Aukcje.org
Aukcje internetowe w Polsce i na świecie
Kokos.pl - „pracujemy nad tym”
Po recenzji Kokos.pl, którą opublikowałem dziś w nocy, w dzień skontaktował się ze mną Sebastian Wojdył. Odniósł się do uwag zawartych w tekście - jak się okazuje, nad większością spraw już pracują.
Zasadnicza kwestia, czyli bezpieczeństwo: Kokos pracuje nad mechanizmem, który uniemożliwi ustawianie zbyt krótkich i prostych haseł. Część zmian jest/będzie wprowadzona niezwłocznie, inne - dotyczące mechanizmu zmiany hasła nadal są w opracowaniu.
„A jaki to problemem dorobić formularz zmiany hasła” - mógłby ktoś zapytać.
Otóż to jest problem i część programistów piszących aplikacje biznesowe starła się z nim. Można wymusić kolejne zalogowanie przed dostępem do ustawień hasła - takie rozwiązanie stosuje np. Allegro. Jednak dodatkowe logowanie może irytować użytkowników, a także przyzwyczaja do podawania haseł w sytuacjach innych niż „logowanie do serwisu na dzień dobry ”. Phisherzy bardzo często wykorzystują takie „przyzwyczajenia”. Sporo serwisów stosuje dodatkowe zabezpieczenia: uwierzytelnienie MS Passport (eBay), hasła jednorazowe na listach lub podawane via SMS (to np. mBank i inne e-banki), sprzętowe generatory haseł jednorazowych (PayPal amerykański, niemiecki i australijski ). To nie jest kwestia zrobienia „protego formularza zmiany hasła” - zwłaszcza w serwisach finansowych.
OK, ale skoro Kokos nadal „pracuje nad tematem” to czy jest bezpieczny?
Jest bezpiecznie, przynajmniej do momentu kiedy zablokowana jest zmiana numeru konta bankowego. Jeśli użytkownicy zażyczą sobie takiej funkcjonalności, system będzie musiał być odporny na wypadek kombinacji „przejęcie konta użytkownika + zmiana numeru konta bankowego + szybkie wypłacenie środków z Kokosa”. Ciekaw jestem jak to rozwiążą - czy wybiorą coś sprawdzonego, czy stworzą coś kompletnie nowego.
W korespondencji pojawiły się także zapowiedzi nowości, nad którymi pracuje Kokos. M.in. serwis zaczął współpracę z firmą COW CROSS w zakresie windykacji - wkrótce udostępni mechanizm automatyzujący całość procedury odzyskiwania środków.
Zobacz:
Poprzedni news: Kokos.pl - obiecana recenzja
Następny news: otoMoto.cz - startuje czeskie otoMoto.. i coś jeszcze
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# Monetto — 9/4/2008 @ 23:05:
Bezpieczeństwo to kwestia priorytetowa.
Dlatego na Monetto każda transakcja wypływu środków jest monitorowana przez pracowników serwisu a bezpieczeństwo zawsze było stawiane jako piriorytet.
W sprawie haseł - istnieje u nas mechanizm który wymusza m.in okresową zmianę haseł.
Każda zmiana hasła jest monitorowana, podobnie jak zmiana numeru konta.
Dzięki naszym mechanizmom udało sie także wyeliminować 3 próby oszustw.
# Jacek Z. Strzembkowski — 9/4/2008 @ 23:32:
Hej Monetto
Ręczne przeglądanie (monitorowanie) aukcji jest świetne przy małej ilości ofert. Przy większej, będzie kłopot.
Okresowa zmiana haseł - mimo że niewygodne, podoba mi się. Jest jeden minus - zauważyłem to u kilku znajomych którzy mają „przymus zmieniania hasła” w pracy: zmieniają jedną literę/cyfrę. Może hasła jednorazowe przy grubszych transakcjach ? Tak, jak w mBanku?
# Monetto — 9/4/2008 @ 23:56:
Monitorowanie aukcji nie musi być ręczne - są odpowiednie mechanizmy, zadane parametry które alertują podejrzane zachowania.
Zmiana hasła - nawet mała zmiana zapobiega przejęciu np. przypadkowo podejrzanego hasła, niemniej hasła jednorazowe najprawdopodobniej także zostaną wprowadzone.
# mario — 10/4/2008 @ 13:01:
Tu jest ciekawostka
http://social-lending.pl/read.php?5,22
# abcde — 10/4/2008 @ 21:08:
No coz - do mnie nie przemawiaja te procedury „bezpieczenstwa” moneto. Swoja droga domena moMetto.pl juz nalezy do kogos innego… o tym juz nie pomysleli. Ciekawe o czym jeszcze nie pomysleli?
# Monetto — 10/4/2008 @ 21:52:
Kwestia jest chyba dość prosta - pewnie większość osób doceni bezpieczeństwo wtedy kiedy kilku pożyczkodawców będzie miało problem z odzyskaniem swoich należności.
Dopóki jest to ruch „early adopters’ dopóty ryzyko jest mniejsze. Jak wejdą „zwykli” userzy - może być gorzej.
To czy ktoś woli bezpieczeństwo czy jego brak jest każdego z nas indywidualną sprawą.
# abcde — 10/4/2008 @ 23:26:
@Monetto:
Ciagle ta mantra „bezpieczenstwo”… Zopa i prosper pisza wyraznie ze posrednicza w „unsecured loans”.
Powinniscie raczej uswiadamiac ludzi ze z tym bezpieczenstwem to jest roznie. Na allegro setki ludzi weryfikuja miliony aukcji, a Wy twierdzicie ze jestescie najlepsi z „bezpieczenstwa"bo monitorujecie swoje 30 aukcji i z tego 3 usuneliscie…
Bo jak w koncu ktos nie bedzie splacal pozyczki 25.000 zl udzielone przez monetto to ludzie beda mieli do Was pretensje…
# abcde — 10/4/2008 @ 23:31:
Jeszcze apropo’s „bezpieczenstwa” i pobierania skanow dokumentow jako „zabezpieczen” :-)
http://www.aukcje.org/archives/2008/04/10/jpg-jako-dowd.htm
# Monetto — 11/4/2008 @ 0:13:
@abcde - nie mantra - to ludzie mają rozstrzygać a nie my.
Naszym zdaniem social lending opłaca sie przy większych kwotach. A większe kwoty to potencjalnie większe ryzyko. Więc muszą być zabezpieczenia.
Kilka przykładów - stosujący silne zabezpieczenia lendingclub.com ma 0% (słownie ZERO procent) niespłaconych pożyczek.
A co do ZOPA - oferują ubezpieczenia…..
Ostatnie kwestia w sprawie „mantry bezpieczeństwa” - nie powiedzieliśmy wszak że zamykamy sie tylko na takie rozwiązania. Niedługo wprowadzimy szereg nowych.
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.