer do que saber se tem um key logger a espiar ou não.....
Quanto ao BPInet, é muito fixe não usar teclado virtual, mas não podes fazer operação absolutamente nenhuma que envolva pagamentos ou transferencias de dinheiro sem teres um cartão matriz que eles te dão (deixa-me acrescentar que só por causa desse cartão é que o BPI não tem teclado virtual). Já por diversas vezes quis fazer operações no BPi e não pude porque não tinha a carteira ao pé..... o que tira um bcado o sentido de independencia fisica que um homebanking te devia dar........
Cumprimentos! zp |
| |
| | porque se instalas um keylogger,também podes instalar um "tcplogger" e apanhar o pedido antes de ser transmitido.
-----
Windows isn't done until Lotus won't run. |
| |
| | a transmissão para qualquer sessão de homebanking é feita sobre SSL, um logger para apanhar os dados do teclado virtual tinha de estar varios niveias acima do tcp, tinha mesmo de estar no nivel da aplicação.
Cumprimentos! zp |
| |
| | aplicação na camada osi,antes da dll sobre ssl no OS. mas era isso que queria dizer.
-----
Windows isn't done until Lotus won't run. |
| |
| | | Os bancos não decidiram mudar quase todos para teclados virtuais na mesma semana por obra e graça do espirito santo Marketing, é atirar areia para os olhos do consumidor "olhem para nós, estamos a fazer coisas na área da segurança".Quanto a conseguires ou não escrever o teu código sem alguem te olhar por cima do ombro tb depende da tua boa vontade Infelizmente nem em todas as situações depende, já perceber o que estou a escrever com um teclado é mais díficl, mesmo que espreitem.Quanto ao BPInet, é muito fixe não usar teclado virtual, mas não podes fazer operação absolutamente nenhuma que envolva pagamentos ou transferencias de dinheiro sem teres um cartão matriz que eles te dão (deixa-me acrescentar que só por causa desse cartão é que o BPI não tem teclado virtual) Que venha o cartão, desapareça a "trampa" do teclado virtual. Já por diversas vezes quis fazer operações no BPi e não pude porque não tinha a carteira ao pé..... o que tira um bcado o sentido de independencia fisica que um homebanking te devia dar........ Não tira simplesmente porque a opção de não levar a carteira foi tua, o que para mim não é um problema porque eu ando sempre com a minha. Se não tiveres um computador ao pé de ti também achas que isso é retirar a independência? E não te esqueças que os próprios bancos insistem para que só se use o homebanking em nossa própria casa, isso não é cortar na independência fisica também? Por outro lado se não tinhas a carteira contigo presume-se que estavas a usar o computador de outra pessoa ou pior de um cibercafé, estando assim num local publico não será melhor ter um cartão do que ter toda a gente a ver o código que estás a marcar?
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Marketing, é atirar areia para os olhos do consumidor "olhem para nós, estamos a fazer coisas na área da segurança".
Portanto tu achas que TODOS os bancos portugueses (mais o MBnet), cujo homebanking apenas dependia de um codigo digitado pelo utilizador, decidiram, ao mesmo tempo (todos na mesma semana), mudar para um sistema que, para o comun utilizador, não apresenta vantagens. E fizeram isso por uma questão de marketing?
Quanto ao facto de te parecer que o cartão matriz é uma boa solução, muda para o BPI. Não és obrigado a ter conta no banco x ou y, podes mudar para outro que te ofereça melhores condiçõe spara o teu dinheiro, mais simpatia, ou como parece ser o caso melhor acessibilidade.
Eu não acho que o teclado virtual seja uma grande solução, o risco de se ser espiado por cima do ombro de facto existe, agora, claramente apareceu para fazer frente a alguma coisa. Quanto ao cartão matriz, tb não acho que seja mau, só que tb não é a solução para todos os males.
Resta-me acrescentar que se o teu banco te fechasse o acesso ao homebanking até ires à agencia buscar o tal cartão matriz tb estavas aqui a fazer um escandalo, não é?
Nem sempre se consegue contentar toda a gente! e há gente mais dificil de contentar do que outra! Olha, eu por exemplo, tenho conta na Caixa e no BPI, uso os dois sistemas e estou contente com ambos, mas isso sou eu, que sou facil de contentar!!
Por outro lado se não tinhas a carteira contigo presume-se que estavas a usar o computador de outra pessoa ou pior de um cibercafé, estando assim num local publico não será melhor ter um cartão do que ter toda a gente a ver o código que estás a marcar?
Esta dedução recordou-me uns episodios antigos do Batman, com o Adam West, em que ele e o Robin faziam deduções deste tipo! Por tanto deixa cá ver, se eu estiver a aceder a um homebanking e não tiver a carteira comigo quer dizer que estou a aceder de um local público?
Cumprimentos! zp |
| |
| | | achas que TODOS os bancos portugueses(...)decidiram, ao mesmo tempo (todos na mesma semana), mudar Foi à boa maneira Portuguesa devido à polémica levantada nessa altura por terem existido problemas com keylogers, e então para calar o cliente que não percebe nada daquilo muda-se para uma solução pior mas perante quem não sabe mais o banco faz boa figura (faz-me lembrar uma coisa que aconteceu ali para Santos onde uns gajos quaisquer resolveram tentar passar à frente de um comboio, levaram com ele e como consequência disso até hoje vários anos depois a passagem ficou fechada sem motivo nenhum que não fosse mostrar que se fez alguma coisa e estes anos todos depois ainda temos que dar uma volta enorme para ir a outra passagem que se manterá aberta até alguém se lembrar de tentar fazer a mesma habilidade por lá).Quanto ao facto de te parecer que o cartão matriz é uma boa solução, muda para o BPI Infelizmente existem outros motivos que me mantêm ligado à Caixa, mas cada vez mais o homebanking tem vindo a tomar importância e pode ser que a médio prazo possa vir a ditar inclusivé uma mudança de banco, por enquanto e tendo em conta que voltaram ao layout antigo (onde consigo ver a página inteira) e que existem motivos extra internet que ainda pesam mais que o homebanking vou-me manter na Caixa, mas...Quanto ao cartão matriz, tb não acho que seja mau, só que tb não é a solução para todos os males. Não é, não pretende ser e não insinuei que fosse!Resta-me acrescentar que se o teu banco te fechasse o acesso ao homebanking até ires à agencia buscar o tal cartão matriz tb estavas aqui a fazer um escandalo, não é? É! Porque estas coisas não se fazem em cima do joelho, se eles quiserem mudar o sistema, primeiro distribuem os cartões (ao balcão com aviso para ir levantar até certa data ou por carta registada) e depois desactivam o actual sistema. Há maneiras competentes de fazer as coisas, não é cortar o serviço a toda a gente e depois dizer "desenrasquem-se querem, estãos de férias, fora do país? fodam-se venham cá buscar os cartões ou não fazem nada!", não é assim que deve funcionar.se eu estiver a aceder a um homebanking e não tiver a carteira comigo quer dizer que estou a aceder de um local público Que me pareça as pessoas guardam as coisas nas suas casas, logo se não te tiverem roubado ou perdido (que convenhamos são justificações mais do que suficientes para estares limitado a aceder ao homebanking tal como estarás limitado a aceder ao multibanco ou a qualquer outra coisa que requeira documentação guardada na carteira) então presume-se que não está a ser feito o acesso a partir de casa, mas isto é um desvio desnecessário ao assunto. Quem quer aceder precisa de um computador e também não vai morrer por ter que transportar um cartão que cabe em qualquer bolso.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | faz-me lembrar uma coisa que aconteceu ali para Santos onde uns gajos quaisquer resolveram tentar passar à frente de um comboio, levaram com ele e como consequência disso até hoje vários anos depois a passagem ficou fechada sem motivo nenhum
Comentário idiota e não tens a mínima razão: fazes alguma ideia de quantos foram os carros que já lá ficaram? Vai levantar estatísticas e depois vem cá cantar de galo, antes é que não!
---
Este espaço pode ser seu... |
| |
| | Pelo menos conheces o sítio? É uma reta enorme com visibilidade e cancelas na passagem de nível! Durante vários anos e até pouco meses antes desse acidente passava todos os dias por ali e nunca vi lá nada acontecer nem houve um atraso de comboio porque aquele troço estivesse impedido por acidente, se calhar devias tu mostram-me as estatísticas que mostram a perigosidade do local já que tu é que estás a contestar o que digo sem dados! De qualquer maneira, no acidente que especifiquei houve várias testemunhas de como eles vinham lado a lado com o comboio e tentaram passar-lhe à frente fazendo um S para evitar as cancelas e foi esse especificamente que levou à medida de fechar a passagem.É essa atitude de fechar a passagem perante uma situação de uso abusivo que estou a comparar com a mudança para inputs por JS para inglês ver.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Por acaso conheço o sítio... e por acaso conheço bastante gente que andava na escola de design (não me lembro do nome) que fica mesmo em frente... e por acaso conheço uma rapariga que trabalhava com o pessoal que ficou debaixo do comboio nesse acidente, que trabalhavam todos na Pull & Bear do Vasco da Gama... e por acaso essa rapariga só não ficou lá porque saiu para casa ao invés de se meter no carro com eles.
Como podes ver, por acaso, nesta situação, sei de mais coisas que tu...
---
Este espaço pode ser seu... |
| |
| | E de todas essas coisas que sabes qual delas é que invalida o que eu disse, ou é sequer relevante para o assunto?
Desde quando isto passou a ser uma competição para ver quem é que conhece mais gente que frequenta aquela zona? Ou o que te leva a pensar que o facto de conheceres alguém que conhecia alguém que esteve envolvido no dito acidente faz de ti um perito no assunto ou dá razão ao facto de aquilo ter sido fechado sem motivo?
Relativamente a este assunto não me vou pronunciar mais porque isto foi dado como ponto de comparação de atitudes inúteis e que nada resolvem mas que servem só para calar a opinião pública. Se discordas do uso deste exemplo é porque percebeste o ponto que queria focar e portanto o assunto está arrumado independentemente de concordares ou discordares do exemplo que usei. Esse exemplo não é o tema da conversa.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | Invalida na medida em que se conhecesses factos reais saberias que aquela passagem de nível é bastante perigosa e não tinhas usado isso como mau exemplo.
---
Este espaço pode ser seu... |
| |
| | Há soluções melhores que o numero de contribuinte, o BPI envia um cartão personalizado com 63 códigos de dois dígitos, dos quais um é pedido aleatoriamente. Não é perfeito, mas sempre é melhor do que o nif.
Mindstorm |
| |
| | Cada token da RSA SecurID custa sensívelmente 35euros. Não me parece que seja uma solução viável, especialmente se tivermos em conta que este valor iria ser pago pelo cliente. Além do mais a sua aplicação iria envolver mudanças radicais a nível da infra-estrutura e muito certamente, não iria ser a solução (mas soluções ideiais não existem, pois não há ambientes ideais para as realizar). Imagino o cenário dos clientes que deixam o PC ligado, com ligação à VPN estaelecida. Claro que se pode e deve-se configurar tiemouts, mas cheira-me a confusão a mais para solucionar algo que deveria ser supostamente simples. Com isto, a complexidade aumenta e para os menos áctivos na informatica, será retrocesso e uma simples ida à dependencia do banco ou atm, resolverá o seu problema.
|
| |
| | Existem alternativas aos tokens da RSA que são mais baratas, e mesmo os da RSA tinha ideia que se comprados numa quantidade razoavel desciam para quase metade desse preço.
Não percebi porque é que usar este tipo de soluções ia mudar assim tanto as infra-estruturas, basta mudar os modulos de autenticação.
Tb não percebi o cenário da VPN, onde é que entra uma VPN na história? Não estarás a fazer alguma confusão? Este tipo de solução pode, de facto, ser usada para autenticar utilizadores frente a VPNs, assim como frente a homebankings, ou frente à porta de casa, ou frente ao que quer que seja!! Utilizar isto num sistema de homebanking não é passar a fazer a ligação sobre uma VPN!
Cumprimentos! zp |
| |
| | Utilizei token pads da RSA apenas para aceder por uma VPN cisco à infra-estrutura local da empresa onde trabalhava. Desconheço outro possível uso do mesmo. Obrigado pelo teu esclarecimento.
|
| |
| | Fantástico. Get ready to be 0wned...
|
| |
| | Tokens de OTP é uma treta. Utilizam quase todos algoritmos ultra-secretos (o que dá muita confiança), e têm vários problemas
One-Time Pads
It's a meme that never seems to go away. Every time I write about this cryptanalytic result, or the insecurity of that system, someone starts crowing about one-time pads. "Every other cryptographic algorithm is based on some assumption, and one-time pads are the only provably secure system," they say. "They're the only safe algorithm," they say. "They're the future," they say.
Well, they're wrong. And step, by step, I will explain why. (Parts of this essay are taken from my book "Secrets and Lies.")
e ainda...
So, let me summarize. One-time pads are useless for all but very specialized applications, primarily historical and non-computer. And almost any system that uses a one-time pad is insecure.
... e por fim...
One-time pads may be theoretically secure, but they are not secure in a practical sense. They replace a cryptographic problem that we know a lot about solving -- how to design secure algorithms -- with an implementation problem we have very little hope of solving. They're not the future. And you should look at anyone who says otherwise with deep and profound suspicion.
|
| |
| | Até que enfim ,que alguem sabe o que são One-time pads.
So por motivos historicos: O SottoMayor usava um sistema de token Rsa.Teve que desistir porque os clientes não gostavam de deixar uma caução de 6500$00 ESc , que era devolvida contra entrega do token. Hoje existe uma caixa com umas centenas deles num armario.
bahh
1- "A mente que se abre a uma nova idéia jamais volta ao seu tamanho original." -(Albert Einstein) 2- "O cu também." -(Clodovil) |
| |
| | Convém que esclareças do que estás a falar, isto porque One-Time Pads e One-Time Passwords são coisas completamente diferentes.
O One-Time Pad é o algoritmo perfeito para cifragem e decifragem de dados, mas é impossível de implementar de forma segura!
One-Time Passwords é um mecanismo que permite a geração de passwords únicas, normalmente usado em autenticação baseada em 2 factores, alguma coisa que possuis (por exemplo um token) + alguma coisa que só tu tens conhecimento.
Afinal de que queres falar?
Cumprimentos,
Pedro.
|
| |
| | Não percebo porque é que os bancos deixaram de usar certificados digitais para autenticar os seus clientes (lembro-me do Banco7). Talvez pela relativa complexidade que havia há uns anos atrás em instalá-los... mas actualmente já não creio que isso seja um problema.
Usados em conjunto com uma boa password são a forma mais segura e económica de proteger os acessos.
|
| |
| | O que fazer? Tal como referem os próprios sites dos bancos, os utilizadores devem mudar o sistema operativo e o browser.
I pretend to work. They pretend to pay me. |
| |
| | | Hoje quando acordei fui invadido por notícas tipo pesadelo em que um virus atacava todos quantos entravam nas respectivas contas bancárias online. Radio, televisão e até jornais falavam no tal virus misterioso que por sinal tinha sido criado de propósito para os portugueses e espanhóis. Mas eis que mesmo no final da notícia surge a salvação: Panda Software, que disponibiliza de imediato uma forma de remover o tal virus. Puro interesse comercial? Eu creio que sim, aliás, é hábito da Panda Software meter pânico de forma a poder vender mais. E que tal em vez de disponibilizar o tal remédio santo, ensinar as pessoas incultas a não abrir ficheiros desconhecidos, a não ter números de cartões de crédito e outros números gravados no disco, a ter sempre uma firewall e anti-virus, mesmo que seja gratuito, porque alguns são tão bons que os pagos e nunca confiar em ninguém? Era isto que a Panda Software devia ter colocado no seu anúcio publicitário, que porventura não foi pago e que se calhar ainda lhe rendeu algumas massas. Por amor de Deus! Poupem-me! Podemos ser ignorantes mas estúpidos de certeza que não somos!
|
| |
| |
| | a ter sempre uma firewall e anti-virus, mesmo que seja gratuito, porque alguns são tão bons que os pagos
Lá isso é verdade, é pena é deixarem de funcionar após 30 dias.
Religion, the only confort left in a world splited by religion. (The Daily Show) |
| |
| | Ele não estava a falar dos da Panda...
Mindstorm |
| |
| | Aliás é um atentado à moralidade da Internet. Está mal restruturado, não protege como deve ser um sistema nem sequer garante a segurança do seu utilizador. Resumindo a frio: é uma merda (peço desculpas pela forma de expressão tão cruel)
|
| |
| | That bad? (Nunca utilizei)
Mindstorm |
| |
| | sério? experimenta estes:
http://free.grisoft.com/freeweb.php/doc/2/
http://avast.com/
http://www.clamwin.com/
http://www.free-av.com/
e se um interface de dos não meter medo:
http://www.f-prot.com/products/home_use/dos/
I live the way I type; fast, with a lot of mistakes. |
| |
| | | O avast recomendo vivamente, actualiza-se com frequência e funciona lindamente tanto com o Thunderbird como com o Outlook em ambiente Windows. Em ambiente linux utilizo uma ferramenta que veio inserida no SO e até hoje não me pregou nenhum susto.
|
| |
| | Aqui no Brasil também há uns vírus deste tipo que interceptam as páginas dos principais bancos e roubam dados e senhas.
Sinceramente não sei como ainda existe gente que é doida de acessar websites de bancos usando IE e Windows. Por mais que se use firewall + antivírus + atualizações de tudo em dia, sempre se dá margem ao azar do vírus usar uma vulnerabilidade não corrigida e ser suficientemente novo para estar na base de dados dos antivírus.
Sinceramente, recomendo o uso de linux e browsers da família Mozilla para acessar bancos pela internet. Para os mais paranóicos, o melhor mesmo é usar um livecd de linux, como o knoppix ou o brasileiro kurumim.
Não sei porque os bancos não fazem uma remasterização de um livecd desses e entregam aos seus clientes como medida de segurança...
|
| |
| |
| | Sinceramente não sei como ainda existe gente que é doida de acessar websites de bancos usando IE e Windows.
O homebanking do maior banco semi-privado (tachos jobs agregator)portugues (https://caixadirecta.cgd.pt). Que foi alvo de um re-lift ainda ha uma semana atras, teve de ver reposto a versao anterior, ja com mais de 5 anos, porque simplesmente nao funcionava em browsers que nao IE. Esta decissao, talvez deveu-se em grande parte aos utilizadores de macintosh porque duvido muito que pelo mozilla, alteravam alguma coisa.
Basta ver por outro site do grupo CGD, Ok Teleseguro, cujo core business (http://www.okteleseguro.pt/html/simulacao/simulacao_simulacao.html) simplesmente nao funciona em browsers que nao IE. Para nao falar dos inumeros emails que ja enviei, com respostas simplesmente absurdas.
"e' o primeiro a queixar-se... tem de fazer um upgrade ao seu browser para IE..."
Como e' q alguem, um gestor desta empresa pode descartar uma fatia de possiveis clientes por questoes meramente tecnicas?
Não sei porque os bancos não fazem uma remasterização de um livecd desses e entregam aos seus clientes como medida de segurança..
Isso e' uma boa opcao. Colocar uma chave nesses live cds que permitiram apenas o acesso dessa forma ao homebanking.
Obrigando cada pessoa a um reboot com livecd. Seria a unica maneira para um banco de garantir a seguranca do seu cliente. Pois estariam a partir de um "fresh and clean" PC, com tudo na memoria sem possibilidade (pelo menos aparente) de ser infectado de outra forma. Por worms, virus, keyloggers etc etc.
Socrates, ja tou a sentir o prometido choque tecnologico ou isto e' o meu telele em modo vibrador? |
| |
| | EPÁ!!!!! Olha que agora vocês estão a falar muitíssimo bem carago!
Um livecd só com o xfree e que arranca imediatamente o mozilla ( no xinitrc?).
Só há um "piqueno" senão: como é que o livecd adivinha o tipo de ligação do user?
Deixo já aqui casos que dão que pensar:
- wireless
- winmodems
- modems usb
Se isto fosse precavido, essa é uma excelente ideia!!! Não se esqueçam de a patentear ;-)
---
Este espaço pode ser seu... |
| |
| | Deixavase de ter uma limitacao tecnica de software para existir uma limitacao de hardware. Boa questao.
Mas os bancos ja fomentam o credito ao consumo privado de equipamentos informaticos. Seria uma boa opcao patrocionar estes equipamentos que seriam o requesito para estes acessos.
Ainda me lembro de ter recebido um aspirador de isqueiro pro carro qd abri uma das contas com 50 cts no totta...
Socrates, ja tou a sentir o prometido choque tecnologico ou isto e' o meu telele em modo vibrador? |
| |
| | como é que o livecd adivinha o tipo de ligação do user?
Para wireless, o Linux já não detecta automaticamente a ligação?
Quanto a winmodems e modems usb, por 30 euros compras um modem decente, o que julgo não ser para pagar por um sistema seguro.
Tenho um Alcatel Speedtouch 510 e não preciso de fazer qualquer configuração para o Linux me ligar à internet... A configuração é feita no modem através de um browser e depois a coisa liga-se por dhcp, que é detectado automaticamente por qq distro livecd ou não.
Religion, the only confort left in a world splited by religion. (The Daily Show) |
| |
| | huumm....
fiz uma simulacao agora mesmo no site da okteleseguros e funcionou sem problemas...
firefox 1.0.1 em linux... talvez tenham corrigido...
Higuita |
| |
| | Existia um erro javascript num dos divs que impedia submeter a form.
Todavia problemas ja reportados e basicos como nao ser possivel selecionar o distrito de residencia sem diminuir a fonte, continuam por resolver. http://fbsd.no.sapo.pt/notokteleseguro_overlay.png
QQ gajo ficaria por ai.
Mas o simulador nao oferece grande fiabilidade, podes perder os dados todos assim que fazes submit e ser brindado com
http://fbsd.no.sapo.pt/notokteleseguro.png
ou
http://fbsd.no.sapo.pt/notokteleseguro_nosite.png
Socrates, ja tou a sentir o prometido choque tecnologico ou isto e' o meu telele em modo vibrador? |
| |
| | | Isso e' uma boa opcao. Colocar uma chave nesses live cds que permitiram apenas o acesso dessa forma ao homebanking. O extravio ou roubo desse CD seria um problema... mas talvez não maior que a utilização de senhas óbvias, como a data de nascimento, nome do periquito, etc..
"mudem de rumo, já lá vem outro carreiro" |
| |
| | O livecd não teria qualquer informação!! Apenas o linux+xfree86+firefox... Como é que um roubo poderia ser um problema?
Religion, the only confort left in a world splited by religion. (The Daily Show) |
| |
| | A minha idéia é fazer um CD sem chaves, de tal forma que seja impessoal e possa ser utilizado por qualquer um.
Como a mídia é read-only e tanto o sistema operacional quanto o browser seriam carregados do CDROM, não vejo como um cliente possa ser afetado por problemas de segurança, a não ser, é claro, por invasão ou redirecionamento do website do banco feito externamente no provedor ou no servidor.
Quanto à questão do modo pelo qual o usuário acessa a internet, bastaria que o livecd viesse com scripts de configuração do acesso (como já existem no knoppix e derivados) acessíveis pelo menu ou um "painel de controle" (como o usado no kurumim) e o kernel viesse com módulos pré-compilados para todos os winmodems e outros modems problemáticos.
E de quebra, com o uso mais difundido e promovido pelos bancos, veríamos os fabricantes de modems mais comprometidos em fornecer drivers para linux ou informações técnicas dos produtos...
Para evitar a reconfiguração do acesso a cada boot, bastaria armazenar as informações de configuração em um floppy ou pendrive, que podem ser protegidos contra escrita também.
E um CDROM inicializável ainda é a melhor coisa para leigos em informática. Os consoles de games são uma prova disso, pois até crianças usam.
|
| |
| | só um reparo: o site da CGD funcionava em linux e mac, com safari/mozilla/firefox, relativamente bem até. sem publicidade e rápido.
em contraste com outro banco que uso, o milleniumbcp.pt, que embora funcione, é lento e a publicidade merdosa que lá têm só me dá vontade de fechar lá a conta.
I live the way I type; fast, with a lot of mistakes. |
| |
| | os menus do lado esquerdo nao,
nao se conseguia ler referencias, numeros de movimentos, operacoes etc..
Mesmo fazendo malabarismos de reducao de fontes era super irritante... a nao ser q fosses adepto de ver a source a cada operacao que realizasses
Socrates, ja tou a sentir o prometido choque tecnologico ou isto e' o meu telele em modo vibrador? |
| |
| | Epá estava a ver que era só eu! Normalmente resolvia a situação fazendo copy/paste para um editor de texto e depois lá procurava as coisas que precisava, mas isso não era opção viável e ainda bem que o site durou só dois dias ou se as reclamações que me preparava para fazer falhassem iria mesmo acabar por mudar de banco.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | | Esta decissao, talvez deveu-se em grande parte aos utilizadores de macintosh porque duvido muito que pelo mozilla, alteravam alguma coisa Não sei se será bem assim, convém não esquecer que os bancos não estão dispostos a perder clientes com bons ou razoáveis saldos médios só por birra, esta é uma área de negócio onde pouco lhes importa qual é o browser maioritário. Eles perdem mais ao perder um cliente com um saldo médio de 2 ou 3 mil contos do que a dar um apertão aos responsáveis pelo site para o pôr a funcionar como deve ser. Acredito que a queixa tenha mais impacto se feita pelas vias tradicionais (ao balcão e de preferência com a sugestão de que se não se resolver a situação se levanta o dinheiro da conta ali mesmo e se leva para o banco do outro lado da rua) porque os e-mail vão parar às pessoas erradas, os informáticos utilizadores de Windows que desprezam os outros, se a informação for dada via balcão a comunicação é feita para a direção na sede e estes não querem saber cá de IE's ou Mozillas que isso não lhes diz nada, eles querem é os clientes satisfeitos.
"The greatest obstacle to discovery is not ignorance -- it is the illusion of knowledge."
Daniel J. Boorstin |
| |
| | | " Que foi alvo de um re-lift ainda ha uma semana atras, teve de ver reposto a versao anterior, ja com mais de 5 anos, porque simplesmente nao funcionava em browsers que nao IE." Correcção: simplesmente não funcionava.
Sim, porque eu precisava mesmo de fazer uma transferência e tentei com todos os browsers que tinha à mão, IE incluído. Tive que ir ao Multibanco. Dasssss.
|
| |
| | "Não sei porque os bancos não fazem uma remasterização de um livecd desses e entregam aos seus clientes como medida de segurança..."
A ideia é interessante.
Deixa-me acrescentar mais dois problemas:
Alguns bancos disponibilizam informação em formato XLS (para reconciliação bancária, por exemplo). Esse CD teria de ter alguma aplicação que permitisse abrir e trabalhar com os dados nesse (ou outro) formato e interagir com a aplicação que gere as contas bancárias. Porque seria desastroso ter de sacar o ficheiro, gravá-lo em algum lugar, reiniciar o computador e então abrir o ficheiro. E se precisasse de mais alguma informação... teria de reiniciar novamente o computador, sacar a informação, gravar algures, reiniciar.......
Por outro lado, esse CD teria de trazer pré-instalado algum software que permitisse instalar e configurar impressoras. Há quem tenha o (bom) hábito de imprimir os comprovativos das transacções.
~~~ O vinho é q'induca e o fado é q'instrói ~~~ |
| |
| | "Deixa-me acrescentar mais dois problemas:
Alguns bancos disponibilizam informação em formato XLS (para reconciliação bancária, por exemplo). Esse CD teria de ter alguma aplicação que permitisse abrir e trabalhar com os dados nesse (ou outro) formato e interagir com a aplicação que gere as contas bancárias. Porque seria desastroso ter de sacar o ficheiro, gravá-lo em algum lugar, reiniciar o computador e então abrir o ficheiro. E se precisasse de mais alguma informação... teria de reiniciar novamente o computador, sacar a informação, gravar algures, reiniciar....... "
Bem, aí seria problema dos desenvolvedores de software dos bancos. O fato de usar linux como sistema operacional não proíbe que usem programas ou tecnologias proprietárias.
Para a gravação dos arquivos, um floppy ou pendrive poderia ser montado com opção de escrita mas não de execução de programas a partir dali (por questão de segurança).
A questão de impressão dos documentos poderia ser resolvida fazendo com que o livecd tivesse o cups e todos os drivers de impressoras instalados. Para as impressoras não suportadas ou caso o micro não tivesse impressora, pode-se-ia dar ao usuário a opção de geração de PDF ou postscript nas impressões, cujos arquivos resultantes poderiam ser salvos no floppy ou pendrive também...
Todas essas tecnologias já existem no linux e só falta mesmo alguns gerentes de TI dos bancos tomarem vergonha na cara e pararem de seguir como carneiros o que os vendedores de soluções proprietárias lhes empurram.
|
| |
| | "Bem, aí seria problema dos desenvolvedores de software dos bancos."
Não me fiz entender.
Considera o seguinte cenário:
Eu tenho uma aplicação no meu computador que extrai os dados de um ficheiro XLS ou CSV ou TXT ou qualquer outra coisa (que o banco me fornece online) e faz uma série de cálculos e relatórios com base nestes. Esta aplicação não foi feita pelo banco. Nem o Banco sabe que eu a tenho. Nem isso lhe diz respeito.
Se no liveCD eu não tenho acesso a esta minha aplicação, tenho de gravar o ficheiro XLS em qualquer sítio... para depois reiniciar o computador, para depois ir buscar o ficheiro.... Não faz sentido. Nem seria possível eu inserir a minha aplicação no liveCD.
O banco online também é uma fonte de dados para algumas aplicações.
Este problema não tem nada que ver com software livre ou proprietário.
"Para a gravação dos arquivos, um floppy ou pendrive poderia ser montado (...)"
Isso era um bom incentivo ao mercado das pendisks... mas não é uma solução viável guardar informação _muito_ sensível em pendisks para resolver um problema que anteriormente não existia.
~~~ O vinho é q'induca e o fado é q'instrói ~~~ |
| |
| | | Por mais que se use firewall + antivírus + atualizações de tudo em dia, sempre se dá margem ao azar do vírus usar uma vulnerabilidade não corrigida e ser suficientemente novo para estar na base de dados dos antivírus. Os vírus e os worms não surgem de geração espontânea. Se usares um computador com IE para acederes exclusivamente a bancos (devidamente protegido com uma firewall actualizada) a provabilidade de alguma vez seres infectado é quase nula. O que falta é educação no uso da internet. As pessoas deviam ser ensinadas a usar a internet de forma responsável. Por cá, basta ver como as pessoas conduzem para se perceber que a ideia de incutir responsabilidade às pessoas é uma causa perdida... Não sei porque os bancos não fazem uma remasterização de um livecd desses e entregam aos seus clientes como medida de segurança... Porque isso não acrescentaria nada há (falta) de segurança existente, além de complicar significativamente as operações. Em empresas de média ou grande dimensão, nenhum administrador consciente gosta de ter utilizadores a poderem bootar as máquinas de dispositivos amovíveis. A hipótese de bootp é válida, mas não é facilmente implementada em todo o tipo de infraestruturas.
A segurança em si não ia aumentar. Quando forem de uso comum outras plataformas que não o Windows para online banking, irá haver ataques a focalizar essas plataformas. O facto de ser um liveCD não facilita em nada os updates. No caso de um linux+firefox, por exemplo, estamos a falar de uma nova release de 2 em 2 meses, para manter um critério mínimo de segurança.
A utilização de meios adicionais de segurança (vpn, autenticação por chave privada ou certificados, etc) acarreta outros problemas de segurança, principalmente no caso de extravio dos meios de identificação. E qualquer suporte digital encriptado ou não é, regra geral, alvo de cópia e/ou desencriptação. O caso dos certificados (usados em algumas operações bancárias online, como os TPA's virtuais da SIBS) implica uma emissão de um novo certificado de ano a ano, com custos adicionais para o provedor e consequentemente, para o cliente.
|
| |
