Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Soviel kann ich schon mal sagen: Mit der angeblichen Sicherheitslücke der PostCard hat das Softwareupdate nichts zu tun.
Da ich selbst Besitzer einer PostCard bin, habe ich selber nachgeforscht. Meine anfängliche Skepsis hat sich inzwischen in Gewissheit verwandelt... zugunsten der Post. Die Beweisführung des CCCZH hat schwere Lücken:
- Die alte PostCard ist zwar technisch praktisch mit der CarteBleu identisch, nicht aber der Zahlungsablauf. Unter anderem verlangt die Post nach eigenen Angaben eine Authorisierung auf dem Zentralrechner (die Authorisierung durch die Karte selbst reicht nicht). Dies ist ohne "Hackversuch" nicht vollständig nachprüfbar, auf jeden Fall sind aber Zahlungen nachweislich nicht möglich, wenn der Zentralrechner nicht erreichbar ist.
- Es gibt ein (praktisch nie verwendetes) Verfahren, um mit mit PostCard ohne PIN zu bezahlen. Dafür muss aber, ähnlich wie bei Kreditkarten, ein durch den Zahlenden unterschriebener Beleg, oder ein anderer, eindeutiger Beweis eingereicht werden.
- DebitDirect ist das LSV der Post, und hat mit der PostCard prinzipiell nichts zu tun. Eine Verbindung besteht nur insofern, dass bei YellowBill, einem Zahlungsabwicklungsservice der Post für Webshops, Postkunden "DebitDirect" als Zahlungsart wählen können. In diesem Fall wird neben dem Postkonto noch die Nummer der PostCard als Authorisierungsmerkmal abgefragt. Wie bei LSV-Systemen üblich, muss daraufhin der Zahler informiert werden, wonach er die Zahlung innert 30 Tagen stornieren kann.
- Die Frage, warum das System nicht entfernt wurde, wenn es nicht sicherheitsrelevant ist, lässt sich ohne Recherche leicht beantworten: Wegen der Kompatiblität zu Terminals, die noch nicht EMV-fähig sind.
- Security by obscurity mag in unseren Kreisen unüblich sein, bei Banken und Versicherungen ist es hingegen Standard. Auch EMV, welches auf der "neuen" Postcard, der Maestro, MasterCard, Visa, TravelCash, RekaCard etc. eingesetzt wird, ist nicht völlig offengelegt.
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mir fallen bei deinem Posting zwei sachen auf:
1: Es gibt Offline Bezahlterminals. Kann sein dass die vor kurzer Zeit abgeschafft wurden, aber so ca. vor einem Jahr gab es die noch. Man konnte dort mit einer gesperrten Karte bezahlen wenn man die vorher nicht in einen Online Automaten gesteckt hat.
2: Ist die Videoüberwachung in Parkhäusern ein eindeutiger Beweis? dort kann man oft ohne PIN und Unterschrift bezahlen.
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gibt Offline Bezahlterminals. Kann sein dass die vor kurzer Zeit abgeschafft wurden, aber so ca. vor einem Jahr gab es die noch. Man konnte dort mit einer gesperrten Karte bezahlen wenn man die vorher nicht in einen Online Automaten gesteckt hat.
Die so genannten Offline-Terminals gibt es, aber der Name ist leicht irreführend. Diese Terminals beherrschen nämlich den Offlinebetrieb zusätzlich zum Onlinebetrieb. Bei der "alten" PostCard ist nur Onlinebetrieb erlaubt.
Das Problem mit den gesperrten Karten im Offlinebetrieb existiert aber (innerhalb der Limite) tatsächlich. Zwar kann eine Blacklist an die Offlineterminals gesendet werden, aber diese wird logischerweise erst beim nächsten Datenabgleich eingespielt.
Ist die Videoüberwachung in Parkhäusern ein eindeutiger Beweis? dort kann man oft ohne PIN und Unterschrift bezahlen.
Gute Frage. Wenn der Nachweis nicht gelingt, liegt das Risiko jedenfalls beim Anbieter (wie bei Kreditkartenzahlungen ohne PIN und Unterschrift).
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
|
|
|
|
|
|
|
|
|
|
|
|
|
> aber diese wird logischerweise erst beim nächsten Datenabgleich eingespielt.
Die Karte war für eine Woche gesperrt. Die Sperre hatte bei allen Migrol Tankstellen keine Auswirkung.
--
Bahnübergänge sind die härtesten Drogen der Welt.
Ein Zug und du bist weg!
|
|
|
|
|
|
|
|