Hogyan vadásznád le a csaló MBH BANK oldalakat az Internetről?

Security-all

Ma is sikerült egy újabb, adathalász MBH BANK oldal lekapcsolását elindítanunk, de kb. annyit ért, mint vödörrel vizet hordani a sivatagba.

A “mhb-netbank.com” domain ügyében hajnalban intézkedtünk, de közben már újabb és újabb másolatok születnek, ugyanazzal a dizájnnal, logóval, csak más végződéssel.

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

A magyar banki ügyfelek közben naponta adataikat, pénzüket veszítik.

A kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
 

Ti hogyan vadásznátok le a csaló MBH BANK oldalakat az Internetről?

– Automata domain-felderítés?
– WHOIS és Certificate Transparency monitorozás?
– Abuse spammelés?
– AI/ML szűrés, crawler, valami home-made vagy létező tool?
– Feketelista, Google/SafeBrowsing, bankszektor közös fellépés?
– Vagy teljesen reménytelen, amíg a Google/Cloudflare és a “domain farmok” adják hozzá az infrastruktúrát?

Osszátok meg a tapasztalatot, trükköt, vagy akár azt, hogyan NEM lehet ezt hatékonyan megoldani.

Ja, és nem, a banki ügyféltájékoztató nem elég. :) 

Update:

Aki kíváncsi, hogyan néz ki egy “tökéletes” csaló oldal annak a kamu MBH BANK-i link itt érhető el: https://www.mhb-netbank.com/eib_ib_59/loginpage.hu.html/verification/card  ( a linkben az 5-öst cseréld S-re és láthatod) 
– MBH logó, magyar szöveg, valid Google SSL, minden browserben zöld lakat.
– Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.

Forrás, cikk, screenshot is van nálam, ha kell – keresd privátban.

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?
 

Trollokat, okosokat, laikusokat és paranoiásokat is várok – ebből talán valami közösségi know-how is kijön…

  • 4971 megtekintés

( adhocsupport | 2025. 06. 20., p – 08:35 )

Az oldalt a Cloudflare kérésünk alapján - LEKAPCSOLTA! 

Szerencsére ez igy MÁR nem elérhető! 

Nem kapcsolta le. Behalt alatta a széttákolt zombie backend. :P

The IP address 185.236.228.162 has been flagged as malicious due to its association with suspicious and harmful activities. Below is an overview of the key findings related to this IP:

1. General Assessment

  • Intel Verdict: The verdict for 185.236.228.162 is malicious.
  • Assessment Label: Zombie.
  • Threat Origin: Likely linked to Trojan activity (FlyStudio malicious family) based on file samples.

2. File Analysis

  • Samples: The IP is linked to 8 samples, of which 1 sample is judged as malicious/suspicious, representing 12.5% of malicious samples.
  • Malicious Samples:
    • 59de4723a9a0a240687b28622f9b3de345288771f767625df05d3458988af302
    • 231e65e3699528094f0a5ae31bce6689c3e2f8d357946ba340f840daade07185
    • 282055852353d5879a2e438dca995773b29943ecdb799a10ffafbd40d27bb822
  • Threat Family: FlyStudio (Trojan).

3. Port and Service Mapping

  • Applications/Services: The IP hosts multiple services, including:
    • Pure-FTPd
    • OpenSSH
    • nginx
    • Dovecot imapd/pop3d
    • PowerDNS Authoritative Server
    • MySQL
    • Postfix smtpd
    • LiteSpeed httpd
    • mongodb
  • Open Ports: Includes typical ports such as 21 (FTP)22 (SSH)80 (HTTP)443 (HTTPS), and 587 (SMTP). One non-standard port is also open (27017 for MongoDB), which could be indicative of possible backdoor or secondary services exploitation.
  • A large number of open ports supports the claim of high likelihood of malicious use, but also suggests potential legitimate hosting activities.

4. SSL/TLS Certificates

  • Self-Signed Certificates: This IP utilizes several self-signed SSL certificates, which is often a red flag as these certificates are likely used to enable encrypted communication for malicious purposes.
  • Domains Associated with Malicious Certificates:
    • fucked-ur.mom
    • lunar-predictor.com
    • craghack.com
  • Certificate Details:
    • Subject: Domains like "mhb-netbank.com," "fucked-ur.mom", etc.
    • Issuer: Frequently self-issued certificates with questionable entities (e.g., "R10," "Dis").
    • Validity Status: Certificates are marked "Valid," but are expired or self-signed.

5. DNS and Domains

  • Passive DNS Intelligence:
    • The IP is associated with malicious domains, such as:
  • Whois Record Attribution: Indicates potential Whois shielding (e.g., 0c1994bc6cae49ffad85e95d5300ec01.protect@withheldforprivacy.com).

6. Vulnerabilities

Public scans on services exposed on 185.236.228.162 revealed potential high-risk vulnerabilities:

  • CVE Examples:
    • CVE-2021-3618: Vulnerabilities in vsftpd.
    • CVE-2021-23017: Nginx Controller risks.
    • CVE-2022-3638: Critical vulnerabilities in Nginx.

7. Overall Threats & Mitigation

The malicious nature of 185.236.228.162 reflects:

  1. Strong association with FlyStudio malware type (Trojan).
  2. High vulnerability exposure due to misconfigured services (e.g., MongoDB on port 27017).
  3. Potential usage of self-signed certificates for encrypted malware-driven communication.
  4. Malicious domains and DNS records tied to this IP.

Nem, még most is elérhető. Valóban elég profi pishing oldal, szinte majdnem minden rendben van vele, egyedül az URL-ben az mhb az mbh helyett árulkodik csak, de ezt tuti nem sok ember veszi észre.

Ezt egyébként nem a te feladatod üldözni, persze te is bejelentheted a böngészőknek, mint káros oldalt, és tiltólistára teszik, de legalábbis a user kap figyelmeztetést róla, mielőtt megnyitja. Ez az MBH bank feladata, hogy a nevével visszaélő, csaló oldalakat leleplezze, elérhetetlenné tegye.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( _ventura_ v | 2025. 06. 20., p – 08:38 )

hanem rendszerszintű megelőzés?

Sehogy, ez ilyen. Körültekintőbbnek kéne lenni, és nem ész nélkül kattingatni. Ez nem TIKTOK videó ...

Fedora 41, Thinkpad x280

( Czo v | 2025. 06. 20., p – 08:41 )

Sokkal egyszerubb a csalo oldalak lekapcsolasa helyett, meglatogatni a valodi oldalt... Miert nem a legkezenfekvobb megoldas a megoldas? :D

( pentike | 2025. 06. 20., p – 08:42 )

Mondjuk kezdjük azzal, hogy az ilyen cikkek első mondata az, hogy

 

!!! FIGYELEM !!! az alábbakban banki csaláshoz használt linkek vannak. Csak akkor kattints az alábbi linkekre ha nem bánod, hogy banki csalás áldozata lehetsz és ismered a kockázatokat.

( ggallo | 2025. 06. 20., p – 08:43 )

Szerintem a csaló oldalak létrejötte, működése nem előzhető meg direkt módon. Ez olyan, mintha azt kérdeznéd, hogyan akadályozzuk meg, hogy Gipsz Jakab tatabányai lakos busszal átutazzon Szekesfehérvárra. Ez pont ugyan annyira kivitelezhetetlen, mint a csaló oldalak létrejöttét próbálni megakadályozni. Ha akár AI-val kutatsz folyamatosan, akkor is csak utólag tudsz intézkedni, amikor már az oldal él, csak a létezési idejét tudnád valamennyire leszorítani.

Szerintem ott kell megfogni a problémát, hogy a bank oldalán olyan erős ügyfél hitelesítést kell létrehozni, hogy egy csaló oldal ne legyen elég a hozzáférés megszerzésére, és akkor kapásból értelmét veszti csaló oldal létrehozása.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

A posztban pedig kicsit Google-haterkedés nekem ez a "most is Google Trust Services által kiadott SSL-lel csapják be az embereket", merthogy miképpen tehet arról bármilyen DV tanúsítvány kibocsátó, hogy egy (csaló) domain neve _hasonlít_ egy legitim domain nevére, és épp visszaélésre szeretnék használni az érintett tartományt? Ha mbhbank.hu tartományra lehetne tőlük tanúsítványt szerezni, annak lenne hater alapja, de így egy random tartományra...

A másik pedig, hogy igen is, az emberek oktatásával lehetne ezt leginkább megelőzni, de ezt az általános iskolában kellene kezdeni, nem most, felnőtt korban (merthogy az internet és a netbankok már velünk vannak olyan rég, hogy van már dolgozó generáci, aki ebbe született bele - nem újkeletű ez a dolog).
Mondjuk a kitalált-mese-történelem vagy a 900 oldalas Anna Karenina kötelező elolvastatása-megtanultatása-bemagoltatása helyett lehetne cyber-elővigyázatosság meg pénzügyi tudatosság oktatás...

Egyébként "Magyar ügyfelek százai verhetik a fejüket a falba, mire rájönnek.": ha valaki nem gondolja egy .com tartományról, hogy átverés (vagy meg sem nézi a címsort egy linkre kattintás után...), akkor ott igen is a felhasználó ismereteivel van komoly gond, amin csak ő maga tud segíteni... Ha mindenki csak annyit csinálna, hogy megtanulja annak az 1-2 banknak a címét amije van, és azt kézzel gépelné a címsorba ahelyett, hogy a Google keresőbe üti be minden alkalommal, hogy "MBH netbank" és rákattint az első találatra odafigyelés nélkül, akkor már sokkal kevesebb gond lenne. Ha pedig ezen felül nem kattintanának bankinak tűnő levélben linkre soha, akkor megszűnnének a csalások. Ezt a két dolgot kellene tudniuk, ergo igen is a felhasználók oktatásával oldható csak meg a probléma.

Valamiért csak az MBH jön elő mostanában ilyen relációban, a többi kisebb, de főleg nagyobb bank nem. Lehet azoknak már olyan erős az ügyfél hitelesítése mostanra, hogy felesleges a csaló oldal létrehozásával vesződni, mert úgy sem érnek vele semmit.

Nekem van egy teóriám. A legtöbb banknál a user már kívülről fújja a netbank URL-t, le van neki mentve könyvjelzőbe, stb.

Az MBH az elmúlt egy-két évben viszont havi szinten váltogatta a domaineket, netbank design-t, mobilappokat, stb. Szerintem még engem is át tudnának verni, ha nem figyelek egy pillanatra.

Az mbhbank.com teljesen hivatalos oldal. A többiben egyetértünk, de leginkább app-ot kell használni. Amíg ügyfél voltam teljesen megdöbbentem, hogy az mbh.hu nem működött, helyette az mbhbank.hu volt, ami azért nem magától értetődő. Erről volt itt szó még a csalások előtt.

( gelei v | 2025. 06. 20., p – 08:44 )

Ti hogyan oldanátok meg ezt a küzdelmet, hogy ne csak tűzoltás legyen, hanem rendszerszintű megelőzés?

Erre konkrétan van megoldás, a hívószó a "phishing-resistant MFA". Van belőle hard token, soft token, ilyen app, olyan app, igazából nem kell feltalálni a melegvizet, ez annyira hétköznapi dolog, hogy dobozos termékként is megvehető.

( gelei v | 2025. 06. 20., p – 08:46 )

Természetesen a támadók most is Google Trust Services által kiadott SSL-lel csapják be az embereket, és minden biztonsági illúzió adott: zöld lakat, magyar felület, banki logó, minden.

Kicsit belerondítanék az itt implikált felelősségbe, szerintem ez csak a Cloudflare által kiállított DV tanusítvány, ilyet bárki, bármilyen domainjére kaphat, amit be tud vinni CF mögé.

Két dolgot nem értek.

1. Tényleg nincsen olyan hitelesítési módszer, amivel egy tanusítvány alapján egy weboldal tényleges tulajdonosa megállapítható? Nekem egyszerűbbnek tűnik néhány közismert böngészőben az oldal hitelességének megállapítását leprogramozni, mint mindenféle védelmi szoftverstruktúrákat, tűzfalakat gyártani és az analfabéta pógárt szidni. Persze nekem könnyű ezt egyszerűbbnek gondolni, mert nem értek hozzá.

2. Mi a szent szart kezd egy ilyen hamis oldal a kétfaktoros azonosítással? Ha meg is szerzi a loginnevet és a jelszót, ha a bank megköveteli a kétfaktoros azonosítást, az egész semmire se jó.

  1. Van, hogyne lenne, az EV certeknek elvileg ez volt a lényege, de már a böngészőkben sincs benne a zöld csík, hogy "OTP Bank Nyrt", meg ugye végső soron ugyanúgy a user felelőssége volt megnézni, hogy volt-e odaírva valami, és ha igen, akkor jó helyen jár-e.

    Szerintem nem ebben a rétegben kell megfogni, hanem az authn-t kell úgy megcsinálni, hogy jó legyen. Mert mi alapján csinálod meg a whitelistet? Oké, van a böngészőnek egy listája, hogy mi hivatalos banki oldal, és mi nem (már ez is kb. lehetetlen globális léptékben). De felmész egy kamuoldalra, nyilván nem bank, mi a következő lépés? 

  2. Ül a túloldalon a humán AI, és realtime begépeli a kódodat az igazi banki weboldalon

1. Nekem változatlanul nem tűnik nagy dolognak a böngészőben elérhetővé tenni egy tanusítványellenőrzést, amely az oldal tetejére kiírja, hogy ki az azonosított magánszemély tulajdonosa a meglátogatott oldalnak. A banki honlapon erre rá lehetne dolgozni, hogy nagy betűkkel ki legyen írva: "ez a honlap Lölöé, minden gázszerelők legnagyobbikáé, figyelj oda, ha nem ezt látod a banki bejelentkezéskor, akkor nem az ő zsebébe hordod a pénzedet". Vagy valami hasonló. Ha  DNS-nél meg lehetett oldani, hogy globális legyen a névfeloldás, akkor a tanusítványok esetében ezt miért nem lehet megoldani? Aztán persze, ha valaki látja, hogy nem a saját bankjának a honlapján van és ott megadja az adatait, akkor persze rábaszik, de ez ahhoz az esetre hasonlítana, amikor a PIN kódot odaírod a bankkártyádra (kolléganőm megtette, kifosztották, addig is hisztérikus volt, onnantól méginkább). Vannak olyan esetek, amitől nem érdemes megvédeni a parasztot, mert majd megtanulja a saját kárán.

2. Nálam az SMS a kóddal a zsebembe érkezik, hogy lát bele az AI a zsebembe? Nem értem.

  1. De ez konkrétan létezik, az más kérdés, hogy vajon a böngészők mekkora része mutatja ezt a felületet, mert évek óta nem láttam ilyet sehol. Vagy B opció, senki nem vesz már EV certet, nem tudom. :)
  2. Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin.

Ugye nekem ez logikusnak tűnik, mert mondjuk egy tucat böngésző esetében kellene rávenni a fejlesztőiket (vagy a banki honlap fejlesztőit) ennek az alkalmazására és nem sziszifuszi küzdelemmel tiltogatni próbálni a folyamatosan megjelenő huncut oldalakat. a top 12 böngésző szerintem lefedi az internetezők 99%-át. Vagy a bankolók 99,99%-át.

Ja, értem. Talán azért nem értettem elsőre, mert azokban az esetekben, amikor én használok ilyet, annyira azonos és könnyen felismerhető a felület, ahol a második azonosítást végre kell hajtani, hogy eszembe se jutott, hogy azt is meg lehet jeleníteni egy www.notmyip.com oldalon. És ott se tűnik fel, hogy ennek az oldanak a tulajdonosa más, mint a bank, akinél tartom a pénzem. Csak azt nem értem, hogy ha az ilyen esetekben a tanusítványok használhatatlanok, akkor minek az egész CA rendszer. Persze, van dokumentumhitelesítés is, nem csak weboldalról van szó, meg nem véletlen, hogy nem értem.

Mert valójában két CA világ van, amely bár technikailag ugyanúgy tanúsítványokkal dolgozik, de valójában teljesen máshogy működik.

Az SSL tanúsítványt alapvetően arra használod hogy titkosított kapcsolat jöjjön létre az ügyfél és a szervered között. Tanúsítványt pedig úgy adnak neked hogy igazolod hogy a szerver a tiéd (pl. azzal hogy feltöltesz egy a kiadó által generált fájlt). Itt nem történik személyazonosítás, se semmi, tehát ha a gonosz hacker megveszi a az-igazi-otp.hu oldalt, akkor ő erre szó nélkül fog kapni tanúsítványt, amit a böngészőben zöldként látott a felhasználó, de ez valójában csak azt jelenti hogy a kapcsolata titkosított.

Az SSL tanúsítványok azért működnek a böngészőben, mert a root cert-et belerakják, és ahhoz hogy ez ott maradjon egy csomó követelménynek kell megfelelni amit a böngésző készítő nagy cégek határoztak meg - innen ered az egyik kolléga megjegyzése, hogy ez egy gittegylet. Valójában igen, a piaci erőfölényüket kihasználva ők mondják meg hogy ők kiben biznak meg és kiben nem, és igazából mi alapján döntenek, hogyan, és miért, mi a valódi folyamat, mi a jogorvoslat, az finoman fogalmazva sem transzparens.

Az elektronikus aláírás esetében viszont van egy európai szabályozás, ez az EIDAS. Ez egy EU-s törvényekkel és azoknak a helyi jogrendbe való beemelésével működik. Az igy létrejött aláíróképességet arra lehet használni hogy dokumentumokat (vagy egyéb elektronikus dolgokat) irj alá, és ennek az aláírásnak joghatása lesz. Tehát adhatsz/vehetsz dolgokat, aláírhatsz vele munkaszerződést, meg amit szeretnél. Ez egy nagyon transzparensen szabályozott történet, ott vannak a törvények/jogszabályok, ott vannak a szabványok, az audit követelmények, le van definiálva minden, világos, és transzparens. 

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

A kettő között van valahol amiről te is beszélsz: hogyan igazolja magát egy weboldal, hogy ő tényleg az, akinek mondja magát, és nem csak egy "klón". 

A válasz az, hogy jelenleg sehogy.

Ha jól értem, amit gelei mond, akkor ennek nem technikai akadálya van, mert az eszköz ilyesmire létezik, csak valamilyen okból nem használatos?

Ez már 2019 óta (6 éve) nem létezik.

https://duo.com/decipher/chrome-and-firefox-removing-ev-certificate-ind…

És a legjobb: a google ott kardoskodik hogy ez nem kell az embereknek, miközben sorra gyűjtjük a bizonyítékokat hogy a jelszólopó banki weboldalakat reklámozó hirdetéseket nem hogy megjelenítik, de előre sorolják. 

Ezért rendesen (EU szinten) meg kéne őket b@szatni.

Én úgy csinálnám h először is kötelezően visszahoznám a zöld címkét majd utána kötelezném h bizonyítsa h a csalókat nem hogy nem rakja előre hanem direkt aktívan tesz ellenük. 

Na ez után 1-2 évvel lehetne egy rendes csekket kiállítani.

Ez minimum 5 év, tudom.

zászló, zászló, szív

Mindenesetre úgy tűnik, a biztonság ellentétes a böngészőket gyártók érdekeivel, mert a böngészőket akkor használja a felhasználó szívesen, ha nem üzenget és nem akadályoz, hanem megjelenít és a felhasználó szabadon döntheti el, hogy átbaszhatják-e.

Amikor mi elkezdtük használni a Brave-et, a kis kolleganők sorra kaptak rohamot tőle, hogy "nem lehet dolgozni vele", mert a felugráló ablakok letiltásának feloldása túlságosan megerőltető volt.

Ez jó, majdnem ezt mondtam: bank.gov.hu

A csalók előbb-utóbb ezt is megoldanák, de szerintem lekéstek, mert a hivatalos törvényes jogilag rendben levő csalók már elloptak minden ellophatót, az új versenyzőknek már csak a böri marad ha nem elég okosak.

https://www.esp8266.org/

Nem értem. Az MBH a cégjegyzékben szerepel. van adószáma, szerintem egyértelmű, hogy melyik vállalkozásnak ez a neve. 

A bank.gov.hu-ban a bank előtag pedig hasznos, mert a gov.hu állami intézményre utal, a bankok esetében az állam - ha lesz ilyen jogszabály - csak az internetes biztonság miatt kontrollálja a domain nevét.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára. Lenne 5 állami tulajdonú bank?

Ja látom
https://hu.wikipedia.org/wiki/Magyarorsz%C3%A1gi_bankok_list%C3%A1ja
De az az 5 bank nem igazi bank, hanem kassza valamilyen kormányprogramhoz. 

Szóval a normál, kereskedelmi bankok nem használhatnak gov-os címet.

A .hu domain felett tudhat rendelkezni törvénnyel is magyar hatóság/jogalkotó, de kamu oldalakat sokszor nem magyar címen hoznak létre.
És akkor már vissz a is tértünk oda, hogy a felhasználónak kell észnél lennie, hogy ne kamu oldalra lépjen be.

Nem teljesen értem, hogyan lehet egy bank jogosult a gov.hu használatára.

Az hogy a bank.gov.hu domain kinek a részére regisztrálható, azt nyilván jogszabály kell meghatározza. Létre kell hozni egy olyan jogszabályt, hogy Magyarországon pénzügyi tevékenységi engedélyt csak ilyen domain birtokában, érvényes EV SSL tanusítvánnyal lehet végezni, elő kell írni kötelezően a használatát, meg kell határozni a regisztráció módját és rá kell bízni a bankfelügyeletre, hogy ellenőrizze a végrehajtását. Nekem ez nem tűnik bonyolultnak, talán azért mert én nem értek az ilyesmihez. Aki kamu oldalt létrehoz, nem fogja tudni használni azokat a funkciókat, amelyeket a bank a tanusítvány ellenőrzéséhez rendel.

Spanyolviasz feltalálása... Ott a bank TLD, erre van kitalálva... Persze ha ungarischeonly megoldást keres valaki (amiből jogalkotói segédlettel csilliókat lehet lenyúlni), akkor persze, lehet ilyen irányban is ötletelni... De  baromira fölösleges, mert amíg az ügyfél a ficemfacom.feltort.wordpress.akarmi.akarmi/.kdsfkjdsgfsd/Asdhfdash/mexivtad.php oldalon is minden további nélkül megadja az összes adatát, addig azzal kéne foglalkozni, hogy ilyet miért csinál, és hogy miért nem kellene ilyet csinálni... 

igen? es felugyelik a bank ltd-t hogy ne lehessen kamu neveket regisztalni? pl egy otp.bank melle egy otp-hu.bank domaint ? hogy kezelik ahol a bank tobb orszagban van? erstebank.hu erstebank.hr erstebank.me stb?

raadasul ez meg csak az egyik fele. van ilyen is: otpportalok.hu ebbol is legyen otpportalok.bank? aztan van egy erstebroker.hu, erstemarket.hu. stb.... ott is be lehet lepni, es rossz dolgokat csinalni.

szerintem erre a ltd domain megoldasra tuti nem gondoltak! jo penzert add el nekik! :D

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem lehetne. A bank.hu-t már regisztrálta valaki, felteszem teljesen jogszerűen.

Oszt? Majd állam bácsi kártalanítja, pont ugyanúgy, mint mikor elveszik a telked mert vasút, meg autopálya kell. Még magáncégeknek is ér (lásd pl áramvezetékek), nem hogy államnak. Főleg egy olyan domainen, amin jelenleg nincs publikus webszolgáltatás 

A válasz az, hogy jelenleg sehogy.

De van rá megoldás: 2 irányú SSL / mTLS. Ja, hogy ez egyből borítaná az egész Internetet - vége lenne a "céges proxyval bontsunk TLS-t, nézzünk bele a forgalomba" világnak.
Mobilalkalmazásnál ez egyszerűen megvalósítható. Számítógépnél picit nehezebben.

Mellesleg technikailag ez terhet róna a bankra is. Meg ehhez digitálisan tudatos, érett felhasználókra lenne szükség.

A kétirányú SSL azért szerintem mobilon sem egyszerű.

IOS-en szerintem nincs is olyan levelezőkliens ami képes lenne IMAPS-en kliens tanúsítványt használni. (vagy nem találtam meg :))
Androidon is csak 3rd party kliens tud (Thunderbird/Fairemail). Amikor utoljára néztem az Outlook sem likeolta.

Két helyet tudok ahol használják a Takarnet (ahol self-signed a server tanúsítványa is, ezért rinyál is lehet nem tudják, hogy nem muszáj ugyanazt a ca-t használni amivel a kliensek tanúsítványát állítják ki :)), meg az országosan használt szupertitkos titoktartásival indító "rendszer" ahol az egész országnak állítanak ki egy db. kliens certet. (biztos könnyű visszavonni ha véletlen kompromitálódik :D)

Céges proxy gond nélkül kivétellistára tudja tenni ezeket, a többit meg bontja tovább. Már említettem, nálunk a finance és merchant kategória helyből kivétellistán volt privacy okok miatt.

mTLS esetén van annyi overhead, hogy a szolgáltatónak kezelni kell a userek kulcsait, visszavonással, minden egyébbel együtt, az meg bonyolult és költséges. (igen, ezt említetted a technikai teher alatt, ha jól értem)

"Beírod a kamu oldalon, ő megkapja ezt valahogy, majd beírja helyetted az igazin."

Hát igen, de hogyan? Honnan tudja, hogy pl. mi a telefonszámom? Ha tudja, hogyan tudja megszerezni az üzenetet? (erre mondjuk vannak megoldások, de elég sok csak az adott cellában működik)

Szóval én még minding nem tudom, hogy hogyan tudna egy sms-en kapott második faktort könnyen megszerezni.

Ettől függetlenül igenis bookmark-olja be a bank eredeti címét. Nem űrtechnika ez.

Odamész az adatlopós oldalra.

Beírod a felhasználónevedet és jelszavadat. Ezt az adatlopós weboldal továbbítja az adatlopós embernek, aki a saját böngészőjén bejelentkezik a netbankba a kapott adatokkal.

Ennek hatására a bank küldi SMS-ben számodra a második faktoros kódot.

Az adatlopós weboldal kiírja neked, hogy küldtük a kódot, légyszíves írd be. Ahogy beírtad, ugyanúgy, mint a felhasználónevet, jelszót, továbbítja az adatlopós embernek.

Túlbonyolítod.

  1. Felmész a phishing oldalra
  2. Beírod a usernevet, jelszót, submit*
  3. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  4. A netbank kiküldi neked az SMS-t, hiszen a támadó belépett a valid jelszóval
  5. Te beírod a kódot a kamuoldalon, submit*
  6. A túloldalon a fószer** beírja ugyanezt az igazi netbankba
  7. Kész a működő session, lehet lopni a pénzt.

* Teljesen mindegy, hogy hogy küldi el. Lehet, hogy küld egy emailt. Lehet, hogy beírja egy SQL táblába. Lehet, hogy már van admin felületük, ahol látják a próbálkozókat. Egy HTTP POST elmegy valahova az adataiddal, ott meg valaki, valahogy feldolgozza.

** Vagy szkript.

Szerintem erre pont a DÁP-os login lesz a megoldás. Van egy auth szolgáltató (DÁP) ahol valódi személyazonosítás történt, és tudod igazolni magad vele hogy te az te vagy. A bankoknak pedig kötelező lesz megvalósítani a DÁP alapú belépést, innentől kezdve - ha ezt jól sikerül - akkor a banki oldal klónozók meg vannak lőve, mert az ő irányukban nem fog működni a DÁP belépés. 

Kötelező nem lesz, a bankoknak lesz kötelező hogy implementálják. Megjegyzés a margón: ha jól van implementálva akkor én mindenkinek azt fogom javasolni hogy ha valami oknál fogva webről terveznének belépni, azt csak és kizárólag DÁP-os azonosítás mellett tegyék. Minden más eset nem megbizható.

[szerk, mert te is szerkeszetted] A DÁP-ban meg lesz valósítva az EIDAS 2.0-ból az EU Digital Identity Wallets amely pont full nyilt szabvány, és erre ad egy nyilt megoldást.

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDE…

nem ostromolják a bankokat ilyen igénnyel az ügyfelek

Mondjuk ez egy remek lehetőség lenne a jogalkotónak, hogy ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással.

Ha ma éjfélkor kijönne a közlöny, hogy az SMS 2FA esetén az ügyfelet ért károkért automatikusan helytállnak a bankok, akkor kb. kedd délelőttre lenne biztonságos alternatíva.

" ne csak tranzakciós illetékkel, meg hasonlókkal baszogassa az amúgy is recsegő-ropogó magyar bankrendszert, hanem biztonságtudatos noszogatással."

Jelenleg a DÁP-ot tolják (joggal), mivel azzal gyakorlatilag hatósági személyazonosító okmányával azonosítja magát az ügyfél. 

Bankok esetében szerintem a DÁP nem jön szóba, mert a banki ügyfelek esetében nincs (nem lehet) mindenkinek DÁP-ja. Bár a személyes azonosítás nem idegen a bankoktól, de az azért talán kizárt, hogy csak magyar állampolgárokkal álljon szóba egy nemzetközi nagybank magyarországi fiókja.

De hát ezt irjuk, hogy a DÁP az EGY belépési lehetőség. Ráadásul a DÁP-ban megvalósított EU-s EU Digital Identity Wallet miatt minden EU-s állampolgárnak lesz ilyenje, tehát egy holland a holland DÁP-pal (vagy ott akárminek is hívják) ugyanúgy tudja azonosítani magát egy magyar bank online felületén, mint ahogy te egy olasz bankban. 

Igazad van, a kínai meg kapja be, én is hajamra kenhettem náluk mindent, DÁP-ot, Visa-t, Mastercardot, csak a WeChat működik mindenre. Még a free WiFi-t is csak útlevél (vagy repülőjegy) számra kaptam meg.

Hacsak... ki nem derül, hogy a kínaiak magyarországi betétállománya nagyobb, mint az itteni native DÁP-pal rendelkező lakosságé. Legfeljebb nekik marad a mostani helyzet.

Amit te keresel az a devizabelföldi vs. nem ilyen különbsége. Mint írtuk, a DÁP az _lehetőség_, akár a szerződéskötéshez szükséges azonosításra is. Akinek nincs magyar okmánya, az magyar okmányok nélkül bankolt eddig is, és ez után is úgy fog - attól, hogy akinek van, az ezt az okmányt tudja az online térben is használni azonosításra, az egy plusz lehetőség a számára. 

Az az egyik, hogy baromira rétegigény a fido/fido2, ergo per user drága a fejlesztése. A másik, hogy a 2FA SMS fallback tiltható-e az user kérésére, vagy sem - ezt az MNB-től kéretik megkérdezni. (Az MNB-s felügyelet jellemzően úgy működik, hogy "mindent tilos,a mit nem szabad", nem pedig úgy,hogy "mindent szabad, amit nem tilos")

Mondjuk az is úgy sikerült, hogy csak a "belföldi" csalókra vonatkozik. Európán kívüli fizetésnél nincs, mert nem utasíthatja európa a világot arra, hogy legyen. És így az afrikai, indiai és más régiókból felhasznált bankkártyákat le tudják szívni, ha nincs valami más korlátozás a kártyán.
És megint ott tartunk, hogy tiltsák be az illegális tevékenységet. 

Én erre azt mondanám hogy az itthoni bankártya használók 99%-nak teljesen megfelelő lenne ha az lenne az alapbeállítás hogy az összes online vásárlásnál kérjen 3D secure-t, és ha nincs, akkor nincs fizetés.

Tovább megyek, a recurring payment terhelésnél is kérjen előzetes engedélyt (pont mint az indiaiaknál) és ha nincs, akkor nem engedélyezett a terhelés.

Nem akartam belekezdeni ebbe a témába, de ha már feldobtad, hadd szóljon.

Mi a pék faszáért van ez*, hogy amikor a névvel, születési dátummal és személyi igazolvány számmal ellátott vonatjegyet, ugyanarra a viszonylatra, ugyanazokon a hétköznapokon, ugyanabban az időpontban (+-5 perc), ugyanazzal a bankkártyával, akkor minden egyes alkalommal jön a challenge, de ha egy kínai rendelős oldalon adom meg a kártyaszámom, akkor frictionless flow-ban le lehet üríteni a számlámat??

(* Mármint tudom, hogy technikailag miért van ez, a kérdés inkább úgy helyes, hogy ki szerint volt ez jó ötlet, és miért)

Tovább megyek, miért van az, hogy ezt nem lehet a bank oldalán állítani? Én simán azt akarnám hogy minden egyes online vásárlásomnál vagy legyen 3DS challenge vagy pedig hiúsuljon meg. Ez egy teljesen valid üzleti igény szerintem. 

Üzletileg egyébként a kereskedők részéről azért szoktak 3DS challenget kérni, mert ha átmegy a fizetés akkor onnantól kezdve a bank felelőssége, ő állja a chargeback költségét. A tradeoff a conversion rate, azaz valamennyi ügyfél elveszik. Mondhatja a kereskedő hogy oké, semmi gond, akkor benyelem a jobb konverziós rátáért, vagy pedig nem, cserébe kisebb lesz a konverziós ráta.

Ez az egész történet akkor játszik hogy ha a kereskedő jó szándékú és valóban eladni akar.

Nézzünk meg egy rossz szándékú támadót. Csinálnak egy céget Kinában (vagy igazából bárhol). Amikor már beindul az üzlet, akkor azt csinálják hogy amikor te egy fizetést engedélyezel akkor valójában egy feliratkozást fogsz engedélyezni. Ezzel a feliratkozással szépen elkezdik beterhelni a kártyád azzal a céllal hogy lenullázzák. Ezeket a pénzeket pedig ezzel a lendülettel el is tüntetik: konvertálják crypto-ba, drogba, játékokba.

No, ezért kellene a kötelező 3DS challenge. 

Hát ha nincs 3DS, és azért nincs, mert én kértem, hogy ne legyen, akkor ne legyen chargeback sem és kész, lemondok róla azzal, hogy expliciten nem kérem a 3DS-t. Nem olyan bonyolult ezt megoldani sem jogilag, sem technikailag.

Nem arról van szó, hogy nem akarom a 3DS-t, de akarom mellé a chargebacket. Hanem arról, hogy felelősen hadd döntsek arról, hogy hol nem kérem a 3DS-t és mondok le a chargebackről. Ez egy felelősségvállalas a felhasználó részéről.

The 3D Secure (3DS) liability shift is a rule that protects you (the merchant) from fraudulent transactions. The liability for fraudulent chargebacks shifts from the business to the card issuer when the 3DS liability shift applies.

For example, if a shopper denies they made or authorized a purchase (lost or stolen card), the liability for the fraudulent chargeback shifts from you to the card issuer.

Tehát itt annyi történik hogy ha te vagy az kereskedő, és azt mondod hogy márpedig kérsz 3DS-t, és ez átmegy a kártyatársaságon, akkor az ezzel kapcsolatos felelősség a kártyatársaságot terheli. 

Ettől függetlenül neked mint vásárló jogodban áll reklamálni hogy bár te fizetted ki az árut, de nem kaptad meg, és ilyenkor elindul a chargeback folyamata.

Tovább megyek, miért van az, hogy ezt nem lehet a bank oldalán állítani? Én simán azt akarnám hogy minden egyes online vásárlásomnál vagy legyen 3DS challenge vagy pedig hiúsuljon meg. Ez egy teljesen valid üzleti igény szerintem. 

This, mármint eleve nevetséges az egész, hogy a kereskedőn múlik, hogy mennyire legyen biztonságos a tranzakció, nem azon, akié a pénz. De ha már ezt így sikerül megarchitektelni, akkor tényleg lehetne az az alapvetés, hogy amire nincs 3ds, azt nem kérem, köszönöm. Itt európában teljesen rendben van ez, majd ha elutazom a faszba, kikapcsolom. Meg akkor is, amikor éppen valami elfaszott kínai oldalról vásárolok függő esetben is hetente egyszer....

Azt már meg se említem, hogy a faszért nem lehet látni, hogy recurring tranzakcióra kér engedélyt, vagy nem... 

Ha jól értem a 3ds úgy van implementálva, hogy a fizetési oldalon kell rá támogatás. Na ezt euban kötelező betenni a kereskedő / fizetési szolgáltató felületébe. A többi országban pedig persze nem, hiszen nincs joghatóság.

Azt nem tudom, hogy van-e valid módja a fizetés késleltetésének, hogy legyen idő rányomni az appban akkor is, ha a kereskedőnél nincs 3ds támogatás vagy akkor röngtön elutasítja, ha nem tudja azonnal terhelni. 
De van olyan sejtésem, hogy meg lehetne oldani és talán van is olyan modernebb pénzügyi cég, akiknél 3ds nélkül is van valami fizetés előtti megerősítés a pénz gazdájának oldalán. 

Másrész eléggé oligopol a bankkártyák világa is, visa és mastercardon kívül nem sok szereplő van és az ő közetítő szolgáltatatásukban is lehetne az engedélyeztetés. 

A hagyományos bankoknál azt sem lehet tudni, hogy hány cég iratkozott fel ismétlődő fizetésre vagy egyáltalán milyen fizetés milyen módú volt.

Igen, igen, nyilván az mnb közölné, hogy a user nem tilthat le szerinte gyengének tűnő fallbacket... magyarázkodj még, magyarázkodj. :)

(Illetve egy banknak ilyen szinten fingja nincs ám az igényekről, mert nincs user, aki elmondja nekik. Max rantel egyet az ügyintéző kislánynak, aki egy szót sem ért belőle, bólogat, majd elfelejti az egészet a picsába. Az a néhány, meg aki levelet ír, miközben tudja, hogy úgyse lesz belőle semmi, az nyilván csak valami hülye aktivista...)

Nem ezt mondja, illetve nem így. Fallback kell, és erre az SMS az, ami érdemben használható, birtoklás alapú csatorna. Ha az üf. nem jut a pénzéhez (mert nincs második faktor), akkor az a baj. 

Az igényekről (itt ugye a hűdejólennekockáknakfido2) annyit, hogy próbáld megbecsülni, mennyi, ilyenre alkalmas token van ma Magyarországon magánszemélyek tulajdonában. Nem, a céges tokeneket ne számold ide. A környezetemben 20 emberből 20-nak van legalább egy bankszámlája, ellenben saját privát yubikey tokenje senkinek sincs rajtam kívül. 

 

Oké, a bank beszerzi az eszközt, megcsinálja a workflow-t, hogy hogyan lehet igányelni, kiadni, visszavenni, estébé. Személyes ügyintézés kell az eszköz kiadásához és visszavételéhez, pótlásához - ami az üf.-nek kényelmetlen, a banknak drága. Ha a token besz@rik, akkor az üf. mehet cseréltetni - azaz minden bankfiókban kell egy fél tálcányi tokent betárazni az ilyen esetekre (is). Stb. Használni is kényelmetlen(ebb), mint a push/sms/dáp megoldásokat...  Ja, okostelefon használatára senki sem kötelez - a szolgáltatásokat igénybe tudod venni okostelefon nélkül is - a kényelmi elemek nélkül, illetve jellemzően a személyes ügyfélszolgálat költségének egy részét viselve... 

Keresztkérdés: a környezetedben hány embernek van okostelefonja, és hánynak nincs? Akinek nincs, az potenciális célközönsége-e a fido2 vagy más hasonló tokenes azonosításnak? 

Nem tudom, hánynak nincs (valószínű én vagyok az egyetlen (bár nekem is van, de nem használom, csak végszükségben), meg locsemege, de ő nincs a környezetemben), de akinek van, azok közül soknak van (céges) yubikeye.

Ezt a személyes ügyintézést nem igazán veszem be, miután (más ügyben) ültem 2 bankban is pár hete 1-1 órát, és az ügyintéző többeknek is mobilbankot állítgatott, az ügyfél telefonján. Na annál biztos egyszerűbb kiadni egy céleszközt, mint a másik telefonjával szerencsétlenkedni (az egyiknél az volt a konklúzió, hogy nem tudja, miért nem megy, jöjjön vissza később). Használni se kényelmesebb, mert ezt bedugom egy USB portba, ha kér pinkódot, megadom, meg megérintem, ha szól miatta. Ennél biztosan nem egyszerűbb a QR kódos, push üzenetes szerencsétlenkedés. Különben is, mi szarik be előbb, egy telefon, vagy egy egyszerű USBs (netán NFCs) token. Ha csak azt nézem, hogy hány törött kijelzős mobillal szaladgálnak az emberek...

Egyébként félreértesz, én el tudom intézni az ügyeimet okostelefon nélkül, anélkül, hogy személyesen be kéne mennem - és jó lenne, ha ez így is maradna.

2 bankban is pár hete 1-1 órát, és az ügyintéző többeknek is mobilbankot állítgatott, az ügyfél telefonján

Van az úgy, hogy a banki fejlesztő informatikust kellene megoldásként úgy valagbarúgni, hogy a Holdig szálljon egy lendülettel. Meg a főnökét, aki alkalmazta.

Az, hogy valamit egy fiókosnak nem sikerül megoldani, az jelentheti azt is, hogy tényleg nem tud megoldást az adott problémára, mert az általa elérhető eszközök és tudás kevés hozzá. Nekem EU-s roaming helyzetben nem ment a mobilnet. Hét vége volt (szombat), csevegtem jó sokat a magenta ügyfélszolgálattal, a sokadik körben egy szinttel "feljebb" kapcsoltak - a végén hétfő délután sikerült a belső L3+ supportnak, illetve az érintett rendszer üzemeltetőinek kibogozni, hogy miért van így, és ez utóbbi terület(!) tudta a szükséges beállításokat/módosításokat megcsinálni. 

Nem sejtelmes, én is jártam úgy, ahogy fent írva van, a banki ügyintéző mobilbankot állítgatott a telefonomon az MBH fiókban.

Az okát én tömörítve ingyen így láttam:

1. Nem sikerült a fejlesztőknek kialakítaniuk egy olyan felületet, amin a különböző bankok ügyfelei egyszerűen megtalálhatnák a saját webes belépési felületüket. Ehhez nem volt meg a fejlesztői felkészültség.

2. Nem sikerült a fejlesztőknek megtalálniuk azt a megoldást, amivel a különböző bankok magán és céges ügyfelei a különböző appok között a számukra telefonon használható felületüket megtalálják. Aki ezt kiadta használatra, lehet, hogy kiváló programozó volt, de nem értett ahhoz, hogy ügyfél számára hogyan kell fejleszteni.

Nem, nem én vagyok teljesen hülye, nem csak nekem nem sikerült ez, hanem a beszámolók szerint sokan másoknak sem. Nem a mostani állapotról beszélek, hanem egy korábbiról. Megjegyzem, az egybesülést megelőző Budapest Bankos felület tényleg hibátlan volt, weben is és telefonon is, maszek is és céges környezetre is. Amikor végleg elakadtam, szerencsére a telefonos ügyfélszolgálat segített, szimpatikus hang végignavigált a honlapon a különböző opciók között és négy-öt alkalommal velem együtt röhögött, amikor rákérdeztem nála, hogy mondja, és ez nekem miből kellett volna kiderüljön, ha maga nem segít? Egy darabig működött, aztán valamit fejlesztettek és megint nem volt elérhető a bank (valami olyasmit mondott az ügyfélszolga telefonon, aki megint csak nagyon kedves, nagyon normális és nagyon segítőkész volt, hogy ha az egyik telefonos appban az ügyfél a felületen megváltoztatja a bejelentkezési módot jelszóról, mondjuk ujjlenyomatra, akkor a másikba sehogy sem fog tudni bejelentkezni, csak ha bemegy személyesen a fiókba). Cakk.

3. Felvonultam nagy erőkkel, teljes harci díszben a fiókba, ahol rövid üldögélés után a kollegina egy darabig harcolt, majd elnézést kért, hogy ez most neki sem megy, nem érti, ha lehet jöjjek vissza holnap. Nekem úgy tűnt, hogy mozgott a környezet körülötte, folyamatosan, a banki alkalmazottaknak is tele volt a töke azzal, hogy a változások folyamatosak és rosszul dokumentáltak voltak az informatikai rendszerükben. Meghát ugye, valami eleve el lett baszva, nekik azért kellett ott küzdeniük.

Így történt, másnap másik kollegina a fiókban rövid közelharcot folytatott a telefonommal, majd mosolyogva visszaadta, kész. A részleteket nem teszem ide. Azóta ViCA-t, ujjlenyomatot stb. nem merek állítani rajta, mert megszűnt a toleranciám azzal kapcsolatban, hogy ha valamit egy szakmailag felkészületlen barom elront a bankomban, akkor ne tudjam elérni a saját pénzemet. Most működik, bár minden egyes alkalommal, amikor pl. kivonatot kell letölteni, elönt a pulykaméreg, mert egészen biztos vagyok abban, hogy aki ezt  fejlesztette, még soha az életben banki rendszert nem látott. Ma is több bankkal dolgozom, van összehasonlítási alapom. Ha nem érted mire gondolok, akkor keress egy tisztességes bankot, tölts le ott egy régi kivonatot, nézd meg a tartalmát, majd hasonlítsd össze azzal, hogy ezt az MBH-nál hogyan lehet és mi az eredménye. Ha ezután sem világos, akkor a szolgáltatás innentől már fizetős.

Persze magyarázat mindenre van, de a világ boldogabbik részén azokat a gazembereket, akik az MBH-nál informatikát csináltak, oda se engedték volna a feladat közelébe és ha véletlenül mégis, mindjárt az elején úgy kirúgták volna mind, hogy a magyarázkodás, mi miért volt nehéz és mit miért nem lehetett, csak az érdektelen emlékirataikban kaphatott volna helyet. Mert magyarázat mindenre van, különösen, hogy mit miért nem lehet, az biztos.

Egy doloban biztosan tévedsz:
nem a fejlesztő dönti el, hogyan nézzen ki a felület, nem a fejlesztő dönti el, hogyan működjön a felület. 
Ez mind üzleti döntés. Ha más nem, akkor olyan értelemben, hogy nem voltak hajlandóak megfizetni jobb szakembereket. A fejlesztő csak a tecnikai megvalósításért felel, úgy, ahogyan neki előírják az üzleti vezetők. A busines logic, milyen lépésekkel és milyen folyamatokkal lehet valamit megcsinálni, az nem fejlesztői hatáskör, legfeljebb szólhat, hogy az úgy nem lesz jó, de nem bírálhatja felül.

A leírtakból talán kiderült, hogy nem, itt nem a marketinges tévedett. Lehet lenézni a frontend fejlesztést, de szerintem az is informatika, sőt, pl. egy bank esetében lehet akár szakmailag súlyosabb fejlesztési téma is, mint az adatbázis kezelés. Amiben biztosan igazad van, az a kapcsolódó "not-my-job" szindróma, ami minden elbaszott informatikai fejlesztés elválaszthatatlan része.

Nem, nagy cégnél nem lehet csak úgy saját szakállra kókányolni. Pláne nem pénzügyi területen.

Nem csak, hogy nem lehet belepiszkálni bármibe, hanem azt szabad piszkálni, amiért fizetnek. Máshoz nem szabad nyúlni. És úgy kell csinálni, ahogyan megtervezték, ahogyan jóváhagyták.

A céges tokent _nem_ használjuk magán célra és viszont. (Nekem is van egy fél maréknyi, de a cégeseket kizárólag céges, a sajátomat meg privát célra használom...). A személyes ügyintézés idő és pénz - és qrvára nem jó sem az ügyfélnek, sem a banknak. A hülye üf. a tokent sem fogja tudni hazsnálni, elfelejti a pin-kódot (vagy felírja -jobb esetben egy cetlire, rosszabb esetben a tokenre(!). A használata a telefonnak: nem kell semmit sehova sem dugni, jön a push, képernyőzár feloldása, üzenet elolvas, rábök, jóváhagy vagy elutasít. A tokent vagy eszi az adott OS/Böngésző/kótyomfitty vagy sem, jellemzően csak desktop/notebook... És baromira egyszerűen otthonhagyható/elhagyható. A telefont picit nehezebben hagyja otthon az emberfia... 
Ha a telefon tojik be, a SIM marad, tehát sms fallback megvan, új telóhoz meg maximum a telebankra van szükség, de még akár arra sem - a token elhagyása/döglése esetén meg bankfókba be, régi token letiltása, új kiadása...

A telebank/videobank jó dolog, de az is drága és jellemzően kényelmetlen.  

Biztos, sose használtam se telebankot, se videobankot.

Van ám ennek a FIDO2-nek olyan működése is, hogy a desktop gépeden kezdeményezed a logint, az meg push üzenetben jóváhagyatja a mobilon, szóval akinek ez az egyszerű(?), az csinálhatja továbbra is (talán ez a CTAP2). De rendes hardver kulcs használatához sem kell nagyon megfeszülnie a programozóknak. Ezeket nagyjából minden elterjedt böngésző, kb. minden platformon támogatja már, és ahogy elnézem a példakódokat, ezt se nehezebb lefejleszteni, mint kitalálni egy saját auth rendszert. Na de mindegy is, hisz az ügyfelek nem ostromolják ezzel a bankokat (mondjuk szerintem DÁP-pal se ostromolta senki őket, csak leszóltak fentről, hogy ez legyen).

Amúgy ha otthoni desktop gépemen használom, akkor eleve az a default, hogy otthon hagyom a hw kulcsot :D

Technikailag még csak-csak igazad van, viszont ez tipikusan az az eset amikor az informatikus a lokális maximumra törekszik, miközben meg a globális maximum a cél: személyazonosság igazolása, elektronikus aláírás képesség, központi authentikáció és adatmegosztási lehetőség, és ezer más use case. A FIDO2 ezekből összesen egy dologra ad egy részleges, helyi megoldást, míg az EU Identity Wallet amelyet a DÁP megvalósít a fenti összesre plusz egy csomó minden másra is.

Mármint 2016-ra el kell készülniük az EU szabályozásnak megfelelően. 

Közben találtam egy nagyon érdekes dokumentációt:

https://hiteles.gov.hu/letoltes/618/bsz-dap-tk_v1.2_app.pdf

Illetve itt egy csomó kérdés/választ:

https://fintechzone.hu/eazonositas-es-haasz-a-gyakorlatban-21-kerdes-es…

Ez a DÁP-TAN, DÁP-TK totál irreleváns dolog, nem az eID kompatibilis azonosításról szól.

Az mikor fog működni, hogy nem kell magammal személyit hordani, és a reptéren elfogadják a DÁP-ot? Mondjuk ha vásárlok a Tescoban egy sört, akkor elfogadja a pénztáros néni, hogy igazoljam, hogy elmúltam 18.

Erre egyik linked sem ad választ.

A fenti linked nem az eID-ről szól, hanem tök más szolgáltatásokról (az eAzonosítás nem eID kompatibilis).

A DÁP forráskódja amúgy hol érhető el?
Az eID alkalmazásoknak nyílt forráskódúaknak kell lennie:

https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=OJ:L_202401183

Az európai digitális személyiadat-tárcák átláthatósága és az azokat nyújtó szolgáltatók elszámoltathatósága kulcsfontosságú elemeket jelentenek a társadalmi bizalom megteremtéséhez és a keret elfogadottságának ösztönzéséhez. Az európai digitális személyiadat-tárcák működésének ezért átláthatónak kell lennie, és különösen lehetővé kell tennie a személyes adatok ellenőrizhető kezelését. Ennek eléréséhez a tagállamoknak nyilvánosságra kell hozniuk az európai digitális személyiadat-tárcák alkalmazásszoftver-alkotóelemeinek forráskódját, ideértve azokét is, amelyek személyes adatok és jogi személyek adatainak kezeléséhez kapcsolódnak. E forráskód nyílt forráskódú licenc keretében történő közzétételének lehetővé kell tennie a társadalom, többek között a felhasználók és a fejlesztők számára, hogy megértsék annak működését, továbbá ellenőrizzék és módosítsák a kódot.

Az első link azért volt számomra érdekes mert nem volt világos hogy hogyan is oldják meg a kulcsaktiválást az elektronikus aláíráshoz, de ezt elég jól elmagyarázza.

Az eID-t majd 2016-ig fogja a DÁP megvalósítani, és gondolom akkor majd nyilt forráskódúvá is fog válni az alkalmazás, ahogy ez elvárás.

"Az mikor fog működni, hogy nem kell magammal személyit hordani, és a reptéren elfogadják a DÁP-ot? Mondjuk ha vásárlok a Tescoban egy sört, akkor elfogadja a pénztáros néni, hogy igazoljam, hogy elmúltam 18."

Onnantól hogy lesz eID az EU-ban, tehát legalább 2016-ig várni kell vele. Az, hogy a Tesco-s néni elfogadja, az még utána valamennyi idő lesz, mert most ahogy látom azzal vannak elfoglalva hogy az alap dolgok működjenek megfelelően: elektronikus aláírás, banki belépés, eID-ra való felkészülés, stb. és ennek a környezete van kialakítás alatt.

mert most ahogy látom azzal vannak elfoglalva hogy az alap dolgok működjenek megfelelően: elektronikus aláírás, banki belépés,

Amúgy a banki belépés mitől lenne alapabb, mint mondjuk az azonosítás egy webshopban, hogy elmúltam már 18? Semmivel nem alapabb szolgáltatás a banki belépés (vagy akárhová belépés, pl. légitársasághoz), mint egy életkor-igazolás például. Miért kéne pont a bankokat priorizálni? Alakítsanak ki olyan megoldást, amihez bárki könnyen csatlakozni tud, nem kell egyes piaci szereplőket előnyben részesíteni. Mert annak könnyen az lesz az eredménye, hogy az ő igényeikre, képességeikre vannak szabva az interfészek és integrációs elvárások, a többi piaci szereplő meg szív emiatt.

Mert sokkal jobban kontrollálhatóak első körben és messze a legtöbb felhasználót lehet elérni rajtuk keresztül (nem csak bankok hanem közművek is). 

Egyébként teljesen szabványos, OpenID4VP alapuló integráció van, viszont ez valószínűleg nem triviális. 

https://openid.net/specs/openid-4-verifiable-presentations-1_0.html

és

https://docs.igrant.io/concepts/openID4vc/
 

De mivel a DÁP nem lesz kötelező (hál' Istennek), nem árt, ha van egy biztonságos fallback. Meg a személyazonosságomat a bank bejelentkezés után valószínű a saját nyilvántartásából veszi, ehhez minek a BM-től beszerezni.

Na mindegy, nekem jó az SMS-es 2nd factor, csak maradjon is meg, ha már számomra értelmes alternatívát nem adnak.

Cseréled a fizikai okmányod - okmányazonosító, lejárati dátum változik - máris újraazonosítás kell személyesen. Az sms-es 2. faktor csak és kizárólag azt igazolja, hogy képes vagy annak az információnak a megszerzésére(!), amit a megadott telefonszámra SMS-ként elindított a bank, és amit az adott időpontban az ahhoz a telefonszámhoz rendelt SIM-et tartalmazó eszközre továbbított a szolgáltató. Ez az égadta világon semmit nem mond arról, hogy ki vagy, mi vagy, nem azonosít hitelesen... A DÁP-pal minden esetben olyan a tranzakciód, mintha a személyi igazolványod bemutatásával (és a banki oldal által hatósági rendszerekben történő visszaellenőrzésével) végeznéd azt el. 

"ezt se nehezebb lefejleszteni, mint kitalálni egy saját auth rendszert."

Ne gondold, hogy mindenütt saját AAA megoldást csináltak (egyik banknál amikor átállás volt a ...-ra, egy pár percig a netbank url-jén az általuk használt 3rd party rendszer login felülete jött be), van, ahol igen, de azt masszívan folyamat és corner-case-ek tekintetében is alaposan végigrágta az architect/itsec/stb. terület, és élesedés előtt blackbox/whitebox tesztet is kapott. 

A DÁP-pal nem kell ostromolni senkit, mert való igaz, hogy elvárás a DÁP-os azonosítás. Ami egyébként például a videobankban a "mutasd meg a kamerának a személyidet" kiváltására is kifejezetten hasznos: gyakorlatilag az online térben is a személyi igazolványával azonosítja magát ilyenkor az ügyfél.
 

A videó azonosítás megfelelő implementációja egyébként egy iszonyat szivás, mert ugye kellene mutogatni a kártyát, meg magadat is, meg a kettőt együtt, és ugye a mobil első és hátsó kamerája nem ugyanolyan felbontású, ráadásul egy csomó időt el kell tölteni azzal hogy azt is igazold hogy a mindenféle csalások ellen hogyan védekezel. Ennek megvalósítása egy iszonyat nagy szivás, volt szerencsém hozzá. Ehhez képest a DÁP az elképesztően praktikus mert az állam csinálja meg a személyazonosítást, igy aki DÁP-pal sikeresen azonosítja magát, annak már el lehet hinni hogy ő az akinek mondja magát.

Ha ezt megnyitják a nem állami és államközeli rendszereknek, akkor végre lehet olyat csinálni hogy a különböző piactér szolgáltatásoknál mondjuk csak DÁP-pal azonosított eladók legyenek, amivel lényegében meg is fognak szűnni a mindenféle átverések és csalások. 

Nem ezt mondja, illetve nem így. Fallback kell, és erre az SMS az, ami érdemben használható, birtoklás alapú csatorna. Ha az üf. nem jut a pénzéhez (mert nincs második faktor), akkor az a baj. 

Magyarázhatod, ameddig akarod, hogy mer az mnb azt mondaná, hogy nem lehet kikapcsolni a user igényére, de továbbra is ki foglak ezzel röhögni. Nem, ha az ügyfél azt mondja, hogy "értem, hogy ha kikapcsolom a fallbacket, akkor nem fogok a pénzemhez jutni, ha nem megy a netbankon keresztül a cucc, mert éppen nincs netem / nálatok le van rohadva valami, többet számít nekem a biztonság", akkor nem, nem baj. És ha van olyan processz, ami szerint igen, akkor az egy határ rakás fos, és rendbe kell tenni. 

Szerinted banki ügyfél, vagy FB/Google/Microsoft/Yahoo/stb. fiókkal rendelkező emberből van több? Mert ez utóbbiak esetén használható a tokenes login, úgyhogy aki biztonságossá szerette volna/szeretné tenni ezeket a hozzáféréseit, az beruházott/beruházhat két yubikey tokenre (egyiket használja, a másikat ugyanúgy létrehozva rajta belépési kulcsokat elteszi tartalékba).

Még egyszer. A DÁP meg fogja valósítani az EU-s szabályozást. Az EU-s szabályozás szerint minden állampolgárnak lehetősége kell hogy legyen egy elektronikus wallet. Ezzel tudja azonosítani magát, digitálisan alárni, és a többi. Ezt arra is lehet használni hogy a bank felé be tudj lépni. Ezt az egészet egyébként a hanyatló nyugaton néhány ország már vagy 10 éve megvalósította. Ezt az egész történetet 2016-ig meg KELL csinálni. Itthon ez a DÁP alkalmazáson keresztül lesz elérhető. 

A bankoknak itthon a DÁP alapú belépést MEG KELL valósítani, de azt soha senki nem mondta hogy csak az kell hogy legyen. Ez egy lehetőség. Ha EU-s állampolgár vagy és valami perverzióból magyar banknál akarsz számlát nyitni akkor erre a jövőben simán használhatod majd a saját országod által kiadott DÁP-nak megfelelő alternatívát, ez itt a lényeg. Ha ilyened nincs, vagy nem akarod használni, akkor meg majd kapsz felhasználónév, jelszót, meg SMS-t.

Megint ez a hülyeség, hogy nem ostromolják a bankot...miért az ügyfélnek kéne ezzel a bankot ostromolni?

Phising-resistant authentikáció kéne a netbankra (amire tuti van ügyféligény, arra legalábbis biztos, hogy ne lopják el a pénzüket), erre pedig műszakilag egy nyílt szabványú technológia a jó megoldás - egy épeszű informatikusnak legalábbis. Ha már költségekről van szó, nem lenne olcsóbb egy már kitalált megoldást használni, mint saját kútfőből ilyen push üzenetes borzalmakat csinálni?

AES helyett nem akarnak valami saját titkosítást csinálni a banki informatikus urak? Aztán meg az AES-re átállást túl drágának találnák, és még ügyféligény se lenne rá.

Na, akkor rakjuk rendbe, mert van itt a keveredés. Cégeknek a DAP dokumentum aláírási funkciója nem működik, mert nem akarják hogy konkurenciát csináljon a meglévő bizalmi szolgáltatóknak.

Az EU digital identity wallet egyébként lehetőséget ad arra hogy azonosítsd magad cégként:

"Organisations can also get business wallets to prove company identity in B2B settings."

Tehát igen, cégek esetén is működni fog. Az itt lévő nem EU rezidens állampolgár Visa-val tartózkodhat az EU területén, és nagyjából az első dolog az hogy kap egy adott országbeli azonosító okmányt, mert egyébként kb. semmit nem tud anélkül intézni. Innentől meg lesz EU digital identity walletje is. 

Ha pedig ő egyébként mondjuk turistaként akár számlát nyitni (ha erre egyáltalán lehetőség van), akkor kapja a jó öreg felhasználónév, jelszó, SMS kombinációt, és oldja meg a biztonságot maga, vagy használja a saját országa bankjait, és ők majd megoldják. Nem az EU feladata a külföldi állampolgárok védelme, azt oldja meg a saját országuk. 

Ha valakit érdekel komolyabban: https://webgate.ec.europa.eu/fpfis/wikis/pages/viewpage.action?pageId=2…

Azért az alábbi országok már szépen implementálták az eID-t: Ausztria, Belgium, Horvátország, Ciprus, Csehország, Dánia, Észtország, Franciaország, Németország, Olaszország, Litvánia, Lichtenstein, Litvánia, Luxemburg, Málta, Hollandia, Lengyelország, Portugália, Szlovákia, Szlovénia, Spanyolország, Svédország.
EU loginnál be is tudod állítani a "Link my eID" oldalon (https://webgate.ec.europa.eu/cas/reconciliation/linkEid.cgi).

A bankok ügyfeleinek jelentős részének nincsen DÁP lehetősége (vállalati ügyfelek, külföldiek stb.) Mivel nincsen "egységes banki rendszer" a világon sehol, szerintem itt a megoldást csak a banki szakemberek szakmai felelősségére lehet bízni. Ahol a bank informatikai menedzsmentje is prudens, ott kiszűrik a csalók nagy részét. Ahol felelőtlen vagy nem érti a saját szakmáját, ott meg ki fogják rabolni az ügyfeleket.

A miénk biztos nem lesz vele kompatibilis mert Brüsszel.  (A telekom qr kódja úgy kezdődik, hogy eudi-openid4vp úgyhogy lehet mégis)

Amúgy kipróbáltam a Telekomos integrációt szuperül sikerült összerendelni a DÁP-al. A mobilappban a fasorba nincs DÁP bejelentkezési opció. De legalább kiléptetett.

Maga az EV cert sz@r, mert bizony ha tudok valahol ödönbank nevű céget alapítani, akkor kapok ödönbank EV certet az általam felügyelt domainre... És ahogy már szó volt róla, az, aki az énbankomponthu helyett az énbankomponthu.feltortszerverpontakarmi/randomurl/ oldalra beírja simán az adatait, az a zöld/hupilila/akármilyen extra logót sem fogja keresni... 

Az EV Certnek azért nincs semmi értelme mert soha senki nem fogja a tanúsítvány adatait böngészni, a böngészőkből pedig a zöld részt már évek óta kivették. Szóval felhasználó szempontból semmi olyan látványos visszajelzést nem kapok, innentől kezdve meg kuka.

A kérdésem nem az volt, hogy a böngészők támogatják-e, hanem az, hogy egy banki webes alkalmazást vagy magát a honlapot fejlesztő tudja-e a tanusítványt a bank honlapján hasznosítani annak érdekében, hogy a felhasználó biztos lehessen abban, hogy nem huncut oldalon jár.

A rövid válasz: nem.

A hosszabb válasz: böngészőszinten nem oldható meg, mert a böngészők ilyet nem támogatnak, lásd a korábbi beszélgetést ebben a szálban az EV certekről. Ha meg a weboldalba ágyaznak ilyesmit, az ugyanúgy másolható, mint az eredeti banki oldal, tehát bekerülhet a huncut oldalra is, és akkor ugyanott vagyunk ahol most.

És ha - feltéve, de meg nem engedve - mégis lenne ilyen megoldás, annak ismeretét ugyanúgy el kéne hinteni az összes felhasználónál, akik jelenleg is simán megvédhetnék magukat a phishing csalásoktól, ha az URL-t nem kereső alapján szednék össze, hanem begépelnék és/vagy egyszer eltennék könyvjelzőbe, és utána csak azon keresztül használnák.

Kábé az első megjegyzésem volt ebben a témában, hogy egyszerűbb lenne 12 böngészőt rávenni arra, hogy a termékük újra dolgozzon rá az EV tanusítványokra, mint versenyezni a hackerek által teremtett fake honlapok utolérésében,  mert kb ennyi böngészővel  lefedhető az internet 99%-a. Lehet, hogy ennyi se kell, mert ha a Mozilla és a Google visszahozná, akkor a többi menne utána azonnal. Azt is értem, hogy EV tanusítványt 22 Unicreditbank nevű vállalkozás is regisztrálhat, de talán a fake regisztrációk ennek ellenére is egyszerűbben lennének szűrhetők.

Hangsúlyozom, nem értek hozzá és talán ezért tartom valószínűnek, hogy egy a ViCA-hoz hasonló megoldás simán fejleszthető lenne minden bank számára, nem túl nagy költségért az EV SSL-hez. Igen, ha ezt kötelezővé tennék a bankok, akkor sok felhasználó belekényszerülne abba, hogy biztonságosabb megoldásokat használjon bankolásra, de ha a felhasználók belekényszeríthetők a Facebook mindennapos használatába, akkor elképzelhetőnek tartom, hogy ezt a kényszert túlélné a bankrendszer.

A bank.gov.hu domaint pedig azért gondolom kitűnő ötletnek (bár ezt sem én találtam ki itt), mert a szabadságon és egyetértésen alapuló önkéntes internetes megoldások látványos kudarcait követően szerintem igencsak itt lenne az ideje olyan állami kontrollnak, ami megbízhatóan növeli a biztonságot (mint pl. a DÁP is). Öszintén szólva nem hiszek az egész internetre kiterjedő vagy akár az EU-s törvényes szabályozás racionalitásában, de hazai környezetben szerintem nagyobb rendet lehetne tenni az internetes bankcsalások ellen. Ez csak a hazai szakembereken múlik. Teljesen kiszűrni a huncutságot persze nem lehetne, de az állami kontrollon alapuló, folyamatosan javított biztonsági színvonalú internetes környezet nekem megvalósíthatónak tűnik. Legalábbis vannak erre már jó példák.

lásd a korábbi beszélgetést ebben a szálban az EV certekről.

Azt azért halkan hadd tegyem hozzá, hogy továbbra is támogatják az ev certeket, csak a zöld vs kék lakat, és az issued to címsorba kiírását vették ki (ami egyébként imho jogos, egy kalap fos volt), de ha lekattintod a lakatot, akkor ki van írva az issued to. Pár magyar banknak van is ilyen, gyors scan alapján, otp, cib, erste, bank of china (bár ők kicsit kakukktojás ugye)

1.)

én akkor pislogtam nagyokat mikor itt Londonban valaki a metrón HANGOSAN, TELEFONBAN beolvasta a bankkártya adatait egy rendeléshez... 

2.)
Hamis oldalra gépeled be az adataidat => túloldalon mindent logol => ő közben a valódi bank felületre belép => kapod a 2FA SMS => begépeled => begépeli => te homokórát látsz => ő már bent van, telefonszámot cserél, netbanki appot regisztrál, majd utalásokat kezdeményez a saját eszközeit használva 2FA-ra...

( ncc1701 | 2025. 06. 20., p – 08:56 )

Másik bankhoz kell menni, így már rögtön tudja az ember, h próbálkoznak.

( dorsy v | 2025. 06. 20., p – 09:06 )

Szerkesztve: 2025. 06. 20., p – 09:11

<okoslaikustroll mode> azert az imho eleg szar, ha egy banknak a hupra kell jarni informaciobiztonsagi kerdesekben segitsegert... mondjuk legalabb tudjuk melyikhez nem kell menni :) </okoslaikustroll mode>

eso utan koponyeg. a lenyegen pedig semmit nem valtoztat, mivel a karosultak - a mellekelt abra alapjan - nem lettek preventive felvilagositva es/vagy megfelelo technologiai eszkozokkel ellatva, hogy ilyen ne, vagy csak extrem ritka, egyedi esetben tortenhessek meg. :)
mondjuk ahol a kedves vezeto narrativaja a "#csakaka'pe'" meg "#csakabutatelefon", ott miert is varnank el, hogy legyen megfelelo oktatas az internetes/banki veszelyek tekinteteben :)
felkeszul:
prevencio a szenvedelybetegsegekkel kapcsolatban - #akocsmaafalulelke #drogprevencio - 0
szexualis felvilagositas - #apafiuanyalany #foliaburokbantartas

lehetne sorolni. nincs kedvem.
hittan meg erkolcsora legalabb van... kosz... majd az atyauristen megsegiti a karosultakat, ha elegge erkolcsosek voltak. janem.

ami hasznal:
edukacio, edukacio, edukacio
megfeleloen implementalt multifaktoros autentikacio
fraud-detection a banki rendszerben (ha gyanus dolgok mennek, stop, ugyintezo felhivja az UF-t, hogy "figyima', biztos ezt akarod?")

( lcsaszar v | 2025. 06. 20., p – 09:28 )

MBH - MHB - MKB, teljesen összezavarják az embert. Másik nevet kellett volna választani.

( ptiszai v | 2025. 06. 20., p – 09:45 )

Szerkesztve: 2025. 06. 20., p – 09:45

Mészárost kellene megkérdezni, miért csak a bankjánál létezik a probléma.

Gázszerelő, ő biztos tudja.

Ki más a hibás?

Mészáros Orbán segítségével felvásárolta a Budapest Bankot a MKB-t és abból hozták létre a MHB-t.
Kit rúgtak ki?

Hasonló a MNB 650 milliárd 5 kamu alapítványi sikkasztásához, senkit sem rúgtak ki, de attól Matolcsy Ádám vett egy dubaji, egy new yorki stb. stb. kégliket. 
Fidesznél nincs nagyobb korrupt párt.

Tiborczé az andrássy úti paloték egy része, máv régi székháza, köztévé szabadság téi palotája, Gellért szálló stb.

A tulajdonos hoz egy top managementet. A top management hoz egy vállalati kultúrát, amit aztán a middle management továbbvisz. A middle management és a beosztottak végzik el a szakmai munka nagy részét.

Egy idő után amikor közismert lesz a vállalati kultúra akkor a middle management és a dolgozók azon része marad meg akik azzal azonosulni tudnak.

Szóval igen, az elkövetett szakmai hibákért ha nem is responsible de accountable a tulajdonos (RACI mátrixban értelmezve).

zászló, zászló, szív

Így van. Elvégre a tulajdonos kockáztatja a pénzét.

Hanem... nézzük ugyanezt fordítva. Felkészült beosztott szakember vagy egy rendszerben. A főnököd kijelöl neked egy feladatot, amit neked kell megoldani. Értesz a szakmádhoz, megoldod a feladatot, adott esetben nem vagy egyedül, hanem egy munkacsoport együtt oldja meg.  Jól csináltad meg a dolgodat? Az egyik verzió szerint a legjobb tudásod szerint végezted el a munkát és szakmailag hibátlanul. A másik verzió szerint te is tudod, hogy amit csináltál, szar, nem felel meg a funkciójának, mert a rendelkezésedre álló eszközökkel, abban a környezetben egy optimumot tudtál csak elérni, de a jó megoldást nem tudtad szállítani. A harmadik verzió szerint not my job, én kipipáltam a feladatot, szaromisle, hogy az szakmailag jó volt-e vagy nem. Legfeljebb az ellenőrzés során kirúg a főnök, aki nyilván fasiszta.

Az esetek zömében a második variáns működik. Mindenki azt hiszi, hogy annál, amit csinált, az adott körülmények között lehetetlen jobbat csinálni. Balhé esetén akármilyen a menedzsment, a szervezetben mindig meg lesz győződve mindenki, hogy más a hibás.

És... a tulajdonosnak többnyire semmi köze ahhoz hogy a cégben mi működik, hogy működik, kivételek vannak (pl. egyéni vagy kisvállalkozások esetében stb). A cég irányítását a tulajdonos többnyire másokra bízza, igazgatókra, igazgatóságra, vállalati vezetőkre, akik többnyire nem egy adott szakma legkiválóbbjai, nem a konkrét funkcionális feladatkörük legjobbjai, hanem a vállalat irányításához értenek. Ahol a vezetés nem engedi meg a második variánst, mert pl. tele van a töke azzal, hogy a felkészületlen (vagy akár a kitűnően felkészült rossz produktumot előállító) munkavállaló megmagyarázza, hogy, mit miért nem lehet, ott az ilyen munkavállalót kibasszák a cégtől. A harmadik variáns szerinti lébecolókat meg be sem engedik a kapun, rossz esetben próbaidőn belül basszák ki.

Bonyolult a munkavállaló élete, "azért a pénzért" meg különösen.

-> az aki ezt a szintű problémát meg tudná oldani pontosan látja az értékrendet már kívülről is, és nem megy oda.

Itt ér véget a történet, így lesz egy kétes értékrendű tulajdonosnak lassan de biztosan kuka cége.
Mindnek, mindig. Ez nem specifikus erre a tulajdonosra.

zászló, zászló, szív

A tulajdonos értékét nem a tulajdonolt cég menedzsmentje határozza meg. Az legfeljebb a vagyonára lehet építő vagy pusztító hatással. A tulajdonos elbukhat pénzt, rossz menedzsmentet választhat, rossz döntéseket is hozhat, jókat is, ezekben semmi nem korlátozhatja, sőt, ha kedve szottyan a vesztesége háromszorosát is felteheti a kaszinóban a ruletten a pirosra. Nekem mondjuk az első harmad szimpatikusabb, de ettől még a tulajdonos értéke immunis a véleményemre.

már hogyne lenne köze. Nem csak az adóhatóságok felé, de a tulajdonosok felé is elszámolási kötelezettsége van a vezetőknek. És a tulajdonosnak döntési feladatai is vannak. Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget. A nagy tőzsdei cégeknél felügyelőbizottság is van és a részvényesek (tulajdonosok) szavazhatnak is a kérdésekben.

Ha semmilyen formában nem felügyeli a tulajdonát, az garancia arra, hogy szétlopja valaki a céget.

Tévedés. A céget nem akkor nem lopják szét, ha a tulajdonos áll a kapuban, hanem akkor, ha portás van, aki megkérdezi, hova viszi a dolgozó a hóna alatt az esztergagépet. A vállalatvezetés is persze érdekelt a dologban, mert vezetői funkciók vannak arra, hogy a dolgozónak ne sikerüljön hazavinnie a kanalat a kantinból. A tulajdonosoknak általában nincsen döntési kötelezettsége. A vállalkozások messze túlnyomó többségében a tulajdonosnak fingja sincsen arról, hogy milyen döntéseket kell hoznia a vállalatát vezetőknek. Semmi köze hozzá. Kivételek vannak, ennek feltétele, hogy a tulajdonos egyáltalán azonosítható legyen. Ne keverjük a kis és középvállalkozásokat ide, ahol a tulajdonosnak ésszerű személyes közreműködése kell legyen a vállalata működésében. Ezek számosak, fontosak is, de a vagyon az nem hozzájuk koncentrálódik, hanem a nagyokhoz. A részvénytársaságok esetében a tulajdonosi (szavazati) jogok sok részvényes között oszlanak meg. Nem arról van szó, hogy a vezetés nem irányít, hanem arról, hogy a tulajdonos a vezetést szakemberekre, technokratákra bízza. A részvényesek általában komoly előterjesztéseket szavaznak meg anélkül, hogy elolvasnák a határozatokat, ha a kaja és a pia elég és jó minőségű a közgyűlésen. És büszkén vagdossák a szelvényeiket. Ez a dolguk ui.

Nem keverek ide semmilyen pici cégecskét. 

Semmilyen cég irányítása nem úgy megy, hogy teljesen szabad keze lenne a vezetésnek. Végső soron mindig a tulajdonosé a legfőbb döntési jog. 
Az a tulajdonos, amelyik nem vigyáz a tulajdonára, szimplán hülye.
A részvényeseket is részletesen tájékoztatni kell, készíteni kell beszámolókat. És a részvényesek is kérhetnek változtatást. Persze nem 1 részvénnyel kis pista, hanem valamekkora tulajdonrész támogatásával. 
Még ha revoluton keresztül vagyok tulajdonos komolyabb cégben, akkor is kapok elérést felülethez, amin keresztül akár én is küldhetek be kérdést és ha elég sok részvényarány támogatja, akkor fel is teszik.

Felügyelőbizottsági tagok változásáról is szokott lenni például szavazás. De akár ki is lehet rúgni embereket, ha elég súlyú részvény támogatja.

Értem én, csak jelzem, hogy a pénzügyi vagyon 95%-a a világban olyan részvénytársaságok kezében van, ahol a tulajdonosoknak többszáz éve semmilyen valós beleszólásuk nincsen a cégük működésébe, nem is igényelnek ilyet, mert nem is értenék, hogy nekik mi közük a döntésekhez, semmiféle személyes közreműködésük nincsen a cég működésében mert azt várják el, hogy a részvényeik értéke és hozama nőjön. Ha nem nő, eladják a tulajdoni hányadukat a tőzsdén. Amiről te beszélsz az az a speciális helyzet, amikor a tulajdonosnak személyes közreműködése is van a vállalkozásban. ami már két tulajdonos esetén is bonyolult helyzeteket teremt és csak a KKV-k esetében jellemző. Kivételek vannak. 

Mármint te azt hiszed, hogy nem szólnak bele és ezt valami kis részvényesi yolo szemléletre alapozod.

Közben az alapok, akik sokszor nagy mennyiségben birtokolnak részvényeket, rendszeresen próbálnak belszólni a cégek működésébe. Általában sikerrel, ha nincs szervezett összefogás és kellő részvénymennyiség más kézben.
Egyébként erre valóban nem sok rálátásod lehet, ha nem birtokolsz részvényeket. Néhány cég kivételével ez teljesen láthatatlan, mert nem szól róla a média. Ha tulajdonos vagy, akkor kapsz direktben információt. Külső érdeklődőként aktívan elő kell keresni.

És persze valóban léteznek cégek, ahol a vannak szavazati joggal nem rendelkező fajta részvények is, ahol csak tőzsdézhetsz, de nincs jogod beleszólni.

A részvényhez fűződő jogaidat, amiket senki nem von kétségbe, feldighatod a seggedbe, hacsak nem birtokolsz alkalmas pakkot, ami már nem fér el benne. Persze szerezhetsz magadnak döntésre alkalmas tulajdoni hányadot (pontosabban szavazati jogot), de ahhoz komoly részvénytársaságok esetében komoly tőke kell és ha akkora tőkéd lenne, amivel ezt megtehetnéd, akkor eszed ágában nem lenne saját magadnak ugrálni vele. Keresnél rá alkalmas hozzáértőket, különben hamar visszaülhetnél a Bentley Turbóból a régijó Dáciába. A rossz hírem az, hogy a befektetési alapok, magántőke alapok döntéseit is technokratákra bízzák, azokban sem a tulajdonosok hozzák a döntéseket, mert a tulajdonosoknak több eszük van annál, hogy maguk okoskodjanak ahelyett, hogy a pénzüket szakemberekre bíznák. Kivételek vannak. Nem akarlak elkeseríteni, de ahhoz, hogy ilyen helyzetbe kerülj, általában véve nulla esélyed van. Nem a szavazati jog a kérdés, hanem az irányítási jog, az pedig a világban a tulajdonosok messze túlnyomó többségének nincsen és ez nem is hiányzik nekik.

Elvégre a tulajdonos kockáztatja a pénzét. > oooo... nem. :) hacsak nem E. V. (vagy azzal egyenerteku), aki az egesz vagyonaval felel a tetteiert... :) ha a csalok kivittek a penzt a bankbol, azzal a tulajdonos mar nem (sem) rendelkezik. :) a maganvagyona meg - by default - tabu.

ha bedolt az mbh, elment a love, akkor nalad senki semmilyen formaban nem tud reszaranyosan erdeket ervenyesiteni, akkor sem, ha a dontesed (mert mondjuk szavaztal a reszvenyesek foruman) vegett tortent a kar. szemben egy ev-vel, aki mindenevel felel a tetteiert.
de ha nem erted, akkor mindegy is :)

ugyanez igaz a kifizetett osztalekokra, fizetesekre, premiumokra, whatever is! mivel attol kezdve elvesztette ceges jelleget... :)

kockazat nelkul nincs uzlet, en arrol beszelek, hogy ki mekkorat kockaztat, miert- es mivel felel, mikor el lett szabva valami.

Így van. Felelsz mindenért. saját magad látod hasznát, ha jó helyre teszed a pénzed és saját magad bukod el, ha rosszul bánsz a saját kis kapáddal vagy rossz helyre teszed a megtakarításaidat. Felelősség nélkül még levegőt sem tudsz venni, persze törekedni lehet, hogy ez sikerüljön, van akinek 3-4 percig is megy.

Elvileg lehet korlátlan vagyoni felelősség, pl. büntető ügyekben, szándékosság vagy azzal egyenértékű gondatlanság esetén (az MBH informatikusainak esete szerintem ez) vagy Bt tagjainál. A jog és a jog érvényesíthetősége külön dolog, az ember a jogot nem azért veszi komolyan, mert felelősségre vonhatják, ha nem teszi, hanem azért, mert a jogot mint jelenséget alapműveltségénél fogva fontosnak tartja. Amiből nyilván csak egyfajta értelmiségi igényesség következik, ami levethető, eldobható és semmiben nem korlátozza a huncutok számát. Csak van.

Már ott, ahol van.

Ha tudom, hogy szar, akkor jelzem a közvetlen főnökömnek, hogy nem értek egyet vele. Aztán hogy ő úgy dönt, hogy szerinte nem szar, vagy szar, de meg kell csinálni, akkor megcsinálom. Aztán hogy ő ezt felfelé is jelzi, vagy eladja, hogy kész, azzal úgyse tudok mit tenni (legfeljebb időről időre megemlítem, hogy még mindig szar).

Így van, nálam legyen meg az e-mail amiben ezt írásosan jeleztem.
Ezzel én minden lehetőt megtettem, téma lezárva.

Majd ha a szőnyeg szélére állítanak akkor előhúzom (vagy nem) az adott e-mailt. 
Ha nem húzom elő akkor a főnök "jön nekem eggyel" - és ezt mindketten tudjuk.

zászló, zászló, szív

Nem ér, te már nyugdíjas vagy, tapasztalatból beszélsz, nem a levegőbe.  ;^)

Pont az a problémám, amikor az általad bemutatott gyakorlat hiányzik. Általában mindent reszelni kell, a folyamatban egyeztetések folynak, viták, érvek, ismeretek, tapasztalatok és a végén kialakulnak kompromisszumok, amik optimálishoz közeli állapotot hoznak. Ehhez nem elég a főnökre és a körülmények kényszerítő erejére utalgatni, hanem ehhez a munkavállaló kreativitása kell. Azt pedig nem lehet fölülről elrendelni, maximum kiölni lehet a dolgozóból. Annak bukta lesz a vége.

Én ezt a gyakorlatot követtem, amikor dolgoztam. Lehet, hogy szerencsém volt, a főnökeim az ellenvetéseket nem sértésként, akadékoskodásként kezelték, így szakmai téren maradtak a viták. És igen, volt, hogy az volt a válasz, hogy tisztában van vele, hogy nem az igazi, és látja a megoldás hátrányait, de nem képes jobb megoldást kialkudni. Ezt meg én kellett, hogy elfogadjam.

https://hup.hu/comment/3197076#comment-3197076

Azt persze nem tudom, hogy konkrétan Mészáros mondta-e az IT-soknak, hogy muszáj ilyen trógerül megcsinálni az integrációt, vagy ez már inkább a köztes rétegek felelőssége. Hacsak nem úgy volt, hogy Lölő ellopta az egységes frontendet is.

Magyar bank: bank.gov.hu

De ezzel még mindig ugyanaz a gond, hogy semennyit nem használ ez ellen a támadási vektor ellen. Már most is tudnia kellene az ügyfélnek, hogy az MBH-s netbankja "mbhbank.hu"-ra végződik, mégis beszopja az olyanokat, hogy '"mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk"

Igen, ez necces. Edukáció kéne a propaganda helyett. Azért aki "mbh-igazi-netbank.258914.áÉÍÓőÚű.com.org.tk" ezt beszopja ott baj van a toronyban, meg az edukáció hiánya is egyben. Ha nem mbh.gov.hu akkor meg se jelenik, az agymosó gépekben (TV) meg tolni, hogy a bank, nav, egyéb lehúzós szervek *.gov.hu

https://www.esp8266.org/

Ha a felhasználó linkre kattint, akkor nem tudod teljességgel kivédeni. Lásd hasonló karakterek, ahogy itt a példában volt gov vs qov, vagy bank vs. bauk. És akkor még az eltérő karakterkészletek ugyanúgy kinéző karaktereiről szó sem volt. Meg kell tanítani mindenkit, hogy a böngészőbe be kell gépelni a helyes nevet (vagy bookmarkolni egyszer, és azt használni).

( n.balazs v | 2025. 06. 20., p – 10:58 )

<Troll on> Nem vagy te rokonságban véletlenül kikepzo fórumtárssal? Picit hajaz a stílusod az övére. <Troll off>

( n.balazs v | 2025. 06. 20., p – 11:03 )

Szerkesztve: 2025. 06. 20., p – 11:05

Teljesen vakvágányon futsz véleményem szerint.

1. Weblapot csinálni pár óra (kis túlzással).
2. Bárki csinálhat weblapot.
3. Bárki regisztrálhat domaint. Szinte (pár kivétellel) bármilyet, ami szabad. UTF-8 is megengedett már.
4. DV SSL tanúsítványt szerezni 5 perces meló.
5. CF-t (bármilyen CDN-t) szinte bárki használhat, mindenkinek elérhető.

Szóval eső után köpönyeg....

Megjegyzem: Van megoldás. Csak akkor ~15-20 évet visszarepülünk az időben.

De miért kellene gov.hu alá tenni az MBH bank weboldalát, mikor a gov.hu az állami intézmények tartománya? Tudtommal az MBH Bank nem állami...

Sokkal egyszerűbb (és helyénvalóbb) lenne valami törvénnyel az MBH-t kötelezni, hogy a többi bankhoz hasonlóan megbízható második faktoros azonosítást vezessen be a mostani kikerülhető helyett...

De miért kellene gov.hu alá tenni az MBH bank weboldalát, mikor a gov.hu az állami intézmények tartománya? Tudtommal az MBH Bank nem állami...

Mert a gov.hu domain alá tartozó regisztráció sokkal egyszerűbben kontrollálható, mint a .bank domainé.

Sokkal egyszerűbb (és helyénvalóbb) lenne valami törvénnyel az MBH-t kötelezni, hogy a többi bankhoz hasonlóan megbízható második faktoros azonosítást vezessen be a mostani kikerülhető helyett...

A hírek szerint a huncutság a világban nem egyedül csak az MBH bankot veszélyezteti.

Bár alapvetően én nem lennék ellene .bank domainnek, de őszintén szólva az elég concerning, hogy odamész az ftdl oldalára, és nincs egy member lista. Az abouton vannak páran, akik belepofpof valami advisory boardon, az is olyan kicsit érdekes. Benne van az ebf, mint európa, meg láthatólag még mindenféle random amcsi bankok. Nem lehetetlen, hogy jobb (lenne, ideálisabb körülmények között) ezt tényleg nagyobb kontroll alatt tudni tartani.

Meg hát, ha már arra verik, hogy ez itt a secu kánaán "Our mission is to offer these industry created and governed domains to shield against cyberattacks and fraud, delivering peace of mind with website and email security. We’re not just a domain registry operator, we’re your partner in achieving top-tier domain security.", szóval ahhoz képest a secu requirements, hát, nem tűnik annyira agyoncizelláltnak...

Mi van azzal? Egyrészt nem nagyon értem ezt a dolgot a gov.hu domainnel, hogy miért lennének a bankok alatta. Ott állami dolgok vannak (és hagyjuk is, hogy miért kell gov-nak hívni...)

Egyébként egy linkgyüjtemény? Egyrészt minek, mi lesz attól jobb? Akinek eddig minimális igénye volt rá, az reálisan most is tudta, hogy mi a bankja urlje, nem ez volt a baj forrása.

Másrészt én nem gondolom, hogy állambácsinak dolga volna ilyen operatív szinten belefolyni akármibe is. Neki az a dolga, hogy a szabályozás jó legyen, nem az, hogy random változásnál valami bürökratával kelljen levelezgetni. Nyilván vannak adminisztratív feladatok, de azokat is ált. szerencsésebb kiszervezni. Ha lenne bank.hu, vagy valami, nyugodtan oda lehet adni az isztnek, ahogy a többi domaint is (nyilván a megfelelő elvárások felállítása mellett). 

Tehát van egyetlen! hivatalos! oldal, amelyen a banki oldalak linkjei vannak. És ezt az egyetlen! hivatalos oldalt kommunikálják f-szom tudja, mondjuk hetekig mindenféle médiában: márminthogy ha be akarsz lépni a bankodba akkor csakis és csakis abmeg.bank.hu oldalra menj! He nem onnan indulsz ellopják nemcsak a pénzedet, de a házadat is!

Nem ertem, hogy ez hogyan fogja megoldani a problemat. Ha letrejon ez az egy igaz oldal, akkor hogyan akarod azt megoldani, ha mancika a keresobe beirja, hogy "abmeg bank be akarok lepni" majd elmegy az abmeg.bank.nu cimre? Ahova ki lesz irva, hogy megnyugodhat, jo helyen jar, ez az egy igaz banki gyujtooldal, innen nem fogjak ellopni a penzet. 

Ezzel a megoldassal csak a scammereket segited. Mert, most ugy hiszem, hogy nem talal be a scam, ha pl. az ugyfelnek nincs olyan bankszamlaja, amit a csalo marketingel. Ha viszont eleg lesz az 1 igaz gyujtooldalt lemasolni, akkor aki eddig nem kattintott az mbh scamra, mert a raiffaisennel bankol, az ezek utan bepalizhatova valik es sajat maga fogja kivalasztani azt az oldalt, amivel le szeretne magat sz...tni. 

Talán nem voltam érthető: ezt az egy kib. címet harsogja az összes média heteken keresztül és a tv reklámok, fszom tudja hol még. Tehát ha csak ez az egy hiteles cím van, akkor ne a keresőbe írja be, hogy "én nem értek hozzá, de be akarok lépni", hanem ha kb. 2 hét folyamatos, mindenhonnan áradó kommunikáció után sem érti meg, hogy mit írjon és hova: akkor meg is érdemli!

Ezért nyilvános akasztás járna a böngészőgyártóknak. Régen volt a keresőmező és az URL-hez az input mező. Aztán meginnoválták, hogy ha valami nem szabályos URL, akkor azt átdobják a keresőnek paraméterül, mert keresni kell. Innentől a felhasználónak nyilvánvaló, hogy amit oda beír, abból keresés lesz, rákattint az első találatra, ami phishing, és készen is vagyunk, mint a házi feladat. A felhasználó elől el lett fedve a keresendő kifejezés és az URL közötti különbség.

Kicsit ahhoz hasonlatos, mint a Windows Intézőben az ismert filetípusok kiterjesztésének eltüntetése, ami aztán melegágya lett a trojan.docx.exe file-ok elterjedésének. Ezért is járna egy nagy pofon az MS-nek.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Amúgy egyébként a böngészőket is megtoszhatnák egy fordítva felhelyezett ananásszal...

Kifejezetten bosszantó, hogy önhatalmúan átcserélgeti a http-t a https-re, bár ez még technikailag akár indokolható is az amatőrök védelmével.
De hogy a www.lófaszt önhatalmúlag átcseréli lófaszra, ha a www valamiért nem működik. És emellett a rohadék a valós és működő www.lófasznál elrejti a címsorból a www-t.

A napokban kért segítséget egyik kollegina, hogy nála a partner weblapja nem tölt be, hanem helyette figyelmeztetést mutat. A vírusírtó proxy-zik és és eltérítette az oldalt figyelmeztetésre. Na mondom ránézek már másik gépen is, mert van hogy fals pozitívan hisztizik valami lista alapján némelyik blokkoló. Hát nálam bejön és minden okés. De miért is hisztizik a másik gépen... hát azt mondja kinyitva a figyelmeztető oldal részleteit, hogy hibás a cert. 
Mondom oké, de nálam jó a cert. Aztán a címsorban kattintgatva látom, hogy nála www cím van, csak nem írja ki a tetves böngésző, hanem elrejti. 

Így a valós probléma az volt, hogy a lófaszra szóló certet a www.lófaszra is ráteszik az oldalon, és nem wildcart certet használnak erre. Valsz inkompetens az ottani beállító, de valsz észre sem veszik, ahogy www-s címüket kiküldik, mert a legtöbb embernél nincs olyan program feltéve, ami hisztis oldalra téríti el, hanem a böngésző önhatalmúan átugrik a www nélkülire.

" és nem wildcart certet használnak erre. Valsz inkompetens az ottani beállító, de valsz észre sem veszik,"

Abban, hogy inkompetesn valaki, teljesen igazad van, erre a normális megoldás a certificate request generálásakor a SAN mezőbe felvenni mindkét (illetve az összes) nevet, ahogy a szervert meg lehet szólítani: ha olyan a DNS beállítás, akkor igen, a domainamivanponthu és a www.domainaivanponthu kerüljön bele a SAN-ba, a CN meg legyen mondjuk a www-s.

Ennek semmi értelme :) Cserébe beteszel egy plusz banktól független szereplőt, annak mindenféle műszaki és trust kockázatával, (én pl erős visszaesésnek élném meg, ha állam bácsi kezében levő weboldalon kellene magadnom a banki azonosító adataimat. Ebből a szempontból még a DÁPos auth se valami jó)

Eddig is minden bank kommunikálta, hogy mi az url, aki erre figyel, az nyilván* nem szopik be ilyet. Aki beszopik egy ilyet, hogy mhb-netbank.com, annak ez nem segít. Olyan kellene, ami erősen tud villogni, hogy bazmeg bajvan. És ennek egyébként csak ilyen félmegoldása, ha megtanulja mindenki, hogy ami nem akarmi.bank vagy akarmi.bank.hu az szar, mert ugye lásd példa. És az meg, hogy hogyan lehetne pirosan villogni nem bankos oldalon, az nem tiszta.

*hacsak nem nagyon trükkösek barátaink, és valami hülye utf-8 charral csinálnak domain spoofingot, de ez nem jellemző, egyébként imho pont azért, mert a .hu-n esélyesen fennakadna, vagy csak mert lassú a folyamat :)

Egyrészt állambácsi igen, random +12 üzemeltető nem. Másrészt messze nem olyan részleteiben, mint a netbankom (nyilván, lenne az a törvényi lehetőség, amivel igen)

Harmadrészt ja, semmi köze... Csak ugye, ha ő adja az authot, akkor technikailag igen könnyen tud én lenni a bank számára.

Az államnak nem. A bankok felügyeleti szervének (MNB) már inkább. Államnak legfeljebb a szabályozás létrehozása (törvényalkotás, akár bele is lehetne foglalni a hitelintézeti törvénybe). A domaint pedig adminisztratív oldalról oda lehetne adni a Bankszövetségnek, ők dönthetnének arról, hogy ki és milyen subdomaint kaphat, illetve a subdomain megszüntetéséről, és az ISZT lenne a technikai végrehajtó.

Vannak olyan dolgok, amiben az állam nem csak szabályoz, hanem kötelezően operatív cselekményeket is végre kell hajtson. Ilyenek pl. a jogérvényesítés, bűncselekmények felderítése, megelőzése, nemzetvédelem, közegészségügy, járványvédelem, közrend védelme vagy hogy pénzügyi természetű példát is hozzak, ilyen az adó végrehajtás vagy akár a te saját adóbevallásod elkészítése is. Az állam ma már mindent lát rólad, akár tetszik neked, akár nem. Itt a kérdés nem a divatos liberális szabadságfelfogás érvényesülése, mert azt már régen sehol sem veszik számba, hanem a "need-to-know" pragmatikuma. Ha az állam úgy gondolja, hogy neki szüksége van arra, hogy a te bankszámládról, kinek, mikor, mire mennyit fizettél, akkor az állam ezt meg fogja tudni és ha a szükség olyan mértékű, akkor akkor is meg fogja tudni, hogy miből és mire költesz, ha nincs is bankszámlád. A reggeli első vizeleted cukortartalmát is ismerik, ha az ismeret valahol szükségesnek tűnik. A "need-to-know" az egyetlen korlát, persze az "állam" itt a legkevésbé a magyar államot jelenti (de azt is), hanem más államok Staatsrezonja játszik, vagy az unióé vagy Kínáé vagy Marikáé, mikor, miért, melyik. Ha éppenséggel a pógár azt tapasztalja, hogy az internetes banki visszaélések elszaporodtak, akkor ehhez alkalmazkodó jogszabályi, ellenőrzési és megelőzési teendőket a jól működő állam köteles megtenni, sőt, tennie kell annak érdekében is, hogy az ilyesmivel foglalatoskodó huncut tevékenységek ne legyenek sikeresek, az elkövetőit pedig kenyéren és vízen tartsák talpig vasban Kufstein magos várában, rongy életük végéig. Ez a látszat ellenére semmilyen liberális szabadságjogot nem sért hanem éppen ellenkezőleg, ez a képviseleti liberális demokrácia sok évszázados működésének látható, sok helyen már kézzel is fogható vívmánya. Csak ugye van az a pénz, amivel ártatlan vagy jól megfizetett ideologikus ellenszegülőket lehet gyártani ez ellen, akik elviszik a figyelmet a jelenségről és helyette valamiféle ál-szabadságot gondolnak népszerűsíteni. Ezek fő jellemzője hogy pl. oltásellenesek, de nem akarnak feketehimlőben elpusztulni, tudományellenesek, de sosem mondanának le a saját ingyenes egészségügyi ellátásukról és a "jogom van hozzá" fordulatot ismételgetik, de véletlenül sem Brooklynban egy szűk sikátorban megkéselve, hanem fényes nappal az Andrássy úton.

Jól mondod:  Ha éppenséggel a pógár azt tapasztalja, hogy az internetes banki visszaélések elszaporodtak, akkor ehhez alkalmazkodó jogszabályi, ellenőrzési és megelőzési teendőket a jól működő állam köteles megtenni.

Ez a jogszabályi teendő, amely megteremti ennek a kereteit. Az ellenőrzési és megelőzési teendőket pedig jogszabályi szinten delegálnia kell megfelelő szakmai szervezethez. MNB, Bankszövetség. Erre van.

Örülök a nagy bizalomnak, amit ezek iránt tanusítasz (kiválóan működő MNB, az ügyfelek érdekeire odaadó figyelemmel vigyázó bankszövetség) de mintha épp ez iránt a két intézmény iránt zakkant volna az utóbbi időben a pógár hite. Miközben a NISZ pl. viszonylag korszerű optimumokat produkál az állam nevében (NAV, DÁP, ÜK+ stb.). És itt szerintem legkevésbé szakmai normákra van szükség, ide nagy pénzzel felkészült, szervezett szakértők kellenek, akik leszarják a félművelt budapesti informatikai értelmiség általunk mindannyiunk által idetett ócska sirámait és hatékonyan fognak nagy kárt okozó bűnözőket. Ennek az alternatívája a szilárd elvi alapon álló oltásellenes szabadságharcosok tömege, "hadd hulljon a férgese" alapon, mert "a demokrácia majd megoldja a problémát" (értsd: amint mindenkinek lerabolták már a bankszámláját).

Ó, én alapvetően nem azért gondolom ezt, mert akkora szabadságharcos volnék (bár az összefüggés a kettő között korántsem ennyire egyértelmű, mint ahogy mondod, minden éremnek két oldala van, de az kétségtelen tény, hogy eleve "rossz felé lejt a pálya", a valós / vélt biztonsági benefitért bizony potenciálisan rosszul is tartható dolgokra cserélünk már most is.

De inkább abból az irányból, hogy az állam apparátus jellemzően nem túl jó gazda, általában jobb lesz a dolgok menete, ha egy adott téma szereplői maguk teszik a dolgokat, a megfelelő keretek között. És természetesen nem mind ilyen, és természetesen vannak operatív feladatai, de azért te is érzed, hogy az egy egész más szint, amiket felsoroltál, mint az, hogy most otp-bank.bank.hu, otp.bank.hu, vagy optbank.bank.hu lehet, meg landing page registration, meg a fene tudja még mi.

Ó, hát az "állam rossz tulajdonos" szlogen szerintem már lejárt, ez csak nálunk volt olyan erősen szabaddemokratailag begyökereztetve, amikor a rosszul működő hazai állami cégeinket ezzel a biztató érveléssel adtuk el jól működő külföldi állami cégeknek. Itt szerintem nem az ideológia számít, hanem a hatékony bűnüldözés, amihez felkészültség, rengetegsok pénz és alkalmas hatáskör kell, hogy mondjuk a huncut fülét fizikailag is meg lehessen ragadni, amint rátörték a házára a tölgyfaajtót és kirúgták a segge alól a gamerfoteljét. Nekem az előbb említett DÁP, NAV pl. azt mutatja, hogy jó helyen lenne ez a feladat az állam kezében, sőt, sürgősen oda kellene delegálni.

Nem tudom mit jelent a klasszikus államapparátus, feltételezem, hogy a kormánytól függő szervezeti elemek nálad a klasszikusok. Szerintem ami nincs magántulajdonban és nincs rá a profitérdeknek közvetlen befolyása, az állami (vagy önkormányzati) szervezet. A lényeg a pénz, amit a magántőke erre a célra nem fog előteremteni és a hatáskör, ami önképzőköröknek, nyugdíjaskluboknak és egyesületeknek aligha biztosítható. Hogy aztán az állami szerepvállalás szerintem nyilvánvaló szükségessége a rendőrséget teszi-e a legalkalmasabb informatikai hatósággá a bankszámláink védelmében, azt nem tudom, de elfogadom, mert a végén bizonyára valamit kell majd kezdeni a huncut fülével, ha sikerült már elkapni. Ne érts félre, nem akarlak meggyőzni, csak nem tartom racionálisnak, hogy könyökvédős tisztviselők vagy gittegyletek fognak nyerni ezek ellen a gazemberek ellen.

Elutasítod az MNB-t, pedig az sincs magántulajdonban, nincs rá a profitérdeknek közvetlen befolyása, mellesleg feladatkör szerint többek közt a bankok felügyeleti szerve, tehát az a feladata, hogy szabályozzon, ellenőrizzen. Elutasítod a Bankszövetséget, pedig nincs magántulajdonban, nincs rá a profitérdekeknek közvetlen befolyása, és igazából pont azért, mert banki ügyekről van szó, ők illetékesek abban, hogy megállapítsák, hogy adott szervezet banknak minősül, és helye van a .bank.hu domain alatt.

Helyette preferálod a NISZ-t, mer lám, a DÁP milyen kurva jó. (nem biztos, hogy a lehető legjobb, de hagyjuk, ráadásul ők csak üzemeltetik, nem fejlesztik) Szóval egyik sem közvetlen államapparátus, ilyen szempontból nincs is különbség köztük.

A rendőrség fellépése adott, nekik van nyomozati jogkörük és törvény által biztosított lehetőségük akár erőszakos fellépésre. Ez nem feltétlen könyökvédős tisztviselőket jelent, lehet nekik akár olyan részlegük is (szerintem van), amely informatikai biztonsági kérdésekben is otthon van (ha meg nincs, akkor legyen).

De miért ragaszkodunk a gov.hu-hoz? Egy tollvonásba kerülne kijelölni egy másik, második szintű domaint, amit aztán az MNB-hez lehetne delegálni. Éjfélre már benne lehetne a közlönyben. Engedjük már el ezt a gov.hu-kérdést. :)

A gov.hu semmilyen értelemben nem speciális technikailag, azon kívül legalábbis, hogy az ISZT helyett a NISZ-hez van delegálva, ők meg nem engedik oda a usereket.

( denton | 2025. 06. 20., p – 17:10 )

Engem nem akar beengedni a usernevemmel és jelszavammal. 

 

Igaz nem vagyok mbh-s.

( BehringerZoltan | 2025. 06. 20., p – 18:13 )

Szerkesztve: 2025. 06. 20., p – 18:15

Tök egyszerű a megoldás: minden ilyen esetben a bank felel a csalással bekövetkezett kárért. Kész! Semmi más szabályozással, rabló-pandur játékkal nem kell foglalkoznia a törvényhozónak. Akkor a bankok hirtelen ki tudjak majd találni, h működhet ez biztonságosan. Inernetes felüetet működtet a bank? Oké, lehet. nem tilos, de ővé a felelősség! Hajrá! Nem tud biztonságosan internetes felületet működtetni? Oké, akkor nyisson elég fiókot ahol az ügyfelek intézhetik a dolgaikat! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Erre az esetre lenne akkor egy kötelező szerződés forma Darwin-dij néven. Itt, vagyis ha a bank úgy nyilatkozik, h ő nem hajlnadó felelősséget vállalni az internetes felület biztonságos működtetéséért, és ennek ismeretében a tisztelt ügyfél mégis úgy nyilatkozik, h az internetes felületet akarja igénybe venni, akkor ebben az esetben kell ezt Darwinn-Dij szerződést megkötniük. Ilyenkor minden felelősség az ügyfélé, de az otthona kényelméből intézheti az ügyeit. 

Tehát akkor úgy módosul, h banknak nyilatkozni kell a felügyelet felé, h ő nem vállalja a felelősséget internetes felület működtetéséből beálló károkért. Ez esetben kizárólag Darwin Dij szerződéssel rendelkező ügyfeleknek biztosíthatja a szolgáltatást on-line. Mindenki másnak a bankfiókban. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Zolika! Szerintem már leírtuik neked párszor, hogy a bank a _saját_ weboldala kapcsán tud bármilyen felelősséget vállalni, a _másolását_ qrvára nem tudja megakadályozni... A darwin-díj meg ugye arról szól, hogy valaki a saját khm. "hibájából" nem fogja tudni az örökítőanyagát továbbadni. 

Csak az nem a bank hatásköre h megállapítsa, h miért kell felelősséget vállania, hanem a jogalkotóé! Nem elégséges a saját weboldalért vállalt felelősség, hanem az egész rendszerért kell vállalnia a felelősséget, ide értve a kamu oldalak kiszűrésétől kezdve mindent. De nem gond ha nem tudja vállalni!Akkor nyilatkozzon erről! Ez esetben lesz költsége a nagyszámú bank fiók létrehozásával ahol az ügyfelek intézhetik a dolgaikat és  nem folytathat online szolgáltatást kizárólag a Darwin Dijas szerződöttek részre, és ezzel majd versenyhátrányba kerül, azon bankkal szemben aki hajlandó felelősséget vállalni.

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

ide értve a kamu oldalak kiszűrésétől kezdve mindent

Ha lenne valami halvány fogalmad az Internet működéséről, akkor nem írnál ekkora baromságokat, már sokadszorra. Nem kell szépíteni a dolgot: a felelős a legtöbb esetben az egybites felhasználó! Fogalma sincs mi hogyan működik, de neki "joga van" mindent használni. Nos, akkor az ő felelőssége a károkozás is, pont. Nem kötelező a digitális platformot használni, lehet menni személyesen is a bankfiókba ügyeket intézni. Ha valaki annyira láma az ilyen dolgokhoz hogy nem tud felismerni egy adathalász e-mail üzenetet / weboldalt, akkor neki nincs keresnivalója internetbankban! Ez ilyen egyszerű.

MBH-s vagyok, valamit intéznem kellett. Bementem a legközelebbi bankfiókba, örömmel láttam, hogy alig van 1-2 ügyfél. Húztam sorszámot. 2 ügyintéző volt, gondoltam elintézik az előttem levőt, és én jövök. Az egyik ügyintéző felállt, elment ebédelni (mivel úgyis alig volt várakozó ügyfél). A másik viszont kifogott egy problémás ügyfelet, akivel sok papírt elolvastatott és átbeszélt, aláiratott, lemásolt, beszkennelt. Láthatóan mindketten élvezték. Végül már úgy gondoltam, nem hagyom veszni a várakozással eltöltött időt, nem lehet sok hátra. Aztán visszajött a kolléga az ebédből, de nem fogadott ügyfelet, valami más dolga akadhatott. Végre egy óra után sorra kerültem. Az ügyintéző első kérdése az volt: ön volt BB-s vagy Takarékbankos ügyfél? Mert itt csak a volt BB-sekkel foglakozunk. Én pont a másik vagyok, szóval így jártam.  Az én típusú fiókom nincs a kerületben, ahol lakom. Régi szép OTP-s idők, amikor a Nyugati (akkor még Marx) téri fiókban egy, max másfél óra várakozás után elintézték, amit akartál.

Ha mindenki csak úgy használhatna bármit, úgy kommunikálhatna bárhol az online térben is, hogy fizikailag rá van kötve az identitás ellenrőző készüléke, akkor talán kevesebb esély lenne csalásokra.
De a totális megfigyelést és kontrolt általában nem akarjuk. Mert valaki mindig visszaél vele.

Általában valami kompromisszum születik a költség, korlátozás és cél elérése közt. 100% nem biztosítható reálisan sosem.

Mindenki tudja h ez egy baromság! És egyetlen célja van csak, h a felelősség kérdését áttolja az ügyfélre. Nem baszki, nem az ügyfeleket kell nevelni, hanem olyan szolgáltatást kell nyújtani ami biztonságos és ezért felelősséget kell vállani!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nos van olyan gépjárművédelmi rendszert áruló szolgáltató, aki lopás esetére teljes felelősséget vállal és megtéríti a gépjármű árát - bár a tolvajok aligha vannak a felügyelete alatt. A mocsok bankokból az emberek egyből kivennék a pénzüket, ha a Kormány ami bankkartel része nem gondoskodna arról h kp felvételt olyan mértékben szankcionálja, h kénytelenek legyenek az ügyfelek a bankokban hagyni a pénzüket. Bár sztem érdemes elgondolkodni rajta, h inkább megéri bebukni a 2%ot és biztonságban tudni a pénzt a párnába varrva, mint a csaló bank gondjára bízva hagyni!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Úgy érted a tolvaj csinál a cég eredeti műhelyével teljesen megegyezőt, majd hivatalos úton behív, hogy szerviíz/upgrade szükségesés akkor ott átadom neki kulcsot? Mert h ez egyébként teljesen életszerű, h szervizben hagyott kocsival  a kulcsot is ott hagyom. Szerintem ez a cég ad magára annyit, h ilyen esetben is jótálljon. Neki többet ér a "jó híre" ennél. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szerintem ez a cég ad magára annyit, h ilyen esetben is jótálljon.

Én nagyon meglepődnék, ha így lenne, de nézzük meg. Melyik cég ez?

Casco-nál is, ha bejelented a lopást, úgy kezdődik az ügyintézés, hogy 2 db kulcsot és 1 db forgalmit tegyél le az asztalra, egyébként mehetsz a sóhivatalba.

Felteszem minden nyitás-zárás, indítás naplózva van lokálisan és központilag is. A példa - ami analóg a banki csalással - arra vonatkozott, hogy a tulaj abban a tudatban viszi el a szervízbe a kocsit és hagyja ott a kulccsal együtt, h a valódi riasztós cég, valódi szervizébe, valódi szervizelésre kellett bevinnie. És az a kérdés, hogy mit tesz egy olyan cég ami azzal hirdeti magát h az általuk bitosított szolgáltatással védett egyetlen kocsit sem loptak még el, egy olyan szituációval, ahol a tolvajok képesek voltak elhitetni egy kamu szervízről, hogy az a valódi cégé? Szted elkezd jogászkodni és ezzel kockáztatja az újsághíreket v. inkább kicsengeti az ellopott kocsi árát a tulajnak? 
Tehát a példa arra vonatkozik, h piaci alapon az a vérlázító gyakorlat amit a bankok megegednek maguknak nem lenne életképes. Olyan mértékben nem, hogy az emberek egyből kivennék a pénzüket a bankokból ha tehetnék! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

És az a kérdés, hogy mit tesz egy olyan cég ami azzal hirdeti magát h az általuk bitosított szolgáltatással védett egyetlen kocsit sem loptak még el, egy olyan szituációval, ahol a tolvajok képesek voltak elhitetni egy kamu szervízről, hogy az a valódi cégé?

Felteszem, a szerződésben le van írva, hogy az nem számít lopásnak, ha te adod oda a kulcsot. Ugyan ügyvéd nem vagyok, de a leírt szitu jogi értelemben is inkább csalásnak tűnik, mint lopásnak. De mondom, nézzük meg a konkrétumokat, ennek az elméleti vitatkozásnak nem sok értelme van.

Még egyszer: a lopáskár ügyintézése úgy kezdődik, hogy lefotózzák a 2 db kulcsot és a forgalmit egymás mellett. Ha ez nincs meg, akkor alászolgája, nincs kifizetés.

Tehát akkor mégegyszer, akoor úgy vessük fel a dolgot, hogy egy olyna cég ami azzal hirdeti magát, h mág egy kocsit sem loptak el, amit az ő rendszere véd, mekkora blama lenne az olyan sztori, hogy viszont olyan rendszert működtet ami nem zárja ki, hogy egy kamu szervíz el tudha hitetni az ügyfelükkel, h az igazi szervíz, és berendeli magához az ügyfelet majd felszívódik a kocsival együtt?  Ez akkora balam lenne nekik, hogy utána jelentős forgalom visszaesés lenne prognosztizálható. 
Igen, valóban nem vagy ügyvéd, de a baj azzal van, hogy nem akarod megérteni, h piaci alapon a bankok jelenlegi gyakorlata teljes mértékben életképtelen. És a vita arról megy h egy életkptelen gyakorlatban ki terhel a felelősség. Naná h nem az ügyfeleket! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

es? ettol meg semelyik biztositas nem fog fizetni neked, ha ezt tetted... mint irtam is, az rohadt mindegy, hogy kicsaltak, ha te voltal a balfasz es onszantadbol mondtal le a kulcsodrol, aztan aki elvitte az nem hozta vissza. ez ilyen egyszeru. es technikailag sem lopas. amire a biztositas/megoldas szol.

Tehát akkor mégegyszer, akoor úgy vessük fel a dolgot, hogy egy olyna cég ami azzal hirdeti magát, h mág egy kocsit sem loptak el, amit az ő rendszere véd

Szerződésminta nélkül úgy érzem, körbeértünk. Szerintem nincs az a lopásgátló rendszer a világon, ami megvéd attól, hogy önszántadból odaadd valakinek a kulcsot. De ha van, akkor halljuk a nevét, még a végén én is veszek egyet.

> valakinek

Igen kellemetlen, ahogy szándékkal tekintesz el attól, hogy nem általában valakinek van odaadva a kulcs, hanem olyan valakinek aki magát a cég szervízeként igazolta. És így viszont igenis felmerül az a kérdés, hogy a cég mennyiben felelős azért, hogy olyan szolgáltatást nyújt amiben a szervíz hamisítható! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Bocsánat, ha a bank meghatározhatja azon azonosítási jegyek körét amik alapján a csalót tévesen ügyfélként azonosítja, akkor az ügyfél is elvárhatja, hogy azok az azonosítási jegyek amik a bankot felé azonosítják ne legyenek hamisíthatók! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ezt már többen leírták neked is, hogy technikailag nem megoldható.

Egy dolog van, ami nem hamisítható: maga a tanúsítvány. Ezt viszont az ügyfél - főleg, ha technikailag nem  elég képzett - nem tudja ellenőrizni. Megteszi helyette a böngésző persze, de ahhoz az kell, hogy az ügyfél ne a csaló oldalra menjen. És akkor vissza is kanyarodtunk a phishinghez.

Persze az ügyfél sok mindent elvárhat, akár irreális dolgokat is, de az nem fog megvalósulni.

Alapvetően a tanúsítvány egy dolgot biztosít: azt hogy egy adott domain és a felhasználó közötti forgalom titkosított. Semmi mást. 

Ami az igény, az valójában az, hogy a bank oldaláról biztosítva legyen hogy akivel kommunkál, az az, akinek mondja magát, illetve a felhasználó oldaláról az, hogy ha a bankolás célból adja meg az adatait akkor azt ne tudják máshol felhasználni.

Ezt a problémát egy köztes identity provider (pl. DÁP) hibátlanul megoldja.

A bank oldaláról a DÁP rendszerébe bekapcsolódva pontosan tudni fogják hogy a másik fél kicsoda, hiszen megkapják az identitást reprezentáló adatokat a sikeres DÁP belépés után.

A felhasználó pedig biztos lehet abban hogy mivel adott cég esetében egy adott célra ad engedélyt, ezért ez az engedély nem transzferálható ahogy ezt egy ellopott felhasználónév/jelszó/második faktor esetén simán megtörténhet.

"azonosítási jegyek amik a bankot felé azonosítják ne legyenek hamisíthatók"

Fogod a picike plasztiklapot, ami személyi igazolványként funkcionál, besétálsz vele a bankfiókba, a banki oldalon az okmányodat visszaellenőrzik érvényesség/körözési állapot/stb. alapján, hogy valid-e. És meg van oldva a probléma. Ja, mégsem, mert bizony a fizikailag létező okmányokat is hamisítják - igaz, sokkal nehezebb meg drágább, de van ilyenre is példa. 
De hogy jó hírel szolgáljak: a DÁP talán erre is ad megoldást (igen, tudom, mitm, de annak a kivédésére vannak "apró részletek", amik ez ellen "jó közelítéssel" védik ezt a megoldást.)

Hehe, sok éve a tévé ügyvédje műsorban mutattak egy esetet, ahol valakinek a nevében nyitottak számlát és vettek fel hitelt és ott volt az eredeti okmány fénymásolat bizonyítékul, amit ellenőriztek meg minden.
Az volt a szerencséje a palinak, hogy akkoriban változott egy felirat a plasztikkártyán, talán igazolványszámról azonosítóra, és ez az eltérés volt a bizonyíték, hogy az ő saját valódi igazolványa, ami régebben készült, nem ugyanau a valódi, újabb igazolvány, amit az ő adataival és dátumaival állított ki az okmányirodás csaló. Az újabb gyártású plasztikártyára gyártották le a visszadátumozott klón személyit.

A gépjármű nem másolható le, a banki oldal meg igen. Egyébként meg az a "teljes felelősség" akkor áll meg, ha a tulajdonos az elvárható gondossággal jár el úgy egyébként... Tehát a jármű kulcsai nála vannak, a távfelügyeletben a jármű az eltulajdonítás időszakában "lezárt" állapotban volt, stb. 

A példában a banki "weboldal" megfelelője nem a gépjármú, hanem a szervíz. Persze a nehez lemásolhatóság arra is igaz. És pont ez a lényeg. A bank könnyen lemásolható módon nyújttja a szolgáltatását amiért nem hajlnadó felelősséget vállalni. Pedig objektíven felelős az ügyfelek pénzéért.  Kutya kötelessége lenne olyan szolgáltatást biztosítania, ahol a hamisitás/lemásolás nem fordul elő, vagy ha mégis akkor azért vita nélkül jótállni tartozik! És mind ez meg is történne, ha az embereknek lehetőségük lenne kivenni a pénzüket a bankból veszteség nélkül. Bár a banki csalások olyan mértékűvé váltak, h érdemes megfontolni a pénz kivételét a bankból még veszteség árán is! Otthon nagyobb biztonságban lesz! Ráadásul készpénz birtokában a banki szolgáltatások egy részét is le lehet mondani. Az egész abszurd helyzet több összetevőből áll:

  • alapvetően az élő ember informatikai jelekként való és fordítva az informatikai jelek élő emberként való azonosítása hibával terhelt, amiért az ezt alkalmazót terheli a felelősség. Minden ilyen távszerződés és megbízás ezért eredendően csalás;
  • a bankkartel részét képező kormányzat piaci viszonyokat megszüntető intézkedése amivel a bankokba utataltatja egy ország fizetését, majd onnan nem engedi felvenni a kézpénzt további veszteség nélkül;
  • a bank tulajdonosi és vezetőségi körének amoralitása és gátlástalansága továbbá az őket kiszolgáló slepp szintén gazember-pszihéje!

Könnyen belátható h piaci alapon nem életképes egy olyan szolgáltatás, h odaadom valakinek a pénzem, és nem h kamatot nem fizet amiért használja, de amikor visszekérem levon belőle, miközben amíg nála van folyamatos veszélyeztetésnek van kitéve h ellopják, amiért az örző nem hajlandó felelősséget vállalni. Már bocsánat, de ilyen szolgáltatásra nincs szükség! Érdemes lenne végiggondolni miképpen torzultak idáig a dolgok! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Kutya kötelessége lenne olyan szolgáltatást biztosítania, ahol a hamisitás/lemásolás nem fordul elő, vagy ha mégis akkor azért vita nélkül jótállni tartozik!

Ha erre van ötleted, akkor azt semmiképpen ne írd le ide, mert milliárdokat kaszálhatsz vele, ha te csinálod meg elsőként.

Fake szervízt indítani qrva drága, egy megtört wordpress oldalra valahova belapátolni a netbanki felület pontos mását, és utána rávenni a birkákat, hogy ott jelentkezzenek be az szinte ingyen van. 
Bizonyos IQ fölött tiszta sor, hogy a weboldal könnyen másolható, alatta meg... Inkább nem kéne internetet használni....
 

( azbest | 2025. 06. 20., p – 18:20 )

Szerkesztve: 2025. 06. 20., p – 18:29

szóval a lényeg még mindig az, hogy tilcsák be az illegális tevékenységeket.

Kár, hogy pont a bűnözők nem követik a tiltások betartását.

Sajnos mindig oda fut ki minden, hogy a felhasználók tiltakoznak minden bonyolítás ellen és mindent megtesznek azért, hogy hülyeséget csinálhassanak.
Másképpen fogalmazva, a 100-as iq mindig az adott csoporton belül sorbaállított emberk közül a középső képességét jelenti. Ez azt jelenti, hogy a népesség fele hülyébb, mint ő. Már az is kész csoda, hogy a sok törvény, szabály és óvintézkedés miatt nem ölik magukat halálra tömegével a buta viselkedésükkel. Kész csoda, hogy nincs több visszaélés.

( locsemege v | 2025. 06. 20., p – 21:22 )

Bevezetném a kézlevágás intézményét. A végrehajtást pedig a település főterén, nyilvánosan hajtatnám végre. Sokat javítana a helyzeten.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( kila | 2025. 06. 22., v – 10:34 )

Szerkesztve: 2025. 06. 22., v – 10:57

Vannak olyan honlapok, amelyeket az országban működő internet szolgáltatóknak blokkolnia kell (pl. tiltott szerencsejáték stb. miatt). Ezek közé kell felvetetni a csaló oldalakat is. Ez csak a magyar szolgáltatók klienseit védi és ez is szélmalomharc, de az első tudomására jutott csalási esetet követően a banknak kellene (kellett volna eddig is) megharcolnia azt (de gondolom a feljelentést tett ügyfél is el tudja indítani, vagy feljelentéskor hivatalból a hatóság is indíthatná további bűnmegelőzés érdekében).

"a Nemzeti Média- és Hírközlési Hatóság (NMHH) az internetszolgáltatókkal együttműködve üzemeltet egy olyan rendszert, amely az adatbázisába kerülő honlapokat átmeneti jelleggel, vagy végérvényesen elérhetetlenné teszi Magyarországról.

A rendszer szakpolitikai és jogi hátterét korábban már elemeztem. Alapvetően számos bűncselekmény esetén lehetőség van arra, hogy amennyiben a tartalomszolgáltatók arra nem hajlandók, úgy a jogsértőnek vélt tartalmat a bíróságok a jogerős ítélet meghozataláig, ideiglenesen elérhetetlenné tegyék. A jogerőssé váló ítélettel ez az ideiglenes blokkolás – vagy inkább szűrés – megszüntetésre kerül, vagy a bíróság a digitális adattartalom végleges elérhetetlenné tételéről dönt."

https://jogalappal.hu/igy_mukodik_az_internetcenzura_magyarorszagon/
https://sztfh.hu/nyilvantartasok/blokkolt-honlapok/

A dohányipar is vívja a maga szélmalomharcát: "Éjjel-nappal ismeretlen ügyfeleket blokkolnak a magyar hatóságok"
https://mfor.hu/cikkek/makro/webshop-hatosag-hatarozat-ecigi-elfbar-onl…
---
Légy derűs, tégy mindent örömmel!

Nem biztos, hogy a kemény tiltás a cél, hanem az EU-s cenzúra igényeinek kiszolgálása. Akkor eleget tettünk az elvárásoknak, aki pedig meg akarja ezeket nézni, mert érdekli vagy a szakmájához tartozik - elemző, újságíró -, az meg fogja. Tehát elég a hazai szolgáltatók DNS-ében szűrni, a többség úgyis azokat használja. Ha keményebben szűrsz, arra vpn lesz a válasz. Felesleges izmozni.

A magam részéről amúgy sem értek egyet a cenzúrával. Miért ne ismerhetné meg az ember Oroszország álláspontját a háború kérdésében? Ja, mert úgy nehezebb lenne egész Európát beletolni a háborúba ellenük.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Ightorn | 2025. 06. 22., v – 15:32 )

Szerkesztve: 2025. 06. 22., v – 15:48

Rossz az alapfelvetés. Én (mi) sehogy. Megvannak a megfelelő szervek, hatóságok. Jelenteni kell nekik. És a megoldás, ami azonnal működhet:90 körüli IQ (min.) És akkor nem kattingatunk össze-vissza. Ahogy máshol elmondtam, nem hiszem, hogy minden károsult gyengénlátó, halláskárosult, vagy demens lenne. A többség b@szik rá. És még meg is sértődik.

( adhocsupport | 2025. 06. 23., h – 07:27 )

Olvasva a biztonságos BANK-i domain nevekre vonatkozó ötletek, az un. megvalósítás már élőben elérhető. 

.BANK 

CIKK a BANK domain névről https://euroastra.hu/matol-minden-bank-bank-domainon-miert-ne-lenne-tor…

A .BANK TLD-t hivatalosan 2015 májusában indították el. Ekkor vált először elérhetővé, hogy regisztrációs kérelmeket fogadjanak, de csak ellenőrzött, szabályozott pénzügyi intézményektől. Az fTLD székhelye Washington D.C.-ben (USA) található, és a szervezet az ICANN (Internet Corporation for Assigned Names and Numbers) nemzetközi domainrendszer-felügyelete alatt működik.
Az ICANN 2014-ben hagyta jóvá a .BANK TLD létrehozását és delegálását az fTLD részére. Ez az amerikai szervezet így globális jogosultságot kapott a domain kezelésére, nemcsak az USA-ban, hanem világszerte.
 

A user eddig is leszarta, hogy az MBH hivatalos domainje az mbhbank.hu. Ha átrakjuk egy másik domainre, akkor is le fogja szarni, és ugyanúgy megadja az adatait az igazi-mbh-netbank.trust-me-bro.gov.hu.tld.bank.kft.info-n

Erre amíg nem tudtok megoldást, addig felesleges a tld-n pörögni.

A cikkből:

  • Mert a bank .hu végződését bárki le tudja másolni

Ez így hülyeség. Az ismert esetekben éppenséggel nem .hu, hanem .nu, .com és más TLD-k fordultak elő, nem a .hu végződést másolták.

Az meg egy jó kérdés, hogy kötelezheti-e a magyar állam egy amerikai fenntartású domain használatára a magyar bankokat. És ha már felhoztad: a .bank TLD használatának lehetőségéről nyilvánvalóan itt szerezted az információt, minimum egy köszönöm elvárható lett volna.

( kruska v | 2025. 06. 23., h – 13:39 )

– Automata domain-felderítés?
– WHOIS és Certificate Transparency monitorozás?
– Abuse spammelés?
– AI/ML szűrés, crawler, valami home-made vagy létező tool?
– Feketelista, Google/SafeBrowsing, bankszektor közös fellépés?

Az AI/ML szűrés szerintem jó ötlet.

User rendszeresen bankol a böngésző fiókjában. Ha user megnyit egy, az előzményeihez képest tartalmilag (szövegelemekben, akár vizuálisan) hasonló más URL-en figyelő bejelentkező oldalt, akkor a böngésző azonnal dobjon egy nagy pirosat, minimum akkorát, mint amikor hiányzik a HTTPS. Egy AI alapú motornak a hasonlóság felismerése nem lehetne probléma.

Vagy: ha már léteznek desktop/mobil ökoszisztémák, használjuk ki az előnyeit: észre lehetne venni, hogy a belépés/utalás jóváhagyására szolgáló app kezdeményező párja (a támadó által használt desktop app) nem a szokott böngészőprofilból jön, és kérdezzen rá az appban a kód kiadása / belépés jóváhagyása előtt. "Biztos, hogy engedélyezed a hozzáférést az alábbi helyszínen megnyitott bejelentkező oldalnak: Guangzhou, Kínai Népköztársaság?"

Persze privacy szempontból ez sokaknak fájna, de legalább megoldást adna egy bizonyos problémára. 

Igazából még egyszerűbb is lehetne:

1. PCI-DSS-be bekerül, hogy a banki, fintech stb. szolgáltatóknak kötelező a login oldalukat regisztráltatni egy nemzetközi szervezet listájában.

2. A böngészőgyártók ezt a listát beépítik lokálisan a böngészőjükbe (mint a HSTS adatbázist). Ezen lista elemeire rendszeresen generálódhatna egy szövegalapú / vizuális fingerprint.

3. A "hasonló weboldalak detektálása" funkció pedig ebből dolgozna, ezzel hasonlítaná össze az éppen meglátogatott weboldalt, és sikítana, ha az eltérés mértéke elég kicsi.

Ez sem működő megoldás. Ugyanis honnan kéne tudnia a böngészőnek, hogy most a user scammer oldelt néz? Minden lapletöltésnél az összes oldalt össze kéne, hogy hasonlítsa a világ összes bankja összes login oldalával? Lenne vagy 2 perc minden oldalbetöltés. Baromság.

Az kéne még csak, hogy naplózzanak minden kérést hivatalosan is, és valami ismeretlen 3rd party "feldolgozza". Így is tele van spyware-rel minden platform.

Mi lenne, hogy ha magával a problémával foglalkoznánk? учиться, учиться и учиться

Számlanyitásnál kockázatértékelő kérdőív -> aki elbukja, az csak saját felelősségre bankolhat online

>  учиться, учиться и учиться

felelősségáthárítás, felelősságáthárítás és felelősségáthárítás
amit az ügyfelek képzése, vizsgáztatása jelent valójában. A bank tökéletesen megelégedne egy olyan megoldással, hogy az ügyfelek mondjuk elvégezzen egy himi-humi tanfolyamot és akkor megkapják a nagy plecsnit, h hitelesített online banki ügyfelek lehetnek, ami egyben pontosan h számukra nem előnyt hanem jogvesztést jelent. Minthogy a banki-csalók és a banki-védelem macska-egér harcában mindig a csalók vezetnek ezért kimutatható, h nincs olyan tanfolyam ami érdemi védelmet jelentene az ügyfelek számára, miközben a tanfolyam által beálló joghátrány, ha a bank mentesül a kártérítés alól kézzelfogható veszteséget jelent az ügyfelek számára: Azaz rabolják az idejüket, elavult tanannyaggal tömik fejüket, ami zéró védelmet jelent, és még ők érezzék megtisztelve magukat, h online ügyfelek lehetnek, miközben az egész tanolyamosdi valójában arra megy ki, hogy bank mentesüljön a kártérítés alól. Így hát nem! Aki ezt ügyfeleket neveljük mantrát fújja, az a bankok érdekében tevékenykedik gyalázatosan vagy ostobán!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szerinted a banki kártérítések összegét kire fogják ráterhelni? Pont ugyanúgy, mint a devizahiteleknél, vagy a Bróker Marcsinál befeketetők esetében? Ha elég sok fogalmatlan van és nagy a felzúdulás, közvetett módon majd Állam Bácsi besegít. Így végül is, aki nem volt hülye és felelőtlen, az fizet!

Ócska demagógiával nem kéne rabolni a mások idejét! 
Piaci körülmények közt érvénytelen lenne úgy tenni, mintha a bank rendelkezésére állnának olyan opciiók amiket tovább tudna terhelni az ügyfeleire, anélkül h az kihatna a profitjára. Ez egy bugyuta hazugság.  
Amennyiben abból indulunk ki, h Magyarország nem jogállam, egyeseknek bármit meg lehet tenni, nincsenek piaci körülmények, akkor sem az a megoldás, h ezt a helyzetet eltűrjük, hanem h lázadunk ellenne. Akár a bankok ellen is! Ne felejtsük el, h bank a bizalamat árulja, aminek hiányában nincs aki rájuk bizná a pénzét. Szóval nagyon a túzzel való játék ez, mert pikk-pakk lesz olyan bankpánik, h nem győz majd helytállni betét-biztosító! De lehet h tényleg ez kell , mert másból nem értenek! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"a banki-csalók és a banki-védelem macska-egér harcában mindig a csalók vezetnek"

A banknak 100-ból 100 alkalommal sikeresen kellene védekeznie - a csalóknak 1000-ből egyszer kell sikeresen támadni... És de, tanulni, okosodni kell, nem hülyén maradni _és_ mindenért mindenki mást okolni. 

Nem lehet olyan szolgáltatás üzemeltetni, ami az ügyfelek jövőbeni és folytonos képzésének függvénye! Nem az ügyfeleket kell nevelni, hanem olyan szolgáltatást kell biztosítani amit biztonságosan tudnak használni, ez a szolgáltató felelőssége. Ha ettől eltér jót kell állnia a bekövetkezett kárért! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

hogyne lehetne. papir nelkul bizonyos munkakat sem csinalhatsz. ahogyan gepjarmuvet sem vezethetsz kozuton...
papir ahhoz nem kell, hogy bringazz(bankolj), de ha a balfaszsagod miatt elbaszatod magad a villamossal(elszorod a penzed csaloknak), akkor nehogymar mas legyen a felelos!

Nem jó a hasonlat. Kerékpárt vehetsz magadnak bármilyet, míg a bank által használható eszköz olyan, amilyen. Mondjuk olyan magas a nyereg, hogy csak részben éred el a pedált. Aztán elesel, majd a bank megjegyzi, hogy lehettél ilyen balfácán, hogy elestél, majd egy 193 cm magas fickóval reklámfilmet mutat be, hogy a járművük biztonságos. Miközben alanyunk mondjuk 164 cm magas.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a bringadra - bizony - vonatkozik a kresz: nem mehetsz ki barmivel a fogalomba.
"ami az ügyfelek jövőbeni és folytonos képzésének függvénye!" - az alapfelvetes. igen, jogsi nelkul is be kell tartsd, sot, valtozik a kresz, senkit sem erdekel, hogy te nem edukaltad magad ebbol.

az, hogy nem er le a labad: nem vagy alkalmas netbank felelos hasznalatara, az nem mas hiabaja.
vegyel kisebb biciklit: setalgass be a fiokba utalgatni. sokan csinaljak.

Tűpontos érvelés, valóban ez lenne a valódi és jogkövető magatartás.

Azért jött létre ez a poszt is - hogy az olyan építő gondolatok is - teret kapjanak, a jelentős részében demagóg és leszólós posztok mellé.

Azon bejegyzésed, hogy " piaci körülmények között érvénytelen lenne úgy tenni " - szintén egy objektív állítás amivel ismét egyet kell érteni! 

A jogkövetés és a piaci körülmény tekintetében, komoly hiányban vagyunk, ezért van a Közösségi Érdekérvényesítés, a masszív sértetti reakció, hogy meg akarja érteni az ügyfél, mi történt vele, majd el akarja kerülni és egyben reméli, hogy a kára megtérül. Ez ahogyan Te is megfogalmaztad: emberi, törvényi alap lenne! 

Ezzel szemben van a : MAGYAR mentalitás! :( 

 

Ez hülyeség. MIFID-2-ről hallottál?
Ahhoz hogy értékpapírszámlán kereskedhess át kell menned egy kérdőíven.
Ha nem felelsz meg, nem leszel ügyfél.
És persze szó nincs arról hogy bárki állná a károdat ha szarul fektettél be és elbuktad a tőkét.

Akarsz ugyanilyet a netbankra is? 

zászló, zászló, szív

mondjuk ez is olyan, hogy az volt az érzésem a bankban ilyen felmérés kitöltésekor és a hozzá kapott kommentár kapcsán, hogy nem azt mérik fel mennyire vagyok alkalmas, hanem azt, hogy mennyire vagyok hajlandó kockázatos dolgokba belemenni. Ha kockázatkerülő vagyok, akkor nem engednek önállóan rendszert használni, ha kockázatkereső vagyok, akkor yolo, megadják a lehetőséget, hogy náluk veszítsem el a pénzemet és jól keressenek a jutalékon.
A banki befektetési tanácsadó, aki így hozzám csapódott, pedig rosszabbul ismerte az általuk kínált befektetések feltételeit, költségeit, mint én átfutva a leírását. És alapvetően csak a számára kiadott jutalékos befeketetéseket próbálta rámtukmálni.

Ez így ebben a formában butaság, már bocs.

Olyan nincs, hogy tisztán műszaki eszközökkel kell megoldnai, hogy az ügyfél/felhasználó bármekkora barom lehessen, akkor se legyen baja a saját hülyeségéből és felelőtlenségéből, hanem valaki másnak kell érte jótállni.

Mintha kiírnák, hogy vigyázz favágás, de ha Te ennek ellenére oda parkolsz a felszólítás ellenére, és utána elvárnád, hogy ha baja lesz a kocsidnak, a favágó térítse a kárt, mert neked jogod van olyant csinálni, amiből bajod lesz, de emiatt más kell viselje a terheket...

Az jó felvetés, hogy ne legyen netbank vizsga, ami után a bank háríthatná a felelősségét. Viszont az, hogy a felhasználóknak ne kelljen megérteni és megtanulni jól használni a banki rendszer rájut eső részét, és ezt a tudást ne kelljen naprakészen tartani, az elfogadhatatlan.

Az, hogy az emberek java része nem akar ezzel foglalkozni, nem jelenti azt, hogy ezt el kell fogadni. Az természetes, hogy olyan rendszernek kell születnie, ami vezeti a felhasználót és a legkisebb lazát adja neki a felelőtlenségre. De az ne legyen természetes, hogy a felhasználó bármit elront, rosszul csinál, stb. mert tudatlan és/vagy figyelmetlen, azért kötelezően más vállalja a felelősséget.

Persze jelen esetben ezek a gyenge, SMS-es második faktoros bejelentkezések nagyon problémásak, ez vitán felüli. De egy pici odafigyeléssel nagy valószínűséggel elkerülehető lenne a teljes visszaélés, és máris ott tartunk, hogy ha a felhasználó képezve lenne (tudná, hogy a netbank hol érhető el és ellenőrizné, ott van-e), akkor meg sem történhetne a visszaélés ilyen gyenge hitelesítés mellett sem.

Az SMS második faktor nem gyenge akkor sem, ha ezt mantrázzátok. Nekem desktopon butatelefonnal tökéletes, azonnal feltűnne, ha nincs térerőm, lenyúlnák a SIM-et. Jöttök itt az okostelefonok tökéletességével, aztán hogy, s hogy nem, a legtöbb átvert felhasználót okostelefonos bankolással verték át.

Szóval hagyjuk, mese.

A másik, hogy sokaknak semmi szüksége bankfiókra. Az államnak kellene biztosítani a fizetések készpénzben történő odaadását, vagy ha ez akkora gond a gazdaságnak, akkor ingyenes bankszámla biztosítását, amelyről nem lehetne semmilyen tranzakciót kezdeményezni, csak a fizetést lehetne felvenni, de azt ingyen a teljes összegig. Ne legyen már az, hogy kvázi kötelező igénybevenni egy szolgáltatást, amely teherrel, felelősséggel jár, amelyen bukok a költségek miatt, s még annyi kamat sincs, ami fedezné ezeket a költségeket.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nézd, arra is tudnál EU-s dokumentumot, hogy itt micsoda diktatúra van, szóval igen, ezt most én jobban tudom. Abból, hogy vannak trendek, egy pillanatra sem következik, hogy azok jók. A biztonság a mese része, az emberek teljes kontrollja, a pénzen, a számlák zárolhatóságán keresztül történő tönkretehetősége a valódi cél, amelyet úgy tálalnak, hogy a biztonság miatt ez kell neked és jó lesz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

nem, kurvara nem tudod jobban. pont. napi szintu az igy elkovetett bunozes. ezert szuntetik meg. neked persze linkelhetunk elo egyenes adasban feltort mobilhivast, szamhamisitast (volt mar), ignoralod. \o/
miert nem tenyekre hagyatkozol, helyette tolod a konteot?

Mi van akkor, ha van számhamisítás? > az van, hogy hulye lesz barmilyen szolgaltato bevallalni ennek kockazatat, mert az ilyenek mint te meg behringer kollega utana a rendszert szidjatok, hogy meirt nem tettek meg mindent a biztonsagert. :D es tartjatok a markotok, hogy mentsenek meg az en penzembol...

Van vele bármi dolgom? > van. felkeszulsz, hogy mire csereled le, mert inszekur es ki fogjak vezetne mindenhol szep lassan, mint a http-t. az a dolgod.

A bankok nem hibáztathatók emiatt, de az valóban nincs rendben, hogy a mobilszolgáltatók semmit sem tesznek a számhamisítások ellen. Ezt törvényalkotással ki lehetne verni belőlük. Ehelyett persze a végfelhasználót csuklóztatják.

mentsenek meg az en penzembol

Ezt tiltani kellene megint csak. A bank pénzéből. Továbbá a bank egy vállalkozás, ha bedől, akkor csak bedőlt egy vállakozás, mint a sarki közért, vagy bármelyik másik. 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A telefon bármikor tönkremehet, bármikor megszűnhet a netszolgáltatás, lemerülhet az akkumulátor, átmehet rajta az úthenger. A húszezrest kellemetlen elbukni, de minden megy tovább, a jelszavamat továbbra is tudni fogom. Hacsak nem arra a húszezresre írtam fel. :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Semmi gond ezze, akkor majd befáradsz a bankfiókba és ott intézed a bankolást. Szépen ki fogják vezetni (törvényhozói nyomásra, nem a nép érdekében) a nem biztosnágos módszereket, és akinek nem felel meg a biztonságos bármiért, az fallback-elhet a bankfiók használatára, személyivel azonosítva magát.

#konteo
nem vagy kevesbe szabad egy biztonsagos megoldas altal. csak nagyobb biztonsagban van a vagyonod. a megoldasok egy reszehez pedig semmilyen mobil sem kell. se sms, se semmi... remelem megnezted oket! :)

Vicces, amikor egyesek még mindig ott tartanak, hogy ugyan, mi baj lehet, amikor mindenki fegyverkezik, látjuk, a múltban hova vezetett ez, és egymást érik a nagyon durva fegyveres konfliktusok. Valóságtagadásban élsz. Ha látnád a gombafelhőt, akkor is csak legyintenél, á, messze van az, mi baj lehet, csak a Facebook menjen, meg térerő legyen, meg okostelefonon minden, mert az biztonságos. Nem az. Eleve nem valódi két faktor.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

fogalmam sincs min alapul a paranoiad, de szep szembesulni ilyen lelkulettel :)

azt persze mar nem hiszed, hogy a bizonyitottan inszekur sms-ed es, hogy a szolgaltato tudja hol vagy az gaz :) vajon miert? :)
sot, az ok kb hetente valtozo AFSZ-e is teljesen rendben van. :)

teszem hozza, 2FA app-os telefonod lehet sim nelkul is. csakmondom. :)

SIM nélkül is a telefonban marad a rádió interface, a GPS/GLONASS vevő, stb. Azzal, hogy a kérdésemre visszakérdeztél, egy lényeges dolgot elmulasztottál: válaszolni. Írtam a másik topikban, te itt nem eszmecserét folytatsz, csak bármi áron görbíted a teret, hogy igazad legyen. Ugye, az megvan, hogy van a te látásmódodtól eltérő is, és más szempontrendszer szerint értékelve más gondolatoknak is lehet létjogosultsága és igazsága? Továbbra sem írtad le, mi a megdönthetetlen bizonyíték arra, hogy azt a GUI-n lévő kapcsolót átállítva ki lesz kapcsolva az adott perifériád. Minimum a forráskódot kellene elemezni ehhez, de úgy, hogy nem csak azt vizsgálva, onnan kikapcsolódik-e, hanem azt is bizonyítva, máshonnan nem kapcsolódik be.

Vedd már észre, nem az a cél, hogy mindenáron igazad legyen. Tudod, Summer* az a figura, aki annyira eltérő világnézeten van hozzám képest, neki is van egy nem egyenes stílusa, de te még rajta is túlteszel. Semmi egyebet nem teszel, mint lefoglalod a másikat, időt rabolsz tőle a semmiért, játszod a hülyét, ha jobb ötleted nincs, nem válaszolsz, ha az adja a nyerő álláspontot. Ebben a gyermeteg szkanderben nem kívánok részt venni, van jobb dolgom annál, mintsem olyanokkal vitatkozzak, akiktől sem tanulni nem lehet, sem gazdagodni, sem én nem tudom gazdagítani őt. A vita veled meddő, kötekszel egyfolytában.

Meg tudod fogalmazni, mi az a hozzáadott érték, amit itt elkövetsz? Nem muszáj, csak gondoltam, hátha.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A szolgáltatód 4G esetén igen pontosan tudja, hol van az adott SIM-et tartalmazó eszköz. És ezen adatokat a magyar hatóságok/szakszolgálatok felé meg kell osztania. A forgalmi adataidat is. (hogy még mit, azt csak az ezen információk megismerésére jogosultak tudják, de szerintem nem akarod tudni...). Tehát a magyar, veled szemben közvetlenül fellépni képes hatóságok, illetve szakszolgálatok felé mehetnek azok az információk, hogy hol, merre van a hozzád szerződéssel kapcsolt SIm, arról milyen beszélgetéseket, sms-eket adatforgalmakat intézel, de egy Google az nehogy már bármit is tudjon rólad... 
 

Pontosan. A magyar állam a magyar állampolgárok érdekeit képviseli, ellenben egy idegen ország elnyomó katonai hatalma, amelyik alig néhány napja önkényesen bombázott egy államot, nem ilyen. Komolyan jobban kellene bíznom egy agresszor államban, amelyik kedve szerint rombol, gyilkol a világban - nem csak a régmúltban, hanem napjainkban is -, mint abban az államban, amelynek állampolgára vagyok?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mi a tök köze van egy magáncégnek az államhoz? És milyen hatással lehet rád az, ha az USA hatóságai tudják, hogy rendszeresen megfordulsz a bivalytöcskölődi Pimpósborcsa kocsmában? (És milyen hatással lehet rád az, ha a magyar hatóságok tudják ezt rólad, és mondjuk azt is, hogy az említett búfelejtőben gyanús alakok is rendszeres vendégek...?)

Az iráni nukleáris létesítmények lenullázása kifejezetten jó döntés volt. Sehol sem kéne atomfegyvernek lennie, de egy vallási fanatizmussal bélelt hatalom kezében pláne nem. Úgyhogy az a pofon jó helyre került...

Az általad oly mélyen tisztelt és 100%-osan bizalmadba fogadott állam kapcsán... Remélem, nem fogsz csalódni - de sajnos a történelmi tények, ok-okozati dolgok nagyon azt mutatják, hogy olyan irányba tolódik ez a hatalom, amerre nem szerencsés... 

Nagyon mást gondolunk a történelemről, a jelenről, a szuverenitásról, ennélfogva nehéz lesz értelmes vitát folytatnunk. Én nem a magyar államtól tartok, hanem a külföldi befolyástól. Az számomra pedig egészen elképesztő, hogy egyetértesz azzal, hogy megsértsék egy ország szuverenitását, ott romboljanak, gyilkoljanak, mert valamiért így gondolja helyesnek egy erősebb állam. Illetve kettő. Nekem ez egyáltalán nem fér bele a világképembe. Ez pontosan ugyanaz, mintha rám rúgnád az ajtót, megölnéd a családomat, szétvernéd a lakásomat, mert nem tetszik, hogy másként gondolkodom a világról, mint te. Lényegében ez történt most Iránnal. Ez ugyanaz, mint amit a kitörés napja kapcsán Ilaria Salis és társai műveltek. Indokolatlanul összevertek embereket súlyos sérüléseket, maradó károkat okozva, az életüket tönkretéve. Te pontosan ezzel értesz egyet.

Ez is egyfajta erkölcsiség, de ezen az úton nem tartok veled.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tehát ha a TEK rádtör, mert a mobilszolgáltatótól kötelezően megkapott adatok alapján feltételezhető, hogy a fentebb említett búfelejtőben bűnözőkkel találkoztál, az rendben van? A "külföldi befolyás"-t részletezd már, hogy a te adataid, hogy hol kapcsoltad be a telefonodat, hogy a mobilbanki alkalmazást elindítsd rajta, hogy fogadja a push üzenetet a böngészős felületre történő bejelentkezéshez, mennyiben tud bármilyen érdemi hatással lenni az USA hatóságainak a működésére? Pláne akkor, amikor a telefonodhoz egy nemmondommegkivagyonnyasgemkukacgémélpontcom identitás van csak hozzárendelve... 

"megsértsék egy ország szuverenitását"

Olyan fegyverkezési programot tettek taccsra, ami kifejezetten veszélyes irányt vett. Igen, ha valaki elkezd köveket felszedni, hogy majd jól megdobál mindenkit, akkor jó, ha odamegy hozzá valaki, aki erősebb, és pofán veri, hogy gyorsan tegyen le a kődobálásról. Most ez történt - picit nagyobb léptékben. Ez nem másképp gondolkodás volt (ezt csak te, meg az irányított hazai médiából tájékozódók látják így) hanem valós fenyegetés volt. Ja, emberi életben annyi kár esett, amennyi az atomprogram lenullázásához szükséges volt. Az iráni rakéták meg... Ja, hogy 3-500m-es pontossággal érkeztek (már amik megérkeztek), és civil (valóban civil!) áldozatokkal jártak? (orvosi kezelésre Izraelbe érkezett kislány pl.) 

Ha neked elfogadható az a szélsőséges iszlám szellemiség, ami Irán (még) regnáló vezetését áthatja, hát tessék, lehet odaköltözni... 

 

Nincs rendben. Ugyanakkor, amikor megcsinálják a világkormányt, a Google-nél lévő adataim nagyobb problémát fognak jelenteni, de már akkor is, amikor belesodorják - mit sodorják, kényszerítik - Magyarországot egy világháborúba. Már most az a mentalitás, hogy Oroszország Ukrajnával szemben nem győzhet, az oroszokat bármi áron le kell győzni. Akár azon az áron is, hogy Európa, s nyilván elsősorban Közép-Európa menjen őket legyőzni.

Irán esetében egy lehetséges kődobálásról beszélsz. Sikerül néha kilépned a valóságtagadásból is, és látni azt, hogy Izrael és az USA esetében nem lehetséges, hanem ténylegesen megvalósult, és folyamatosan megvalósuló kődobálásról van szó? Őket ki vágja pofán? A hazai médiával meg hagyj engem, nincs TV-m. Tudom, a média nem csak TV, de egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése.

Mi a jelentősége az iráni rakéták pontosságának? És az izraeli, amerikai rakétáknak és bombáknak milyen volt a pontossága? Számít ez bármit is? Az izraeli, amerikai atomprogramot ki és mikor fogja bezúzni? Érdekelne!

Jó volna megválnod attól a mentalitástól, amellyel igyekszel elüldözni a hazámból. Látom, zavaros időkben az elsők között deportálnád a magyarokat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Oroszország agresszor, ugye? Na akkor szépen húzzon vissza az eredeti területére, nemde? Vagy neked az, amit az oroszok csinálnak, az elfogadható? Bár ahogy Irán deklarált célja(is), közte az atomprogram is tetszik neked, nem csodálkoznék, ha teljesen rendjén valónak tekintenéd azt, amit az oroszok művelnek... Oh, wait... Az orosz agresszió rendben van, az USA célzott, globális fenyegetést jelentő atomprogram ellen irányuló csapása nincs rendben? Vagy hogy is gondolod ezt? 

"Akár azon az áron is, hogy Európa, s nyilván elsősorban Közép-Európa menjen őket legyőzni."

Baromi alaposan átmosta az agyad a fidesz propagandája, gratulálok - ilyen alapon neked nagyon jó itt, nekik meg ilyen, prímán és egyszerűen manipulálható szavazókra van szükségük. 

"Mi a jelentősége az iráni rakéták pontosságának? És az izraeli, amerikai rakétáknak és bombáknak milyen volt a pontossága?"

Az Iránból indított csapásokban civilek, gyakorlatilag teljes mértékben civilek (arabok is, vegyesen muszlimok és nem) voltak az áldozatok, mert részben a rakéták célzási pontossága, részben pedig a célok kiválasztása olyan volt, amilyen. Az Iránt támadó bombák, rakéták meg nagyjából a szomszéd ház ablakaiban sem tettek kárt...  

Az összes atomfegyvert le kéne szerelni, valóban, de ahhoz egy atomfegyverektől mentes világot elérni akaró és képes világhatalom kellene. 

"Látom, zavaros időkben az elsők között deportálnád a magyarokat."

Szó nincs róla, azonban azzal a véleményeddel, azzal a mentalitásoddal ami van, úgy látom, neked nem az EU, nem Magyarország való. Persze mint fentebb írtam, amíg a fidesz van hatalmon, addig a hozzád hasonló agymosott szavazók jól érzik magukat, és azt hiszik, mert elhitették velük, hogy az, ami van az a létező legjobb, legszuperebb, és bárhol másütt csak rosszabb lehet. 

Az orosz-ukrán konfliktus analóg az izraeli-iráni konfliktussal. Az oroszoknak egzisztenciális probléma Ukrajna esetleges NATO tagsága, Izraelnek pedig Irán nukleáris hatalommá cseperedése. Mind az oroszok, mind az izraeliek megelőző csapást mértek annak érdekében, hogy a létüket veszélyeztető állapot ne következzen be.

Tehát egyfelől érthető mindkét esetben a motiváció, másfelől mégis csak az van, hogy egyeseknek jobban szabad valamit, mint másoknak. Teljességgel igazságtalan, hogy miközben az USA-nak, Izraelnek van nukleáris fegyvere, ezt rendben lévőnek gondolják egyesek, míg Irán esetében úgy beszélnek erről, mint ami botrányos és felháborító. Pedig csak annyi a különbség, hogy egy másik nép.

Továbbá el kellene dönteni - nem csak neked, nekem is -, hogyan keretezzük a történteket. Amennyiben Oroszország agresszor, mert megtámadott egy egykor szuverén államot, úgy Izrael és az USA is az, mert ugyanezt tette Iránnal. Vagy, ha elfogadjuk Izrael és az USA preventív csapásait, akkor szükségképpen el kell azt fogadnunk Oroszország részéről, hogy számukra nincs rendben Ukrajna esetleges NATO tagsága.

Mondom, mind Oroszország, mind Izrael és az USA vonatkozásában értem a motivációt, bár az agresszív katonai beavatkozást egyik esetben sem találom helyénvalónak.

Azzal a kettős mércével ne is próbálkozz, hogy az egyikkel megengedő vagy, a másikat meg elítéled. Nincs olyan, hogy a nyugati gyilkosság jó, a keleti gyilkosság rossz, a nyugati támadás jó, a keleti támadás rossz. Ugyan vannak, akik ebbe a térbe próbálják mozgatni az eseményeket, csak mind a fizikai, mind pedig az erkölcsi törvényszerűségek térben és időben állandók.

Azt bízd rám, nekem mi jó és mi nem. A jelzőidet pedig azért tartsd meg, mert hidd el, amikor az ember elcsendesedik, s elgondolkodik a világ mibenlétéről, akkor nem propaganda létezik innen vagy onnan, hanem a valóság érzékelése, következtetések levonása. Nem kell, hogy értsd, elég, ha elfogadod, vannak olyanok, akik másként gondolkodnak, mint te, s emiatt sem nem agymosottak, sem nem birkák. Tényleg van attól eltérő, valós értékrend, mint amelyet képviselsz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

...de egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése...

...majd felmondod a magyar (és így az orosz) kormánypropagandát. Bár az is lehet, hogy véletlen egybeesés, hogy szó szerint pontosan arra gontoltál, amire ők, de tőlük teljesen függetlenül. Ez valóban nem zárható ki 100%-ban.

Ráadásul pontosan úgy kommunikálsz, ahogy a kormánypropaganda: aki nem úgy gondolja, ahogy ők, az magyarellenes, belemenne a háborúba, veszni hagyná fiainkat és lányainkat (stb. baromsággal folytathatnám). Holott, nem csak ez a két lehetőség van, hogy vagy "patritóta" vagy, vagy "háborúpárti libernyák".

Szóval, egy pillanatra fogadd azt el, hogy az embernek lehet önálló, saját világnézete, igazságérzete, erkölcsi meggyőződése. Ami nem egyezik a tiéddel, de nem egyezik azzal sem, amit a szájába akarsz adni.

Próbáld elengedni azt, hogy mi propaganda. Van egy logikus érvelés. Attól, hogy azt próbálod mondani, ez orosz propaganda, Oroszországban mégis ott van az egzisztenciális szorongás, és megtámadta Ukrajnát. Nevezheted izraeli propagandának azt, hogy félnek az iráni atombombától, lényegtelen, hogy propaganda-e vagy sem, hogy mi a műfaji besorolás, attól még megtámadták Iránt.

Furcsamód nem említed a nyugati propagandát, amely még érvekre sem pazarolja az energiáit. Oroszország nem győzhet, ha győzne, megtámadja Európát. Ezt a nyugati propaganda olyan nyilvánvalóságként állítja, mintha kiolvasta volna a négyjegyű függvénytáblázatból. Egyrészt akkor megyünk át a hídon, ha már ott vagyunk. Másrészt logikusan kellene gondolkodni. Ha Oroszország legyőzi Ukrajnát, elérik céljaikat - pl. nem lesznek amerikai fegyverek Ukrajnában -, megnyugszik, s béke van. Másik lehetőség, hogy megtámadja Európát. Nem életszerű, mert egy USA-val megtámogatott Európa sem gazdaságilag, sem létszámban, sem katonai erőben nem kicsi. Továbbá mi lenne a cél? Ekkora kockázatot felvállalni azért, hogy a cukrászdák nevei cirill betűvel legyenek kiírva? Tényleg nem értem, s erre a nyugati propagandisták sem adtak választ.

Ezen felül nézzük a másik esetet. Oroszország nem győzhet, azaz előbb-utóbb Európának be kell kapcsolódni egy Oroszország elleni háborúba. Akkor is, ha az oroszok megtámadnak minket, akkor is, ha nem, akkor is, ha kiprovokáljuk, akkor is, ha sajátosan valamit ellenünk intézett támadásnak értelmezünk. Például egy atombomba bevetése Ukrajnában, mi meg azt mondjuk, hogy hát a radiaktív felhő...

Tehát épp az első esetben van arra esély, hogy Európa ne keveredjen háborúba Oroszországgal, s a második, nyugati propaganda által ismételgetett eset az, amikor mindenképpen háborúba keveredünk velük.

A nyugati propaganda olyan szinten nem lett végiggondolva, hogy amire hivatkozik, nevezetesen, hogy Oroszország azért nem győzhet, mert megtámadná Európát, éppen ez a háború biztos receptje. A másik út az, amin elkerülhető. Látszik a nyugati vezetők rosszindulata. Emészthető formába próbálják önteni, hogy beleviszik a háborúba Európát, és milliók életét teszik tönkre. Itt is és Oroszországban is.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Háát az lehet h nem 4g volt még, de egyszer volt egy ilyen rendörségi ügyem és a nyomozó azt mondta, hogy csak azt tudják utólag h mondanak egy időpontot és akkor az adott mobil átjátszó toronyra bejelentkezettek x ezer elemű listáját megkapja. De koordinátákat nem tudnak. Mondjuk hittem meg nem is. 
Szal ez - szerintem - inkább valami olyasmi lehet h emelt szinten el van rendelve a megfigyelése valakinek és akkor vannak részletesebb adatok. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Disclaimer, a 4-5Gt már nem láttam közelről, de kétlem, hogy ebben alapvető különbség lenne.

Jepp, utólag általában már csak cella azonosító van, azt az adatot tudják odaadni valamilyen szemszögből, szóval vagy tudnak listát adni, hogy egy adott környéken milyen számok voltak, vagy, hogy a te számod merre mászkált. Azt azért tudni kell, hogy sűrűbb városi területeken nem nagy ám egy cella, különösen a 4-5G-k (nézz meg egy opencellidt mondjuk. Nem hű de pontos, meg van benne szemét, de az érzést azért jól átadja).

Aktív helymeghatározásra vannak ennél pontosabb megoldások, attól függően, hogy mit hajlandó kifizetni a szolgáltató (meg, hogy ki építette a hálózatot), ahol azért már elég pontos adatot lehet tudni (én láttam olyat élesben, ami tudott pár méterest 2G-n, igaz, szerintem abból Európában nem volt), illetve meg lehet kérni a készülék GPSét (gondolom ma már a coarse locationnak titulált dolgot is), hogy legyen kedves, az elég pontos. Ezeket jellemzően 2 dologra szokták használni: segélyhívásoknál, illetve ha meg kell valakit figyelni, mert pl a rendőrség kéri. Ilyenkor nyilván mindent lehet technikailag, folyamatos meghatározástól át a hívásrögzítésig, a limit a törvényi szabályozás, nem a technológia. (Ált küzdenek/küzdöttek még valami eladható end user szolgáltatással is, de ott megette őket az android a faszba. Bulk tudnak eladni adatot trafficra tomtomnak meg ilyesmiknek)

Ill azért azt látni kell, hogy az, hogy ennyi adat van utólag, az jellemzően nem azért van, mert ne lehetne több, hanem azért, mert nem akarnak vele foglalkozni, mert bulkban megtartani ennyi szart drága, és kevés értelme van (a rendőrök fele letudják a kötelezőt, azt kész, mert az költség). Láttam én olyat is, ahol az egész control plane üzenethalmaz a hálózatról el volt téve, és simán keresett ki belőle nekem a helyi faszi teszthívást, mindenféle paraméterestül. Már abból lehetett volna pontosabbat rekonstruálni, ha ugyanezt megteszik a rádiós interfacel is, akkor meg főleg.

"Láttam én olyat is, ahol az egész control plane üzenethalmaz a hálózatról el volt téve"

És ez alapvetően csak hatósági igény kérdése, hogy kérik-e vagy sem. És ahogy a mobilszolgáltató sem rak el minden ilyen adatot, a Google sem fog minden métert minden eszközről tárolni. 

Ja, és a hatósági igényről az előfizető természetesen nem fog tudni, nem fog értesülni - ezen adatgyűjtés, mint lehetőség nincs benne (nem kell, hogy benne legyen) a szolgáltatási szerződésben...

És ez alapvetően csak hatósági igény kérdése, hogy kérik-e vagy sem

Mármint, ha egyáltalán van. Ilyen nem sok helyen van, én konkrétan egyszer láttam, pedig akkoriban láttam közelről nem kevés mobil hálózatot, és ha másnak lett volna, az is simán előkapta volna nodeokon való baszakodás helyett. 

És ahogy a mobilszolgáltató sem rak el minden ilyen adatot, a Google sem fog minden métert minden eszközről tárolni. 

A gugli sokkal több ilyen adatot tesz el, mert ő tud belőle hasznot hajtani. Nézd csak meg a location historyt. Illetve most valamit variáltak vele, talán opt-in lett, nyilván nem azért, mert valaki rájuk szólt. :) 

eID: 2026-tól lesz az EU-ban általánosan bevezetve. Idehaza gőzerővel folyik a DÁP-os logon/azonosítás fejlesztése a bankszektorban.
Security keys: korábban volt cert/token alapú azonosítás néhol - kivezették. Nem várható, hogy az eID mellé általánosan visszahoznák (fejlesztési költség, tokenek kiadása/visszavétele/kezelése, ügyfél saját tokenjének felvétele hogyan legyen lehetséges (tyúk vagy a tojás: az így használatba vett token a használatba vétel során történt azonosítás biztonságos és megbízható kialakításától függően garantálja azt, hogy az ügyfél valóban az, aki, és nem egy eltérített accounttal regisztráltak tokent a nevében)
TPM: A Windows 11 kapcsán ki fognak hullani a TPM nélküli vagy 1.2-es TPM-et használó eszközök, azaz ez a "vonal" is inkább a jövő. (Egyébként W10/TPM 1.2 párossal szépen megy a hozzáférési kulcs "gyártása" Windows alatt) Kényelmetlenség, hogy adott eszközhöz, ami jellemzően notebook vagy asztali gép köti az azonosításra szolgáló megoldást, ergo mindenképp kell mellé egy fallback vagy másik eszköz, amiben ugyanúgy létre lesz hozva a kulcs. 

Az utóbbi kettő használatához a felhasználóknak is tanulni kell, megismerni a lehetőségeket, megtanulni, hogy hogyan tudnak létrehozni/törölni belépési kulcsot/kulcsokat, hogyan tudnak ezekhez tartalék megoldást rendelni.

Aki a "nem kell tanulni, elég az SMS" irányt propagálja, az ebben a világban idővel nagyon el fog veszni... 

Szerintem nem, én biztonságban vagyok így

Senkit nem érdekel, hogy te, mint random magánszemély, mit gondolsz a saját biztonságtudatosságodról.

Van egy rendszer, amit úgy kell megcsinálni, hogy az informatikai "biztonságbanvagyok!" mágustól a funkcionális analfabétákig nagyjából mindenki tudjon használni, de azért az adott peremfeltételek mellett legyen minél nehezebb dolga a scammereknek, ha meg akarják szabadítani őket a pénzüktől.

Ez a feladat. Nem az, hogy nyolcmilliárd embernek mind külön-külön security protokollokat találjunk ki a szája íze (és tévképzetei) szerint.

A FIDO/FIDO2 nagyjából 1000 év múlva lesz támogatott szerintem - ahogy írtam, baromira rétegigény, és nem, nem fognak ilyenre fejleszteni, hogy majd talán az ügyfelek 0.x%-a egyszer talán használni fogja... A környeztedben hány emberből mennyinek van saját, privát yubikey a zsebében? És vajon hány olyan van. aki tokendugdosós megoldást választana az okostelefonos push az app-ba vagy épp a DÁP helyett? 

Szerintem se venné észre senki. Az angolok se vették észre*. Csak unalmukban tárgyalnának az EU-hoz visszacsatlakozásról, mert nincs jobb dolguk épp...

Hacsak nem kizárólag EU-n kívüli az exportcélja a cégednek, akkor nagyon is észrevenne egy kilépést másnaptól.

 

*Beszopták mint az állat a "másik" szőke idiótaságát, és kb. a kilépés másnapjától sírnak, hogy ez mekkora szívás lett a valóságban.

de érzésem szerint nem nagyon venné észre a cég, ha kilépnénk az EU-ból. 

Hirtelen drágábbak lennétek a vevőitek felé a vámok miatt, emiatt a vevőitek keresnének olcsóbb beszállítót. Illetve ha ti is vesztek az EU-ból bármilyen szolgáltatást, az is drágább lenne a vámok miatt, így a terméketek is drágább lenne önmagában is.

A kelléket házon belül gyártjuk. Abban van know-how, nem az alapanyag a drága. Azért volt érdekes, mert arra gondoltam, a műszer elviseli - talán, nem vagyok sales-es -, ha pici rajta az árrés.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hazai alapanyag, hazai energia? És a piac milyen arányban hazai/hazai de azért, mert ez EU/EU/világ többi része? Nagyon nem mindegy - az első marad, a második egy ideig marad, de a kilépés után elmegy, és a 3. csoportba kerül, a harmadik csoportnak drágul, a negyedik csoport meg vélhetően nem fog az EU-val azonos elbírálást adni egy picike ország picike gazdaságának, úgyhogy jellemzően ott is drágulni fog a vásárlók számára a terméketek. 
 

EU-n kívül készülő termékre simán olyan vámot raknak, amekkorát akarnak, illetve az alapanyag, az energia is kifejezetten drágulhat - pláne, hogy a Ft is méretes pofont kapna a kilépéssel, mert az EU-tagság valamekkora támasz a magyar gazdaság, így a Ft árfolyama számára is. 

Tehát neked teljesen megfelelne az, hogy annak a terméknek/szolgáltatásnak az árát, amiben importhányad van azt minimum negyedével-felével több munkával tudnád megkeresni? Mert nem 400Ft-ot kéne adni 1 €-ért, hanem mondjuk 500-550-et, vagy többet. A magyar gazdaság energia- és nyersanyagigénye jelentősen támaszkodik az importra, ami jelentősen drágulna (nincs olyan ágazat, ahol ne lenne importhányad), mert a Ft jelentősen leértékelődne, ez az egyik. A másik, hogy nézd meg, mik az ország jelenlegi bevételi forrásai? Export: döntően EU - onnan kilépve6kikerülve az EU belső piacának, termelőinek a védelmében azonnal vámokkal terhelten lehetne csak kereskedni - és máris nem érné meg az EU-s vevőknek magyar beszállítót választani. A kínai hátterű cégek szerinted mit csinálnának, illetve miért ide jöttek? Mert olcsó (a kormányzat intézkedései olcsón tartják, a Ft árfolyamára ható intézkedésekkel is) a munkaerő, viszont ami itt készül, itt szerelnek össze, az már EU-s termék, a teljes uniós piac nyitva áll előtte. Ha ez az ország az EU-n kívül találja magát, ez az előny teljes mértékben elvész, úgyhogy a kilépési folyamat kezdetekor már el fognak kezdeni szedelőzködni, és mielőbb áttelepülnek egy másik EU-s országba. 
Ezen felül azt is vedd számításba, hogy egy ilyen folyamat elindulása esetén a jobban képzettek azon csoportjai, akik hezitálnak, hogy menni vagy maradni nagy eséllyel mennének innen, amíg lehet. És a maradéknak kéne megtermelni azokat a javakat, amiket a mostani 45-50-es meg idősebb generáció a nyugdíjáért meg szeretne kapni. De a "resztli" nem fogja tudni ezt megtermelni, pláne egy tökönrúgott, exportpiacait elvesztett gazdasággal, úgyhogy jó esély lenne arra, hogy a nyugdíjasok életkörülményei valahova a régmúltba lépjen vissza,a mikor még gyakorlatilag nem is volt időskori ellátás. 

Ha neked jó a sz@r élet, a talmi "szabadság" égisze alatt, akkor neked valamikor a szocializmusban ragadtak az igényeid, életfelfogásod... Ott is az volt, hogy a sz@r életet adta el a hatalom úgy, hogy "jó neked nagyon", és "szabad vagy, mert szabad országban élsz, ahol mindenki azt mond, amit szabad..."

Fel kell fognod, hogy a gazdaság globális, egy, még kontinens szinten is kerekítési hiba nagyságú entitás önállóan nem tud érdemben megélni. 

konkrét személytől függetlenül fel lehet ismerni a hupos társaság egy részénél, hogy valószínűleg nyugdíjas vagy nyugdíj közeli, szovjet nosztalgiát képzelő, szakmailag nem feltételen toppon lévő, de valami legacy függés miatt elevickélő területen unaztkoznak. Szal vannak emberek, akik a mai napig egy burokban élnek, ahol még mindig a szovjet munkamorál és életstílus megy. A modern világból sem a szakmai, sem a gazdasági fejlődés nem jutott el hozzájuk és igazából igényük sincsen rá. Plusz motívum szokott lenni, hogy a skanzen buborék fenntartását bármi áron követelik, kerüljön bármibe is az a fiatalabbaknak, az már nem az ő problémájuk.

És most ezzen tényleg nem sértegetni akarom locsemegét. Azt hiszem 5-10 nicket fel lehetne sorolni, akiknél megállt az idő valamikor a 80as években. Számomra az a durva, hogy az információs technológia minden nyomulása ellenére még mindig sikerül megmaradni a buborékban. Boldogok a tudatlanok.

Csendben jegyzem meg, versenyszférában dolgozom fejlesztőmérnökként, de tetszik a prekoncepciód. Maradj is meg mellette, hiszen szeretem a meséket hallgatni, anyukám már rég mesélt nekem. :)

A törésvonal ott van, hogy a fiatalok többsége teljességgel lemond a szabadságáról, a fél veséjét is odaadná, csak Facebook legyen. Ha a hálószobádat és a fürdőszobádat bekamerázná az EU, mert ez lenne az új szabály, boldogan mennétek bele, mert trendi, mindenki ezt csinálja, csak az EU-ból ki ne lépjünk, mert akkor nem lesz öt éven belül pénz új autóra.

Van, akinek a szabadság, az önrendelkezés, a privacy érték, s akik érzékelik a veszélyt. Egy nagy entitás, az EU intézményei kezdték el a nemzetállamok jogait elvonni, egységesítik az online teret, a személyes azonosítást. Ott tartunk, hogy ujjlenyomatot kell adni személyi igazolvány elkészítéséhez, meg ott, hogy valamelyik topikban felmerült, lejárt személyivel nem juthat az ember a pénzéhez. Nem én járok le, a személyim, s azért a pénzért megdolgoztam, az az enyém, nem a bank döntésének kellene lennie normális esetben, mikor jutok ahhoz hozzá. Továbbá ott tartunk, hogy duplikáltan felvitték a szenzitív személyes, egészségügyi adatokat számítástechnikai infrastruktúrára, amely esetében az EESZT-ben korlátosan élhetek a hozzáférés korlátozásával - de nem minden esetre kiterjedően -, viszont a szakrendelő adatbázisának tekintetében nem.

Mindeközben tolnak bele egy háborúba, csúnya idők jönnek, várható egy totális diktatúra, egy világkormány egy uniformizált világban. És azt várjátok, kedélyesen mosolyogjak ahhoz, hogy napról napra szűkül a mozgásterem, lassan elvárás egy kémgép használata, különben kirekesztenek a társadalomból, ráadásul cinikusan adjam a beleegyezésem egy olyan adatvédelmi szabályzathoz, amelyre azt mondom, hogy az teljességgel kizárt, hogy ezzel egyetértsek.

Néhányan próbáljuk jelezni, hogy csak az utóbbi alig néhány évben is rengeteget szűkültek a szabadságjogok, a mozgástér, de sokan bárgyú vigyorral nézik, ezek itt mit hőbörögnek, mert ugye, titeket megfigyelhetnek, ti nem csináltatok semmi törvénybe ütközőt. Eleve nincs igényetek az intimitásra, lassan az van, hogy ki nem sz.rja le, ha az asszonyt a felügyelő előtt kell megdugni, hát úgy lesz, az se baj, csak EU legyen, mert különben drágább lesz a lángos.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a gond, hogy ugy beszelsz privacyrol, hogy a modern vilagban fogalmad sincs, hogyan mukodik. homokba dugod a fejed, azt kepzeled a butatelefonod megved. nem, nem ved meg.

szukulnek a szabadsagjogok, csak epp nem akarod latni, valojaban ki korlatoz kit, es milyen alapon.

A versenyszférában is vannak kevésbé versenyző szereplők :) Plusz kelet-európában a szarból várat építés nagyon erősen megy, mert nincs fizetőképes ügyfélkör a minőségi munkához. Volt szerencsém részt venni már sokféle feladatban, sokféle területen és cégnek bedolgozva, így tapasztaltam a kontrasztot. És azt is, hogy sokszor kamu a felépített mítosz némelyik nemzet szorgalmáról. 

Lehet meglep, de vannak témák, amiben még egyet is értek veled a dolgok morális oldaláról.

Viszont van, amiben a zord valóság számít, mert a győztesek joga morális felsőbbséget hirdetni, a legyőzöttekkel pedig bármit megtehetnek. Keletről és nyugatról is az erősebb kutya baszik, a cukormáz csak ámítás. A motivációkban lehet különbség, de végső soron a pénz, a hatalom és az irányítás az alapjuk.

A szabadság és hasonlók már régóta csak akkor érvényesíthetőek, ha egybeesik az adott rendszer irányával. Ha nem egyszerre lépsz, akkor máris csorbulnak a jogaid és max utólag próbálhatsz jogorvoslatot kérni, de a jogaidat sértők jellemzően minősített immunitást élveznek társadalmi érdekekből. Ez keleten és nyugaton is így megy. Max a módszerek különböznek, mert más kultúrában más a hatásos.

Az EU ellenesség, kilépési szándék és hasonlók teljesen vakvágány. Pont, hogy sokkal szorosabb, központosítottab európai irányítás kéne, mert most egymás ellen dolgoznak az államok. Mégpedig azért, mert a konkurens hatalmak nagyok és központilag irányítottak keleten és nyugaton is. Egy kis ország a kerekítési hiba teljesítményével, kimutathatatlan haderejével pedig annyira független, amennyire megengedik neki. Ha pedig már választani lehetne, akkor talán inkább az európai "elnyomás" kompatibilisebb velünk, nem pedig a szovjet vagy az amcsi. Rengeteg baromságot csinál az EU, szoktam is kritizálni, hogy értelmes, belső cégeket segítő dolgok helyett folyton tudathasadásosak, a polgárokat fejik, külföldi (nem eus) cégeket segítenek, megélhetési politikusok. És valami neo-szocialista utópiát nyomnak úgy, miközben teljesen kiszolgáltatottak vagyunk európaiak már minden más hatalomnak, mert ellehetetlenítik a belső cégek számára a versenyt a külsőkkel szemben. A magyar belpolitika meg egy lófasz, kizárólag a lopásról szól, bármi áron. Amellé állank, akitől ellopható pénzt remélnek, ha egyik már nem ad több pénzt, akkor a másiknak hízelegnek.

Technikai téren pedig muszáj haladni, mert a régi rendszereket anno szarul tervezték meg és rengeteg hibájuk van. A foltozgatás helyett teljesen újra kéne tervezni és implementálni, de a régi, primitív megoldásoknak már megvan az újabb és javított változata. Nem a régit fogják újracsinálni. Sok régi technikában bizalmi alapon ment a működés, mert azt hitték mindig csak egy szűk kör fog hozzáférni és azok egymásban megbízhatnak. Viszont már mindenféle banánköztársaság és korrupt cég is bekapcsolódik ezekbe a rendszerekbe, ahol így eltéríthetik, meghamisíthatják a kommunikációt.

Nekem sem tetszik, hogy mindent mobilra akarnak nyomni. De nem azért, mert a régi primitív dolgok jobbak lennének, hanem azért mert pont a desktop felületek helyett erőltetett mobil felületeket érzem lebutítottnak, visszalépésnek. Sokszor elfedik az információt, hogy könnyebb legyen szerződésre bírni, jóváhagyásra bírni az ügyfeleket. Nem lehet könnyen egymás mellé tenni dokumentumokat, hogy jobban átnézze az ember, mert nem olyan multitaszk a mobil felület, nem lehet jól kezelni kis képernyőn, érintőképernyőn ezeket.

Hogyan lenne már biztonságos az SMS, mikor pofon egyszerűen kijátszható egy csaló oldallal.

Ha lenyúlnák a SIM-et (csalással hozzájutnak másikhoz, a Tiédet letiltja a szolgáltató), mire észreveszed, hogy nincs kapcsolat, a pénzedból már egy Forint nincs a számládon...

Ha meg akárkinek beesik figyelmetlenségből a csaló oldal, akkor az SMS-es hitelesítés második körénél tűnik el a pénze a számláról, mire gyanakszik, hogy másodszorra sem jó a beírt SMS kód, már a pénz máshol van.

Szóval ez csak a semminél jobb kicsit, de a semminél nem is nyújt sokkal több biztonságot.

Ennek az egész topiknak a lényege, hogy sok-sok ember mit keresett csaló oldalon, ahol is a nem biztonságis SMS-es második faktor miatt lenyúlták a pénzüket.

Hogy tudnánk összevezetni azt, hogy ne kerüljön senki csaló oldalra, de ne is kelljen megtanulnia a nem csaló oldal elérését és/vagy azt ellenőrizni, hogy csaló oldalon van-e... Merthogy ezt a két teljesen ellentmondó és egymást kizáró dolgot várod el az eddigek alapján.

Nem az SMS miatt nyúlták le a pénzüket, hanem azért, mert egy csaló oldalon megadták a bankkártyájuk összes adatát, meg talán a banki felület login adatait is. Talán még azt is, kivel dugott utoljára, mikor, és mit evett előtte vacsorára, illetve mikor megy legközelebb fülészhez, és hogy hívják az orvosát. De ennek semmi köze az SMS-hez.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Amennyiben az MBH bank második faktoros azonosítása olyan, mint az Erste vagy a CIB megoldása (ezt a kettőt ismerem személyesen), az nem játszható ki ilyen csaló oldallal, mert nem egy kódot kell visszütnie a felhasználónak az oldalra a név/jelszó után, így a második faktor nem ellopható ilyen módon. Szóval de, ha nem SMS-es a második faktor, akkor az MBH károsultak java részének megmarad akkor is a pénze, ha csaló oldalra megy fel...

A kártya adatok megadása csaló oldalon érinti az összes bank kártyáját, az nem bank-specifikus visszaélés. De erre is van minden normális banknál és erre specializált szolgáltatónál megoldás (ideiglenes kártya, egyszer használatos kártya, köztes megbízható fizetési szolgáltató, stb.), hogy ne kelljen a valódi, több pénzt elérő kártya adatait megadni mindenféle oldalakon. De ehhez is értelmes felhasználók kellenek, nem olyanok, akik "nem tanulok meg semmit, védjen meg a bank a saját hülyeségemtől, és fizesse a hibáimat" hozzáállásúak.

> és ezt a tudást ne kelljen naprakészen tartani, az elfogadhatatlan.

Te el vagy tájolva! Semmiféle ilyne kötelezettség nem képzelhető el az ügyfelek terhére! Az a dolgok eltorzitása, h a probléma abból állna elő, h az ügfelek nem tudják megfelelően kezelni a rendszert. Nem, ez tévedés! A probléma rendszerszintű, maga a rendszer a rossz, és az ügyfelek ennek áldozatai. És amit akarsz, h az ügyfelek folyamatos képzéssel kompenzálják a rendszer hibáit. Ez az ami elfogadhatatlan, disztópikus!

Fentebb irtam: az élő ember informatikai jelekké való és fordítva az informatikai jelek élő emberré való megfeleltetése hibával terhelt. Ennek következményeit, így az ebből eredő károkat is, annak kell viselnie aki a rendszert megalkotta és üzemelteti! Minden távszerződés és megbizás alapvető CSALÁS. Egy csaló rendszert működtetnek és az ügyfélt akarják felelőssé tenni ezért! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Szóval van egy céged, ami CNC esztergákkal fémterméket gyárt. Ezt a gépet meg kell tanulni kezelnie valakinek, aki aztán gyártja vele a terméket. Namost, felveszel egy embert, aki nem tudja és nem is akarja megtanulni a gép kezelését a szakszerű és biztonságos használathoz, így hol a gép áll mert elrontotta, hogy otthon van táppénzen mert megsérült. Te persze - mert elveid vannak, ami szerint nem lehet az élő embert és az informatikát összeegyeztetni - fizeted szó nélkül a téppénzét is, meg a gépjavítást is folyamatosan. Esetleg a CNC gép gyártójával pereskedsz eközben, hogy olyan gépet gyártottak, amit meg kell tanulnia egy embernek használni, ami teljesen elfogadhatatlan hozzáállás, merthogy ez nem várható el egy CNC kezelőtől, hiszen ő egy ember, nem egy gép.

Azért, hogy érthető legyek: a CNC eszterga a netbanki app (amit meg kell tanulni kezelni, hogy ne legyen baj), az alkalmazott pedig a bank ügyfele aki netbankolni akar (de úgy, hogy semmire sem figyel és semmit sem tanul meg, mert az nem az ő dolga).

Nem jó példa, mert nem érettségizettekre, szakmunkásokra és felsőfokú végzettséggel rendelkezőkre kell tervezni egy rendszert, hanem mindenkire. Azokra is, akik még a 8 általánost sem tudták elvégezni. Tehát akik képesek lélegezni, táplálkozni, úgy általában létezni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Helyes ez kb egybevág azzal amit én javasoltam: 1) Bank nyilatkozik a felügyeletnek, h vállalja-e az objektív felelősséget az online bankjával kapcsolatban. 2a) Ha vállalja, minden oké bárki bankolhat online. 2b) Ha nem, akkor meg kell próbálnia Darwin Dij szerződést kötnie az ügyfeleivel, miszerint ő (az ügyfél) vállal minden kockázatot és akkor ebben az esetben csak a Darwin Díjas ügyfelei használhatják az online bankját! 

Én ezt javasoltam, ezzel mi a probléma? Tekintettel van mindenkinek az érdekére. Csak pont a csalást küszöböli ki. Azt a csalást amikor a bank úgy tesz mintha biztonságba lenne nála a pénzed, de aztán nem vállalja a felősséget. Na ezt kiküszöböli. Lehet előre nyilatkozni, tiszta helyzet! Lehet hozzálátni a nagyszámú bankfiók kialakításához országszerte!

Persze a valódi megoldás a készpénz korlátlan ingyenes felvételének a lehetősége. Az mindent megoldana! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

"Persze a valódi megoldás a készpénz korlátlan ingyenes felvételének a lehetősége. Az mindent megoldana! "

Az automatától két méterre tarkón csapnak esetre is megoldás lenne? A költségét meg ki a tök fizetné? Az, aki értelmes, felfogja, hogy hogyan biztonságos bankolni? 

Vagy ha megtámadnak az offline ukri/magyar csalók. :)

Az idős férfi levett 32 millió forintot, és átadta egy számára ismeretlen személynek, hogy helyezze biztonságba. Innentől pedig már hiába várt arra, hogy visszakapja tőle.

https://24.hu/belfold/2025/06/23/zuglo-bank-csalas-nyugdijas/

(Az emberi hülyeség ellen nem lehet védekezni...)

> aki értelmes, felfogja, hogy hogyan biztonságos bankolni

Ez logikailag nem stimmel! Azért nem képzelhető el biztonságos online bankolás, mert az a szkóp amire a biztonság értelmezve van részben hipotetikus, részben pedig megtörtént esetekre vonatkozik. Az adott pillanatban potencionális új csalási módszerekre értelemszerűen nem reagál. A figyelembe vehető lehetőségek száma véges, de a valódi lehetőségek száma a csalásra végtelen. Mindig, hangsúlyozom _mindig_ fáziskésésben lesz a "biztonság" ezért logikailag kijelenthető hogy senki, legyen az überfaszsa bizotnsági IT szaki akár, nincs biztonságban. 
Ebből következik, ahogy már korábban is utaltam rá, hogy bármiféle képzés forszirozása, ami az ügyfelek nevelését szolgálná totálisan értelmetlen. Mindig lesz technikai és social engineering ill ezek kombinációján alapuló, a megtanulandó tananyagnál frissebb módszer arra, h megtévesszék és kifosszák az ügyfeleket. Ez lehetőségként következik abból h az élő személy és informatikai jelek egymásnak való megfeleltetése hibával terhelt, és ez mint a bank által működtetett rendszer alaphibája nem küszöbölhető ki! 
Természetesen annak nincs semmi akadálya h az ügyfelek képezzék magukat, akár ehhez a bank is segítséget nyújthat, DE (!) azt kell nagyon határozottan elutasítani és megakadályozni, h ez a képzés ne fordulhasson át abba, hogy a bank a képzés elvégzésére hivatkozással át tudja tolni a felelősségét az ügyfélre. Ne legyen kétség, a képzés szükségességének a hangoztatása mögött ez az aljas szándékuk húzódik meg! 
Amiről kevésbé esik szó, de sztem ideje már figyelmet fordítani rá, az az h a bank a biztonság fokozására hivakozva egyre összetettebb módszereket kreál és követel az ügyfeleitől. Pl a különböző kódok: van már pin kód; telekód; internetes kód, login, jelszó. Meg kéne határozni annak a kereteit, h az azonosításnak a komplexitása meddig növelhető és a bankokat rászorítani arra, hogy olyan eljárásokat dolgozzanak ki az azonosításra, ami ezen kereteken belül marad. Ne tudja a bank kénye-kedve szerint növelni a komplexitást. Ezt nem gondolnám "a piacra" bízhatónak, a felügyeletnek kéne lépnie ezügyben! 

> Az automatától két méterre tarkón csapnak esetre is megoldás lenne? 

Erre vannak bevált bűnüldözői módszerek. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

A banknak milyen felelossege van abban, ha odaadod valakinek a belepesi azonositoidat, megkerve, hogy csinaljon barmit, amit akar? Egy random penzvaltonak sincs felelossege abban, ha te az utcan penzvaltasi igerettel kecsegteto csalonal valtottal penzt, es az also/felso bankon kivul, az osszes tobbi bankod lejart feherorosz bankjegy vagy egyszeru ujsagpapir lett

IQ Bajnok, vegyel egy A4-es lapot, hajtsd félbe! Az egyik felére rajzold le a bankot, a masik felére a "valakit". Nézegessed jó sokáig, amíg meg nem érted miköze a bankhoz! Ez volt a kérdésed, nem? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Akit "valakiként"  hivatkozol, nem olyan valaki mint a többi valaki általában, hanem pontosan olyan mint a bank. Ez a probléma. Ez a bank felelőssége: hogy a "valaki" pont olyan mint ő! És belépési azonosító nem az általában véve vett valakinek, hanem annak a valakinek aki pont olyan mint a bank lesz átadva! 
Gondolom most már általad sem tagadható, h megengedhetetlen csúsztatás volt részedről pusztán "valakinek" átadott azonosítóról érdeklődnöd!

pl. itt is erről van szó ugyan ebben a topikban, az előzmények között!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Miert lenen olyan, mint a bank? En semmi hasonlot nem latok, hiszen mas a cime!

Ha itt szetnezel, van egy csomo haz, ami ugyonugy nez ki, de mindegyiknek mas a cime, sott, a cimuk is igen-igen hasonlo. De tovabbmegyek, valoszinusitem, hogy az egymas felett talalhato apartmanok is egyformak, ezeknek a cimeik pedig, sokal jobban hasonlitanak. Most, akkor itt, az osszes cim egyforma? Sott, az itt levo epuletek is pont ugyonugy neznek ki, holott van koztuk vagy 200km... Viszont, itt mar a cimuk sem hasonlit. Ezek is ugyonazok? Ha az egyiket megvetted, barmelyikbe bemehetsz? Ha az egyikbe meghivnak barmelyikbe meghivtak? Ha az egyik helyen osszeszedtel valamilyen fertozest, akkor barmelyik masikat leadhatod, hogy ott szedted ossze? Hiszen vizualisan egyformak. Ha az egyikben beragadsz a liftbe, a masik epulet karbantartoja felelos erte?

Mondj már légyszíves legaláb egy, létező, bevezetett példát arra bárhonnan a világból, ahol valakinek a tudatlanságából eredő károkat valaki más vállalja magára?

Sokadszor írod le, hogy a falhasználó lehet bármilyen buta, képzetlen, nemtörődöm, akármi, a banknak akkor is állnia kellene a buktákat. Sem banknál nem dolgozom, sem nem védeném egyiket sem semmi okból, de ez objektíven nem normális elvárás.

A banki rendszernek bolond-biztosnak kell lennie! Ez a minimum feltétel. Ellenkező esetben nem működhet. Hogy ezt h oldja meg az a bank hatásköre és felelőssége, de végül nyilatkoznia kell, h vállalja az objektív felelősséget, akkor mehet az online bankja. Ha nem vállalja a felelősséget akkor csak olyan ügyfeleknek nyújthat online banki szolgáltatást, akik Darwin-Dij szerződést kötöttek a bankkal, amiben kijelenti az ügyfél h ő vállal minden az online bankolásból eredő kockázatot [a bank helyett]

Bővebben:

Nem az ügyfél határozza és tervezi meg az online bankot, nem ő üzemelteti, nincsen ráhatása a rendszer kkialakítására. Ennek a technikai részletei gyorsan változóak ahhoz, h központi felügyelet írja elő azokat. Célszerűen a bankra kell ezt bízni. A banknak úgy kell a rendszerét kialakítania h abban hamisítható vagy megtévesztő elemek ne legyenek meghatárotók! Ha olyan rendszert képes csak kialakítani aminek elemei hamisíthatók megtévesztésre alkalmasak és ennek következtében kár ér valakit, akkor naná h a bank felelős ezért. Nagyszerű dolog h küld SMS-t a bank valami kóddal. De SMS-t bárki tud küldeni, így ez alkalmas megtévesztésre, nem lehet része a banki rendszernek - most mondtam egy példát. 
 

Kérdés: van olyan útmutató a bankok részéről amiben lépésrőllépsre rögyítve van, h a különböző online banki tevékenységeknél az ügyfélnek mikor mit kell ellenőriznie, és különösen fel van-e hívva a figyelme arra, h az egyes ilyen pontoknál milyen megtévesztések lehetségesek?  Mert mindenki pofázik az ügyfél neveléséről, de valahogy nem futok bele ilyen tájékoztató anyagokba. Talán nincsenek is ilyenek? Mert ha lenne akkor az azon kivül eső megtévesztések következtében beállt kárért a banknak már mindenképp vállalnia kéne a felelősséget! Maga a rendszer alkotója és üzemeltetője nem tudja az ügyfél számára prezentálni, h mit kéne csinálnia a biztonságos bankolás érdekében?  

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

De SMS-t bárki tud küldeni, így ez alkalmas megtévesztésre

Ez nincs így. Ha küldesz nekem egy SMS-t épp jókor, s mondjuk kellően hülye vagyok, beírom a banki felületen a kódot, a bank nem enged be, mert nem jó a kód. Bosszúságot okoztál, de a pénzem megmaradt.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Bőven elég, h adott pillanatban kapsz gyors egymásutánba 8 SMS-t fals adatokkal ahhoz kellően idegállapotba kerüljél, és ne vedd észre h a valodi SMS már nem a loginhoz kér megerősítést, hanem utaláshoz. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ja, nem vagyok ilyen idegbeteg. Ha kell, egy sima akármilyen számla befizetésére szánok negyedórát, ellenőrzöm a számlaszámot is. Desktopon intézem, ahol minden kifér a kijelzőre, átlátható, nem olyan, mint azon a sz.ron, amelyet okostelefonnak hívnak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nagyon jól teszed! Viszont elköveted azt a hibát, és ez hiba további következtetéseket is megengedhetővé tesz, hogy dolgokat úgy ítéled meg helyesnek vagy helytelennek, h magadat veszed hozzá alapul. Az emberek különböznek, valaminek a helyessége v. helytelensége elsősorban nem azon múlik, h személy szerint téged hogyan érint. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Egyfelöl számos olyan helyzet van amikor valaki másért, vagy másokért feleősséget kell vállalnod. Szóval de, igen vállalhatsz felelősséget. De másfelöl  ez elöbb nem felelősségvállalás került szóba, hanem az h képes vagy-e a dolgokat saját érintetségedtől függetlenül megítélni? Hát az elvárható értelmes embertől, h belegondoljon abba, hogy egy dolog számára nem okoz problémát, de egy másik embernek pl nagyon is tud okozni! Vegye figyelembe h lehetnek olyen helyzetek, állapotok amik mások mint az övéi! A figyelembe vétel az nem felelősségvállalás, nem is értem h jött ez ide!  

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

???

egyre nagyobb kétségbe ejtesz....

Most h hogy viszonyulok a világhoz arra annak h van-e okostelefon-mentes megoldás az online banki ügyintézésre semmi kihatása nem lehet. Micsoda marhaság ez már megint? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Kezdeményezz egy felmérést, hogy ki szánná rá azt a ~28-30E Ft-ot két yubikey-re, hogy azzal lépjen be a netbankjába és a mobilbankjába _is_. Nem vagy kezdő iparos, úgyhogy próbáld azt is megbecsülni, hogy egy meglévő, testreszabott/saját IDM-hez mennyi meló lehet fido2-t hegeszteni. Ahol mondjuk például ForgeRock  vagy KeyCloak van, ott talán egyszerűbb, de hogy melyik irány (saját hegesztésű IDM vagy "gyári")a gyakoribb, az nagyon jó kérdés... 

Segítek. Nem kötelezhetnek mások (idegenek) arra, hogy te vállalj értük is felősséget.
De igazából nem is erről van szó, csak teljesen félrevitték már a tartalmat a többiek a szálon.

A probléma az, hogy mindenkit kényszeríteni akarnak a leghülyébb szintjéhez való alkalmazkodásra. Hogy lassan már sehol sem lehet normális módon bármit csinálni, mert értelmi fogyatékos a népesség harmada és csakis hozzájuk igazított módon lehet bármit intézni.

Technikailag az sms azért lehet probléma, mert eltéríthető. Hogy a magyar szolgáltatókról nem tudjuk, hogy ők is sebezhetőek e, mint a kanadai mobilszolgáltató vagy szigorúbb módon kezelik a roaming adatátadást és itt nem működik az a fajta eltérítés. A hamisított hívószám az itt is működik, mint tapasztalni.

Igen, a leghülyébbekhez kell alkalmazkodni, mert ha erre a világra születik valaki, akkor jogában áll élnie. Ti bevezetnétek a digitális Tajgetoszt. Amúgy nem csak a leghülyébbekről van szó. Én tudnék DÁP-ot használni, csak nem áll módomban a Google adatvédelmi szabályzatát elfogadni, valamint olyan eszközzel rendelkezni, amelyben van helymeghatározó. Azért, mert sérti a privacy-t.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

nem kell a leghulyebbekhez alkalmazkodni. azoknak nyujtson segitseget a hivatal, ne engem korlatozzatok ez miatt, thx.

van mar kovetheto eszkozod. a buta mobiltelefonod.

a paranoiasok 40 eve a vezetekes telefonra mondtak, hogy lehallgatjak oket, 20 eve pedig a bunkofonra... te meg most az okosra. mi sem valtozik :)

biztos én sem fejezem ki elég érthetően magamat. De abban a részben, hogy szerintem a leghülyékhez alkalmazkodást erőltetik, pont arra gondoltam, hogy nem hagynak alternatívát. Neked lehet az sms kért alternatíva, nekem meg az, hogy ne kizárólag valami buta varázslón lehessen csak intézni bármit, hanem legyen "klasszikus" tételes lista, ahol a hozzáértő gyorsabban tud haladni, mint a hozzá nem értő a varázslójával. 

(például az e-szja felületén akadtam ki, hogy nem lehet klasszikus form nézetesen megnézni a bevallást, ahol tudom, hogy mit keresek, hanem csak szöveges keresős, mindig csak egy részletet mutatós varázslós felületen. És a megnézem az egészet egyben lehetőség is csak a kitöltött sorokat mutatja, nem pedig a komplett bevallást. Vagy eldugták a sok hülyeség közt azt a lehetőséget, ahol mindent lehet látni.)

A dápos alkalmazástól is inkább azért ódzkodok, mert mobilos felületeken eddig mindig információhiányos, lebutított felületeket láttam. Még a webes felületeik is sokszor hiányosak, hogy úgy kell másik ablakban keresgélni odavágó információkat.

Pedig ez az egyik dolog, ami civilizált emberré tesz bennünket.

Pl. felelősségem van azért, hogy a gyerekeim, a feleségem, esetlegesen távolabbi családtagjaim kellően edukáltak és műszakilag védettek legyenek hasonló próbálkozások ellen, legyen az egy phishing, egy unokázós csalás, vagy akár csak egy privacy-sértő alkalmazás. 

Ez a 20+ ember egyrészt számít rám, másrészt mekkora vérciki dolog lenne már, hogy itt van a családban egy szakember, aki nagy cégeket megvéd, de a saját családját és környezetét nem tudja (vagy nem akarja).

Én még úgy tanultam, hogy az eszközhasználat. Fantasztikusan rugalmas ez a tudomány. :)

Jó, akkor majd bátran osztogassák a csalóknak az emberek a pénzüket, nem gond, én majd odaadom az enyémet, nehogy hiányt szenvedjenek szegények valamiben. Az meg lényegtelen, velem mi lesz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Érdekesen ferdítesz. Pont azt mondtam, hogy felelősséggel tartozunk mások felé, hogy ne kerüljenek kiszolgáltatott helyzetbe. A tanítás a legjobb dolog, amit tehetünk (az én véleményem szerint).

Bár csak egy ellenőrizhetetlen forrású anekdota, de ez is egy elgondolkodtató nézőpont:

Egyszer egy diák megkérdezte Margaret Mead-et (a híres antropológust), hogy szerinte hol kezdődött a civilizáció. A diák olyan válaszokra számított, mint a kerék, az agyagcserép-töredékek, a horgok vagy más ősi eszközök. De Mead válasza meglepő volt:
„Egy barlangban, ahol egy meggyógyult és összeforrt combcsontot találtak” — válaszolta mosolyogva.
A kérdésre, hogy miért, ezt felelte:
Mert az állatvilágban, ha eltörik a lábad, meghalsz. Nem tudsz vadászni, nem tudsz elmenekülni a ragadozók elől — egyszerűen nem éled túl. De egy meggyógyult combcsont azt jelenti, hogy valaki ott maradt. Valaki segített. Valaki elég fontosnak tartott ahhoz, hogy megvédjen, etessen, és veled várjon. Valaki türelmes volt.
A civilizáció első jele nem egy találmány, drágáim — mondta nekik —, hanem az együttérzés és a türelem. A szív.

Az url sem lehet azonosító mivel nagyon is könnyen megtéveszthető vele az ügyfél. "S" helyett "5" vagy "l" helyett "1" ezt könnyű eltéveszteni. Erre nem lehet blazírozni! Ezek lennének a banki rendszer hamisíthatatlan és megtévesztésre alkalmatlan azon azonosító jegyei ami alapján az ügyfélnek el kell igazodni? Ki meri ezt állítani? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

kh.hu kb 5 perc nézelődést követően: 

annak érdekében, hogy megbizonyosodj az e-bank oldal valódiságáról ellenőrizd a zöld lakatot a keresősáv 

Nyilvánvalóan a banknak kötelessége lenne naprakészen tartani azokat az információkat amik alapján a rendszerét bemutatja az ügyfelek számára és ami információk azt a célt szolgálják, h az ügyfelek eleget tudjanak tenni a bank részéről ugyan tőlük elvárt, de részükre áttekinthetően nem prezentált ellenörzési pontokról, amiket a különböző műveletek során meg kell tenniük, nehogy aztán a bank az esetlegesen beálló kárt az ügyfél gondatlanságára hivatkozva ne térítse meg. Ime a bizonyság h a bank az aki nem tesz eleget kötelezettségének, mert nem h az egyes banki műveletekre lebontva nem ad tájékoztatást az ügyfél által elvégezni szükséges ellenörzési pontokról, de még a téma komolyságát semmibe vevő általános hablatyolásban is elavult információt közölnek. 

Most akkor mit csináljon az ügyfél? Telefonáljon be, h neki nincs zöld lakat? És akkor mit mondanak neki, h az véletlenűl úgy maradt a szövegben? Hogy gondolják ezt? Mennyire lehet ezek után komolyan venni bármit tőlük? 

Na, miket írnak még?

Tájékoztatjuk ügyfeleinket, hogy készpénz-helyettesítő fizetési eszközzel (például bankkártyával, netbankkal, mobilapplikációval) való visszaélés esetén megvizsgáljuk a kárfelelősség kérdését. A kártérítési felelősség intézményünket nem terheli, ha a vizsgálat eredményeképpen az állapítható meg, hogy az ügyfél súlyosan gondatlan magatartásával hozzájárult a kár bekövetkezéséhez. A súlyos gondatlanság fennállásának kérdésében végső döntést a bíróság hozhat.

Jó kis fenyegetést, bíróságot! Bravó! 

Még mit? 

Hogyan védekezhetünk a hamis banki SMS-ek ellen?

  • töröld az SMS-t és a K&H nevében elkövetett támadás esetén kérlek értesíts minket

Ja, nehogy már legyen bizonyítékod a majdani bírósági eljárásban. Gyorsan töröld ki! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Nekem van lakatom, csak nem zöld. :) Azt amúgy én sem értem, hogy miért biztatják az embereket az adathalász e-mailek, SMS-ek törlésére. Pont az a lényeg, hogy megnézem, mit csináltak, hogyan csinálták, hova mutatnak a linkek, és így tovább. Elfér a háttértáron. Majd kitörlöm, ha megunom a nézegetését.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért akad egypár ok rá.

Véletlenül később ne kattintson rá. Az email/SMS/bármi messaging app ne indexelje be autocomplete-re, AI ne tanulja meg, később "random" beajánlásoknak ne legyen része. Az URL esetleges in-app prefetch-elése ne tudjon folyamatosan ismétlődő módon követési lehetőséget biztosítani a támadók számára.

Drive-by attack (amikor nem kell rákattintani, a messaging app automatikusan benyalja a támadást) ellen ugyan nem véd általános esetben, mert mire a usernek lehetősége van törölni, már megtörtént a baj. De pl a manapság divatos "fileless" exploitok esetén (ami nem perzisztens, alapból csak addig él amíg nincs restartolva, cserébe rohadt nehéz utólag megtalálni a nyomait) amíg nincs kitörölve az üzenet, addig a restart után is újra és újra vissza tudja fertőzni az appot. És biztos van még pár ok, ami nem jut eszembe.

Szóval nem teljesen hülyeség, hogy kitörlöd, legalábbis csökkented a kockázatot. Meg aztán nem mindenki forensic expert, hogy tudjon bármi értelmeset kezdeni (pláne telefonon) ilyen üzenettel.

Régóta vágyok én, az androidok mezonkincsére már!

Telefon az önmagában egy veszélyes eszköz, erre akarják kényszeríteni az embereket, mint a biztonság fellegvárára. Na, mindegy.

Ezzel szemben desktopon megérkezik Claws Mail kliensre a levél, nem csinál az semmit vele, és messziről látom, hogy spam, mert a lényeges információk nincsenek „ergonomikusan” elrejtve.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Most szeretnèk utalni jelentös összeget,hogy kiküszöböljem a hiba fàzisokat.A kis szemtelen bankosok:fintorognak,hülyènek nèznek,felhìvnak,akadèkoskodnak.

Rèszemröl:mosoly.Majd visszakèrdez:Inkàbb ön hibàzzon ebben az àtutalàsban mint èn.Mert akkor tudok hülyèzni.Csòkolom

Kis àtutalàs:online bank/aplikàciò.

Nagy uti:megyek asztalhoz.

Tadàm.

Nem értem h ez micsoda itt! Ebben az esetben mi a szolgáltatás tárgya? És ki a szolgáltató? Most képes voltál azzal előállni, h vannak dolgok amiknek a használatát meg kell tanulni? Baszki nem hiszem el h ennyire korlátolt vagy! Persze repülőgépet is meg kell tanulnia vezetni a pilótának! 
Szóval nem úgy van az, hogy nekem minden hülyeségre reagálnom kéne itt! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Te várod el, hogy a bank minden ügyfele helyett helyt álljon ha kár keletkezik, mindezt feltételek nékül, mert az ügyfélnek joga van hülyének lenni, és a bank kutya kötelessége ezt megoldani egymaga, ügyfél együttműködés nélkül, de engem nevezel korlátoltnak... :-D

Ha nem látod a példám és a vita tárgya közötti erős párhuzamot, azon én nem tudok segíteni. Valószínű újabb példák leírásával sem kerülsz közelebb a mondandóm lényegéhez (vagy az érvelésed elvi hibájának beismeréséhez).

Ezt úgy hívják, hogy nagykorúság. Felelősségvállalás. Vagy hivatalosabban önálló cselekvésre képes személy. 

A tudatlanság nem mentesít a cselekmények következményeitől. Ha valaki nem cselekvőképes, akkor pedig gondokság alá kell helyezni, aki helyette képes eljárni. 
https://hu.wikipedia.org/wiki/Cselekv%C5%91k%C3%A9pess%C3%A9g

( hrgy84 | 2025. 06. 23., h – 19:11 )

Szerkesztve: 2025. 06. 23., h – 19:12

Na, kiderült már, hogy a posztnyitó az igazi ember vagy csak valami elszabadult AI? Vagy kell még 60 topic hogy ez kiderüljön? Mondjuk, legalább pörög a fórum, 300+ poszt, a nyitótól meg alig valami. Jól felkavarta itt az állott iszapot.

Trollokat, okosokat, laikusokat, és összeesküvés hívőket is várok a szálba!

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-