Posprawdzałem - wyniki w pełnym spectrum:
- santander - sms przy każdym logowaniu, mają wprowadzić "zaufane"
- mille - sms przy pierwszym, kolejne bez (sami pisali, że ma być co 90 dni)
- mBąk - sms przy pierwszym, możliwość ustawienia "zaufanego" urządzenia, nawet działa, ale tylko do zamknięcia "okna prywatnego" przeglądarki
- citi - sms przy pierwszym logowaniu, przy kolejnych brak - bez słowa wyjaśnienia,
- bnp planet (goonline mi się nie chciało sprawdzać) - sms przy każdym,
- inteligo - PSD2 mają w d4, żadnych zmian, ani śladu smsa,
- idea - sms przy pierwszym, możliwość ustawienia "zaufanego",
- kantor aliora - sms przy każdym,
- CA - również w d4, ani słowa o sms, choć to może dlatego, że mam tylko pusty ST,
- ing - również bez sms, może dlatego, że też pusto, ale pojawia się informacja, że może być - i że już od 20 sierpnia.

Najgorzej zapowiada się N26 - oni w ogóle nie mają autoryzacji SMS, jedynie przez apkę.

Dnia Sat, 14 Sep 2019 07:35:34 -0700 (PDT), Dawid Rutkowski
napisał(a):

Posprawdzałem - wyniki w pełnym spectrum:
- mBąk - sms przy pierwszym, możliwość ustawienia "zaufanego"
urządzenia, nawet działa, ale tylko do zamknięcia "okna prywatnego"
przeglądarki

Czyli cookie ? No to tak chyba bedzie - "prywatnie" nie zadziala.

Gdyby zadzialalo ... co by to byl za tryb prywatny :-)

- inteligo - PSD2 mają w d4, żadnych zmian, ani śladu smsa,

Ale cos tam pisza. Ze jutro aktualizacja, ze zmiany juz sa
https://inteligo.pl/aktualnosci/komunikaty/psd2-zmiany/

Jakos inaczej zinterpretowali nowe prawo ?


J.

On Sat, 14 Sep 2019 16:51:48 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Czyli cookie ? No to tak chyba bedzie - "prywatnie" nie zadziala.

Tak samo niesprawny mechanizm jak alert google "wykryto logowanie z nieznanego urządzenia" w przypadku trybu incognito lub prywatnego. A co jeśli ktoś wyłącznie używa w trybie incognito??

--
Marek

W dniu sobota, 14 września 2019 17:09:24 UTC+2 użytkownik Marek napisał:

On Sat, 14 Sep 2019 16:51:48 +0200, "J.F." wrote:
> Czyli cookie ? > No to tak chyba bedzie - "prywatnie" nie zadziala.

Tak samo niesprawny mechanizm jak alert google "wykryto logowanie z nieznanego urządzenia" w przypadku trybu incognito lub prywatnego. A co jeśli ktoś wyłącznie używa w trybie incognito??

Kantor aliora przesyła mi to przy każdym otwieraniu nowego okna prywatnego...
Ale jaki inny mechanizm proponujesz? Wiadomo było, że będzie cookie.

Inna sprawa, że firefox ma to nie do końca przemyślane - albo też przemyślane inaczej niż ja bym sobie przemyślał - czyli powiedzmy, że jest zrozumiałe, że w ramach jednego okna prywatnego - niech nawet będzie, że w jego wszystkich kartach - cookies itp. są zapisywane i w każdej karcie dostępne - ale są one dostępne też w kolejnych oknach prywatnych, dopóki się tego pierwszego nie zamknie.

On Sat, 14 Sep 2019 09:14:04 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

Ale jaki inny mechanizm proponujesz?

W chwili obecnej żaden. Żaden taki mechanizm się nie sprawdzi bo tryb prywatny zawsze będzie  to psuł z założenia.
Tu nie tylko chodzi o cookie, mechanizmy targowania urządzenia opierają się na wielu innych cechach przeglądarki oraz połączenia.
Pewną jaskółką jest to rozwiązanie, ale jeszcze jestem sceptyczny:

https://youtu.be/y-zKCDqnP3k

--
Marek

Dnia Sat, 14 Sep 2019 17:10:12 +0200, Marek napisał(a):

On Sat, 14 Sep 2019 16:51:48 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Czyli cookie ? No to tak chyba bedzie - "prywatnie" nie zadziala.

Tak samo niesprawny mechanizm jak alert google "wykryto logowanie z nieznanego urządzenia" w przypadku trybu incognito lub prywatnego. A co jeśli ktoś wyłącznie używa w trybie incognito??

To jest wrogiem googla :-)

J.

W dniu 2019-09-14 16:51, J.F. pisze:

Dnia Sat, 14 Sep 2019 07:35:34 -0700 (PDT), Dawid Rutkowski
napisał(a):

Posprawdzałem - wyniki w pełnym spectrum:
- mBąk - sms przy pierwszym, możliwość ustawienia "zaufanego"
urządzenia, nawet działa, ale tylko do zamknięcia "okna prywatnego"
przeglądarki

Czyli cookie ?
No to tak chyba bedzie - "prywatnie" nie zadziala.

Gdyby zadzialalo ... co by to byl za tryb prywatny :-)

Hmmm, akceptacja cookiesów jedynie na czas tgrwania sesji i po zamknięciu okien przeglądarki w trybie prywatnym kasowanie ciasteczek?

K.

--
http://www.krystek.art.pl/

On Sat, 14 Sep 2019 07:35:34 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

- mBąk - sms przy pierwszym, możliwość ustawienia "zauf
anego" urządzenia, nawet działa, ale tylko do zamknięcia "ok
na prywatnego" przeglądarki

No i cyrk się zaczyna, wczoraj pamiętało "zaufane urządzenie" dziś już nie rozpoznaje (nie chodzi o tryb prywatny). Ciekawe jak szybciutko i po ilu *urwach  na mlini cichutko wyłączą ten idiotyzm dla lamerii.

--
Marek

Marek pisze:

On Sat, 14 Sep 2019 07:35:34 -0700 (PDT), Dawid Rutkowski <drutkow1@wp.pl> wrote:

- mBąk - sms przy pierwszym, możliwość ustawienia "zauf
anego" urządzenia, nawet działa, ale tylko do zamknięcia "ok
na prywatnego" przeglądarki

No i cyrk się zaczyna, wczoraj pamiętało "zaufane urządzenie" dziś już nie rozpoznaje (nie chodzi o tryb prywatny). Ciekawe jak szybciutko i po ilu *urwach  na mlini cichutko wyłączą ten idiotyzm dla lamerii.

Jedno to tryb prywatny, a drugie to ustawienie w opcjach kasowania ciasteczek w momencie zamknięcia przeglądarki (to są dwa zbiory nie tożsame, ale mogą mieć część wspólną - kasowanie ciasteczek). No niestety, dla FF trzeba, jak na razie, mieć założony osobny profil do obsługi banków. Z akceptacją ciasteczek. I nie kasowaniem w momencie zakończenia programu.

On Sat, 28 Sep 2019 12:28:57 +0200, Andrzej Kłos<andy.klos@wp.pl> wrote:

obsługi banków. Z akceptacją ciasteczek. I nie kasowaniem w momencie zakończenia programu.

Coś mieszasz. Są ciastka czasowe (ważne do) oraz ciastka ważne  "sesyjnie" do zamknięcia przeglądarki. Oba rodzaje mają swoje konkretne zastosowanie. Sugerujesz, że devel w mBanku  nie odróżnia obu i bezmyślnie wybrał nietrwałe ciastko sesyjne (wiadomo, że spora część użytkowników zamyka przeglądarkę/system) do indentyfikacji przeglądarki??

--
Marek

Marek w <news:almarsoft.2066233560651613736news.neostrada.pl>:

On Sat, 28 Sep 2019 12:28:57 +0200, Andrzej Kłos<andy.klos@wp.pl> wrote:

obsługi banków. Z akceptacją ciasteczek. I nie kasowaniem w momencie zakończenia programu.

Coś mieszasz.

Ty nie zrozumiałeś.

(wiadomo, że spora część użytkowników zamyka przeglądarkę

I czyści wtedy cookies bezmyślnie/z premedytacją (wszystkie)


--
'Tom N'

On Tue, 1 Oct 2019 23:29:18 +0200, 'TomN' <news@intf.dyndns.org.invalid> wrote:

I czyści wtedy cookies bezmyślnie/z premedytacją (wszystkie)

Nie wierzę, żeby był aż tak gruby błąd.
A jakie jest cookie mBanku? Czasowe czy sesyjne? I dlaczego w ogóle wybrali cookie jak już dawno używa się inne metody fingerprintu przeglądarki czy nawet OSa??

--
Marek

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.3734378341877799057@news.neostrada.pl...

On Tue, 1 Oct 2019 23:29:18 +0200, 'TomN'

<news@intf.dyndns.org.invalid> wrote:

I czyści wtedy cookies bezmyślnie/z premedytacją (wszystkie)

Nie wierzę, żeby był aż tak gruby błąd.
A jakie jest cookie mBanku? Czasowe czy sesyjne? I dlaczego w ogóle

To do "zaufanego komputera" czasowe.

A do sesji sesyjne.

wybrali cookie jak już dawno używa się inne metody fingerprintu przeglądarki czy nawet OSa??

I jaka konkretnie proponujesz ?

J.

On Wed, 2 Oct 2019 10:07:04 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

To do "zaufanego komputera" czasowe.

Z kontekstu zachowania mBanku oraz skali zgłaszanych problemów wynika, że jednak do tego użyto sesyjne.

I jaka konkretnie proponujesz ?

Za ile?

--
Marek

W dniu środa, 2 października 2019 10:55:22 UTC+2 użytkownik Marek napisał:

On Wed, 2 Oct 2019 10:07:04 +0200, "J.F." wrote:
> To do "zaufanego komputera" czasowe.

Z kontekstu zachowania mBanku oraz skali zgłaszanych problemów wynika, że jednak do tego użyto sesyjne.

Tak chyba zrobili na samym początku - ale szybko poprawili.
Teraz kłopoty mają tylko paranoicy czyszczący cookies przy zamykaniu przeglądarki - ale fama została.

> I jaka konkretnie proponujesz ?

Za ile?

A co to, jakiś Twój patent, że kupony chces odcinać?
Podobno "już dawno używa się inne metody fingerprintu przeglądarki czy nawet OSa" - więc za co niby płacić?

Użytkownik "Dawid Rutkowski"  napisał w wiadomości grup dyskusyjnych:5ce46cb5-4dfa-4a00-83f3-04efbe550f06@googlegroups.com...
W dniu środa, 2 października 2019 10:55:22 UTC+2 użytkownik Marek napisał:

On Wed, 2 Oct 2019 10:07:04 +0200, "J.F." wrote:

> To do "zaufanego komputera" czasowe.
Z kontekstu zachowania mBanku oraz skali zgłaszanych problemów
wynika, że jednak do tego użyto sesyjne.

Tak chyba zrobili na samym początku - ale szybko poprawili.
Teraz kłopoty mają tylko paranoicy czyszczący cookies przy zamykaniu przeglądarki - ale fama została.

Hm, tak mi sie wydaje, ze od samego poczatku, tzn od 14.09 byla opcja dodania ... i dzialala.

J.

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.7307560285497060193@news.neostrada.pl...
On Wed, 2 Oct 2019 10:07:04 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

To do "zaufanego komputera" czasowe.

Z kontekstu zachowania mBanku oraz skali zgłaszanych problemów wynika, że jednak do tego użyto sesyjne.

No jak - kolega czysci te czasowe codziennie i narzeka ze mbank na drugi dzien nie uwaza za zaufany ...

Swoja droga ... ciekawe czy sie da przeniesc to cookie miedzy komputerami i autoryzowac inny ...

I jaka konkretnie proponujesz ?

Za ile?

Ee tam od razu za ile - zaproponuj, przeanalizujemy, wykazemy błędy, wtedy sam ocenisz ile to warte :-)

J.

On Wed, 2 Oct 2019 11:10:13 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Swoja droga ... ciekawe czy sie da przeniesc to cookie miedzy komputerami i autoryzowac inny ...

Oczywiście, nawet wget ma opcję do importu ciastek z przeglądarki .

Ee tam od razu za ile - zaproponuj, przeanalizujemy, wykazemy błędy, wtedy sam ocenisz ile to warte :-)

Zaryzykuję stwierdzenie, że każda metoda FP ma przewagę nad ciastkami  bo jest niewrażliwa na je paranoiczne kasowanie.

--
Marek

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.4925873620967068095@news.neostrada.pl...
On Wed, 2 Oct 2019 11:10:13 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Swoja droga ... ciekawe czy sie da przeniesc to cookie miedzy komputerami i autoryzowac inny ...

Oczywiście, nawet wget ma opcję do importu ciastek z przeglądarki .

Wget banku nie obsluze ... i kto wie, czy bank czegos wiecej nie sprawdza.

Ee tam od razu za ile - zaproponuj, przeanalizujemy, wykazemy błędy,  wtedy sam ocenisz ile to warte :-)

Zaryzykuję stwierdzenie, że każda metoda FP ma przewagę nad ciastkami bo jest niewrażliwa na je paranoiczne kasowanie.

Ale moze miec inne wady.  A jak ktos taki paranoik ... to czemu chce autoryzowac komputer ?

Generalnie cookie do tego zostalo wymyslone, inne metody ... maja cos z prowizorki.


J.

On Wed, 2 Oct 2019 11:37:33 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Wget banku nie obsluze ... i kto wie, czy bank czegos wiecej nie sprawdza.

Jak nie jak tak, swego czasu mialem właśnie na wgecie automat do robienia przelewów hurtowych zanim mBank wprowadził koszyk.

Generalnie cookie do tego zostalo wymyslone, inne metody ... maja cos z prowizorki.

Ale (niekoniecznie pierwotnie by design) teraz user ma możliwość modyfikowania tego i to w coraz prostszy sposób, więc do bani.
Oczywiście można problem ściągnąć do niedasię argumentując, że wszystko co po stronie usera może być zmodyfikowane, prawda ale niektóre rzeczy łatwiej a inne trudniej i mniej powszechnie. Akurat cookies należą do tych prostszych.

--
Marek

Użytkownik "Marek"  napisał w wiadomości grup dyskusyjnych:almarsoft.4478109385398641193@news.neostrada.pl...
On Wed, 2 Oct 2019 11:37:33 +0200, "J.F." <jfox_xnospamx@poczta.onet.pl> wrote:

Wget banku nie obsluze ... i kto wie, czy bank czegos wiecej nie sprawdza.

Jak nie jak tak, swego czasu mialem właśnie na wgecie automat do robienia przelewów hurtowych zanim mBank wprowadził koszyk.

teraz wszystko w javascrypcie i cookies sesyjnych :-)

Generalnie cookie do tego zostalo wymyslone, inne metody ... maja cos  z prowizorki.

Ale (niekoniecznie pierwotnie by design) teraz user ma możliwość modyfikowania tego i to w coraz prostszy sposób, więc do bani.
Oczywiście można problem ściągnąć do niedasię argumentując, że wszystko co po stronie usera może być zmodyfikowane, prawda ale niektóre rzeczy łatwiej a inne trudniej i mniej powszechnie. Akurat cookies należą do tych prostszych.

Zalezy co chcesz osiagnac - czy prostote dla usera, czy kompatybilnosc z roznymi przegladarkami/komputerami/OS, czy odpornosc na manipulacje i hackerow ...

J.

Marek <fake@fakeemail.com> writes:

A jakie jest cookie mBanku? Czasowe czy sesyjne? I dlaczego w ogóle
wybrali cookie jak już dawno używa się inne metody fingerprintu
przeglądarki czy nawet OSa??

Którego OSa?
--
Krzysztof Hałasa

On Wed, 02 Oct 2019 22:41:39 +0200, Krzysztof Halasa <khc@pm.waw.pl> wrote:

Którego OSa?

Każdego? (nmap)

--
Marek

Marek <fake@fakeemail.com> writes:

Którego OSa?

Każdego? (nmap)

???

Czy masz na myśli OSa, na którym uruchomiona jest przeglądarka, czy np.
OS, który komunikuje się bezpośrednio z bankiem (w sensie endpointów
TCP/TLS), czy jeszcze jakiś inny, np. proxy robiący NAT?

Domyślam się, że to pierwsze raczej nie (co ma NMAP do przeglądarki),
a szkoda - bo to dane najbardziej prawdopodobne oraz szczegółowe.
"Rozdzielczość" detekcji NMAPa jest "raczej" taka sobie.
--
Krzysztof Hałasa

W dniu 2019-10-01 o 23:29, 'TomN' pisze:

I czyści wtedy cookies bezmyślnie/z premedytacją (wszystkie)

Myślę, że jak ktoś kasuje to z premedytacją bo defaultowo nie są kasowane.

Kilka lat temu kupowałem pierwszy raz w życiu bilet lotniczy. Odszedłem od komputera (wyłączyłem go) bo placki ziemniaczane wolę jeść na ciepło i jak wróciłem to cena była już wyższa. Pomyślałem - miałem pecha (kolejny pech - bilet i tak nie został wykorzystany).
Jak rok temu przyszła znajoma, aby kupić bilet z naszego komputera bo u nas powinno być taniej niż u niej to wtedy skojarzyłem to z cookies.

I teraz kasuję (na wszelki wypadek) z premedytacją.
P.G.

W dniu środa, 2 października 2019 10:16:39 UTC+2 użytkownik Piotr Gałka napisał:

Jak rok temu przyszła znajoma, aby kupić bilet z naszego komputera bo u nas powinno być taniej niż u niej to wtedy skojarzyłem to z cookies.

I teraz kasuję (na wszelki wypadek) z premedytacją.

Wystarczy kupować bilety w "oknie prywatnym".

Jak kiedyś wyczyściłem cookies na polecenie jakiegoś banku, to musiałem sobie na nowo konfigurować wygląd kilku usług, z jakich w przeglądarce korzystam.

W dniu 2019-10-02 o 11:06, Dawid Rutkowski pisze:

Wystarczy kupować bilety w "oknie prywatnym".

Pod wpływem tego wątku odkryłem jak się otwiera okno prywatne (nigdy nie szukałem bo nie wiedziałem, że istnieje).
Ale na razie nie udało mi się znaleźć jak można ustawić aby Opera się standardowo otwierała w oknie prywatnym.

Jak kiedyś wyczyściłem cookies na polecenie jakiegoś banku, to musiałem sobie na nowo konfigurować wygląd kilku usług, z jakich w przeglądarce korzystam.

Dotychczas radziłem sobie tak, że:
- po skasowaniu wszystkiego poustawiałem to co ważne,
- odczekałem dobę,
- następnie na koniec każdego dnia kasowałem wszystko z ostatnich 24h.
P.G.

Użytkownik "Piotr Gałka"  napisał w wiadomości grup dyskusyjnych:qn1md4$ds7$1$PiotrGalka@news.chmurka.net...
W dniu 2019-10-01 o 23:29, 'TomN' pisze:

I czyści wtedy cookies bezmyślnie/z premedytacją (wszystkie)

Myślę, że jak ktoś kasuje to z premedytacją bo defaultowo nie są kasowane.

Kilka lat temu kupowałem pierwszy raz w życiu bilet lotniczy. Odszedłem od komputera (wyłączyłem go) bo placki ziemniaczane wolę jeść na ciepło i jak wróciłem to cena była już wyższa. Pomyślałem - miałem pecha

Jak rok temu przyszła znajoma, aby kupić bilet z naszego komputera bo u nas powinno być taniej niż u niej to wtedy skojarzyłem to z cookies.

I teraz kasuję (na wszelki wypadek) z premedytacją.

Mowisz, ze takie numery ?
Warte sprawdzenia, ale w biletach:
-czasem czas do wylotu sie liczy - miescisz sie w znizkowym terminie, a na drugi dzien/5 minut pozniej juz  nie ..
-bywaja pule znizkowych biletow, w miedzyczasie ktos wykupil,
-albo nawet system odnotowal, ze jestes zainteresowany, wiec wolne miejsca sie koncza ... i podniosl cene dla kolejnych klientow ... w tym i dla ciebie.

J.

W dniu 2019-10-02 o 11:48, J.F. pisze:

Mowisz, ze takie numery ?

Nie mam dużego doświadczenia. Dwa razy kupowałem bilety i dwa razy nie zostały wykorzystane.

Warte sprawdzenia, ale w biletach:
-czasem czas do wylotu sie liczy - miescisz sie w znizkowym terminie, a na drugi dzien/5 minut pozniej juz  nie ..
-bywaja pule znizkowych biletow, w miedzyczasie ktos wykupil,
-albo nawet system odnotowal, ze jestes zainteresowany, wiec wolne miejsca sie koncza ... i podniosl cene dla kolejnych klientow ... w tym i dla ciebie.

Po tym zdarzeniu co opisałem przyjąłem, że miałem pecha i było coś z tych rzeczy.

Ale ta znajoma co przyszła to mówiła, że wielokrotnie miała tak, że cena podskoczyła a po zalogowaniu z innego komputera była niższa.
Tylko tym razem akurat żadnego dziecka z laptopem nie miała pod ręką.

Z naszego komputera kupiła wtedy bilet taniej - co potwierdziło tę obserwację. A że to pewnie wystarczy skasować historię przeglądarki to już ja wymyśliłem, ale nigdy nie miałem okazji/potrzeby aby się upewnić.
P.G.