Re: [新聞] 【全國盜領網1】官方繳費平台出包無密碼免驗證挪用他人存款

看板Gossiping作者davywangtw (davy)時間4年前 (2020/05/05 12:38)推噓4(4推 0噓 7→)

留言11則, 4人參與討論串5/5 (看更多)

※ 引述《TonyQ (得理饒人)》之銘言： : 這件事情跟這篇新聞都很有趣。 : 我先講我也很討厭財金公司，這間公司搞出不少鳥事，專業程度也很有待改善。 : 但這個案子我覺得鍋不是他們的，理由是 : 1. 全國繳費網算是一個 gateway ， : 他只是負責提供平台讓繳款跟付款的人兩邊對接。 : 2. 驗證應該是雙邊驗證的程序， : 換言之轉出方要核對接收方的處理， : 轉入方也該確保轉入方有驗證到對應的身分。 : 不然，這系統誰敢用。 : 3. 這件事情雖然財金公司， : 可能要為 protocal 設計不友善負上一點責任， : (我必須說他們找點會設計 api 跟資料流的人好不好， : 下略幾萬字。) : 但真正的問題顯然在銀行端啊， : 銀行端莫名奇妙收錢還不用確認轉帳帳號的身分。 : 自己實作這類機制還不用把關，反正錢收到就好。 : 然後現在出事兩手一攤推給財金， : 銀行名字隻字不提........ : 只能說好大的官威。 : 很多公司都有實作這類存款戶轉線上交易，他們都能做到檢驗本人， : 那為什麼這案銀行端該做的沒做，該驗的沒驗，該把關的沒把關。 : 而且這麼明顯的過失，竟然沒有被揭露銀行名字。 : 我覺得不是要幫財金公司講話，而是這樣到底是在究三小責。我覺得大家都忽略最重要的地方反而認為是收款端銀行沒驗證沒做好這是很危險的想法這次產生的問題重點應該是確認交易提出者的身分怎麼會覺得收款端銀行有驗證就沒事了？以資訊系統的安全設計上是不應該輕易相信外部系統的不能確定對方有沒有做好驗證就不應該輕易把錢轉出去畢竟損失是發生在匯出端啊就算有驗證好了哪天對方銀行系統被駭跑出一筆你的名字的借款怎麼辦？匯出端銀行把交易丟出去認為對方應該要做好驗證那跟把錢丟地上看是不是對的人撿到不是差不多？就算剛好款項正巧是我要付的也是該先確定付款者是不是本人吧？我想多生幾天利息不行嗎？身分驗證其實不好做也不一定每個銀行都有能力管的嚴系統不好做使用者覺得麻煩不想用管的鬆系統又充滿危險應該使用情境取一個平衡點現在刷卡都有二階段驗證了直接從帳戶扣款竟然沒有？不是後者比較危險嗎？金融相關的系統是不是應該嚴謹一點呢？以上只是我個人一點想法跟鄉民分享手機排版請多見諒 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.10.61.73 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1588653507.A.4F8.html

推

StylishTrade

05/05 12:40, 4年前 , 1^F

05/05 12:40, 1^F

※ 編輯: davywangtw (101.10.61.73 臺灣), 05/05/2020 12:42:35

→

StylishTrade

05/05 12:41, 4年前 , 2^F

05/05 12:41, 2^F

→

StylishTrade

05/05 12:42, 4年前 , 3^F