Názory k článku Jak funguje Juice Pay?

Za tym Juice Pay bych pouze rad upresnil primou adresu ....

www.citibusinessdirect.com/epay (sem vede odkaz z mobiljuice.cz)

Vami uvadena adresa je spravna nicmene vede na server, ktery nema prilis dobre napojeni na cesky internet. Vyse uvedeny server je v Cechach a vykazuje mnohem lepsi casove odezvy.

S pozdravem Petr Klimes
Vedouci projektu

Vidim, ze humbuk kolem niceho je a asi uz zustane stalou soucasti spolecenskeho deni. Je to opet o nicem, opet zde neni zadna autorizace, opet vam jakasi Citibank muze z vaseho uctu odebrat cokoli ji zrovna napadne a zadne elektronicke podpisy tu neexistuji. Coz na cely tento nesmysl rovnou zapomenout ?

A co kdybyste tedy nastínil, jak byste si to představoval? Jaké elektronické podpisy máte na mysli?

Jakto, že tam není žádná autorizace - pochopitelně musíte každý nákup autorizovat, bez toho se žádná platba neuskuteční. Výhodou proti obvyklému placení kreditkou je to, že zadáváte autorizační údaje jenom do platební brány Citibank, nikoliv desítkám prodejců, kteří mohou být méně důvěryhodní nebo hůře prověřitelní.

Ostatně Citibank a Citigroup je poměrně významná celosvětová banka, takže jakási záruka solidnosti tu snad je.

V článku a v tiskové zprávě se uvádí, že je via JuicePay možné platit v obchodě Globe Internet (www.globe.cz). Spravně mělo být uvedeno, že lze platit všechny služby Globe Internet, prostřednictvím "Platebního centra Globe", na které jsou napojeny
objednávky služeb jako SERVERY.CZ, DOMENY.CZ a dalších.
Univerzální Platební centrum, které je nabízeno k použití zákazníkům Globe Internet bude možnost plateb JuicePay obsahovat v nejbližší době.

Pan Peterka ve svem clanku zminoval ctyri obchodniky, kteri jsou jiz dnes pripraveni prijimat platby pres Juice Pay karty - Ticket Pro, Cedok, Comfor, servery spolecnosti Globe Internet.
Ve skutecnosti je techto obchodniku pet. I kdyz internetovy obchod Vltava byl zminen na konci clanku ve spojitosti s Try-me produkty, bylo by asi vhodne, aby byl zminen s ostatnimi obchodniky.

Richard Novotny
Citibank a.s.

Mate pocit, ze peniaze ktore nosite v penazenke su zabezpecene lepsie ? Skusali ste uz niekedy reklamovat vyber z bankomatu o ktorom ste presvedceny ze ste ho neurobili ? Ake elektronicke podpisy mate na mysli ? V USA uz kedysi davno platili tak ze do telefonu nadiktovali obchodnikovi udaje o kreditnej karte. Ista miera dovery v doveryhodny subjekt je sucast kazdeho financneho mechanizmu.

Autorizaci platby si predstavuji napr. takto:

-----BEGIN PGP SIGNED MESSAGE-----

Transakce: 542565874521 Datum: 07.06.2000 Cas: 14:25:26

Platce: Jan Novak, ucet 123456-789/4321 Prijemce: Nejaka spolecnost, a.s., ucet 654321-987/1234 Castka: 5000.00

-----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: keybcs2

iQCVAgUBOT5P+/F/60p8dUYNAQGMsgQAsXN2iN+xu5RdGQG7TiONZgpyvOeiTR+j YNB8LCHcspw+XgIV2nxkBx9O0BHjNOy1535eAshh/3rhDQpxz/pVee7R2YqJ0TCn IyeI3jz3AssH4OkngmJE4noazO1CU8+YzvR84rWXzfIkCFAZbaxNV5EkU1BGAjMA Kmm2NHuXzNE= =3hL6 -----END PGP SIGNATURE-----

strukturu udaju jsem si vymyslel ted behem chvilky, samozrejme by format datove zpravy musel byt promysleny.

Autorizace pokud vim, zadna neni. Poklepani na nejakou ikonu v browseru neni zadna autorizace. Takto 'poklepat' muze kdokoli, kdo zna user_id a PIN (coz banka ci provozovatel platebni brany nepochybne zna).

Tvrzenim, ze Citibank je pomerne vyznamna a solidni spolecnost a ze je tu tedy zaruka solidnosti davate jemne najevo, ze u te druhe strany (kupujiciho) zaruka solidnosti neni. Dekuji vam pekne ;-)

Ted vazneji - OK, jakasi zaruka serioznosti du dejme tomu je. Pokud se jedna o penize, je to zcela nedostatecne a jedina mozna cesta je ta, kdy platici udela signaturu ale takovymi prostredky, ktere ma zcela pod kontrolou. Platebni brana rozhodne neni pod kontrolou platiciho.

Jsem si ist, ze penize, ktere nosim v penezence jsou zabezpecene lepe, neb je mam plne pod kontrolou.

Reklamaci vyberu z bankomatu jsem neabsolvoval, neb vsechny vybery ktere jsem kdy mel na vypisech jsem uskutecnil.

Nemam nic proti staremu zpusobu nadiktovani cisla karty obchodnikovi a ten necht si penize vyinkasuje. Tady se ale bavime o zavadeni novych technologii, ktere by se mely delat _jiz od sameho pocatku_ poradne a nikoli je odflaknout, protoze timto zpusobem se mohou za rok zase vylepsovat. Nebo je to zamer ?

Jak sleduji komunikaci, zjistuji, ze bud se myli vsini diskutujici anebo ja :-)
Zil jsem v domeni, ze jde o placeni ve spolupraci s mobilnim telefonem podporujicim WAP. Takze ja kliknu na tlacitko na www strance a do MEHO mobilniho telefonu v ME kapse prijde dotaz na potvrzeni - ja musim telefonem do nejake 'kratke' doby transakci potvrdit, jinak je zrusena. Neni tomu tak ? Ziji snad v bludu ?

Je jednu poznamku: V clanku stoji, ze kupujici nenese: "..žádné transakční poplatky. Tomu je samozřejmě třeba rozumět tak, že
příslušné náklady nese strana prodávající, a nutně tedy musí být zakalkulovány v ceně nakupovaného produktu či služby."

To je veci kalkulace ceny. Pokud obchodnik promitne naklady na provoz kameneho obchodu, mzdy zamestnancu atd. do ceny (coz zajiste musi), tak naklady na on-line provoz budou logicky pri urcitem obratu vyrazne nizsi. Neni tedy nutne primarne si myslet, ze k "cene obvykle" v obchode jeste pribudou transakcni poplatky. Pokud ano, at se jsou bodnout.

Píše se, že nemusím mít (nemám) účet u Citi bank. Já ho ale při založení dostanu, jinak bych si na nej nemohl převést peníze z jiné banky! :)
I když to není klasický účet...

Podle toho, co jsem si zde precet to funguje stejne jako kreditni karta. Jen v tyhle republice je vetsina lidi zvykla na debetni, tak jsou z toho prekvapeny.

Takže schválení transakce by mělo být podepsáno mým pgp klíčem?
To by ale znamenalo nainstalovat na uživatelském počítači pgp, což by byl možná problém v internetové kavárně nebo ve škole - to bych si nosil tajný klíč na disketě? A pgp pro sms nebo wap jsem ještě neviděl. A co ti, co vůbec nemají vůbec možnost emailovat ze svého počítače? To by vedlo k omezení používání jen pro někoho, a podle mého názoru bude úspěšný takový systém, který bude pokud možno pro každého.

Možná by bylo užitečné mít něco podobného jako nadstavbu pro ty, kdo to chtějí využít.

Další možností je využití klientských cerifikátů v prohlížečích.

Myslím, že vštšina obchodních modelů funguje na principu přijatelného rizika pro obě strany obchodu. A kdyby se někomu stalo, že by mu Citibank nějak neautorizovaně hýbala s penězi, tak by se to rychle rozkřiklo, takže toho bych se nebál.

Nemusi to byt zrovna PGP. Muze to byt jakakoli duveryhodna asymetricka kryptografie (duveryhodna=lety provereny algoritmus + dostatecne dlouhy klic + dostupne zdrojaky). Pokud by byl kolem plateb s opravdovou moznosti autorizace takovy medialni kraval jako kolem dzusu, jiste by nebyl zadny problem nainstalovat PGP opravdu do vsech inetovych kavaren. Je to ovsem samozrejme opet bezpecnostni dira jak vrata od stodoly, strkat svuj tajny klic do pocitace v kavarne.
Nevim, zda existuje asymetricka kryptografie pro WAP nebo SMS. Pokud neexistuje, je to prave jeden z velkych nedodelku a nedomyslenosti dzusu. V takovem pripade by bylo lepsi miliony nacpane do nic nerikajicich bilboardu jak jsem sexy nacpat do vyvoje neceho, co se da doopravdy bezpecne pouzivat.
Souhlasim, ze vetsina obchodnich modelu funguje na principu jakesi miry rizika i s tim, ze neautorizovane hybani s penezi by se rozkriklo. Ovsem jak jsem psal uz minule - tu se bavime o necem co je zcela nove a kolem ceho je obrovsky medialni kraval. Hlasitost kravalu je s prinosem zcela nesoumeritelna. Srovnal bych to s minidiskem. Minidisk - v dobe, kdy vypocetni vykon a kapacita zaznamovych medii se zdvojnasobuje kazde 3 mesice kdosi prisel s necim 'uzasnym' - se ztratovou kompresi (=nicenim) muziky. Ano, je to pokrok oproti kazete, ale uz v dobe zavadeni muselo byt jasne, ze je to slepa cesta, neb uz v dobe zavadeni minidisku existovaly CD. To same je, myslim, dzus. Dnes existuje asymetricka kryptografie ale nekdo prijde s necim 'uzasnym' - s autorizaci kliknutim na neco.

Az vas okradou, prijde mi rict, jak to mate pod kontrolou. A nerikejte "me neokradou"....

Pokusy o vyreseni tady jsou - jsou to proprietarni systemy jako je EB (ktery podle me je DOST bezpecny), ovsem ma nevyhodu nutnost vlastnit ucet v bance.. pak je tady CCSka, SET, ktery kdysi (kdy se to o nem psalo, pred tremi lety?) mel byt OPRAVODVYM RESENIM. nezda se. pokud nemate MC/EC kartu od KB, tak se muzete jit klouzat. Takze, chce to najit idelani mix vlasnosti, aby reseni bylo bezpecne, aplikovatelne BEZ ZAVYSLOSTI NA OPERACNIM PROSREDI (umi vase lednicka PGPcko?), bez nutnosti vazani se na konkretni stroj. V duveryhodnem prostredi (ted to povazuju z hlediska vsech, nejen jednoho clanku v retezci) se daji pouzivat bez problemu kreditni/platebni karty, tedy hlavne kreditni. S nizkou osobni odpovednosti, rychlosti a pruznosti kterou tady nevidime, ale taky s znacnamy pozadavkama na informace o vasi osobe. Vzdyt tam o vas vede nekolik uradu informace uz od narozeni, a dle tech vsech vas posuzuji... takze vas pristup se obavam vyznacuje znacnou davkou nadsenectvi a neznalosti problemu... ale pokud prijdete na neco FAKT genialniho, co budete mit neustale pod kontrolou, bude se to dat pouzivat odevsad a bude to pokud mozno fungovat kreditne, tak reknete!

coz je ostatne vec, ktera mi na Juice vadi nejvice - ze to neni kreditka. System "dopln penize, pak plat" se mi nezda dost pruznym, inkasni udrzovani penez je jeste horsi - nemam zajem nechat poflakovat me penize na nejakem virtualnim uctu, kde je mohu pouzit jedinym zpusobem - virtualne. Doufam, ze az bude snad jeste letos fungovat nejake Credit Bureau, bude moznost udelat si JuicePay Credit - s navazanim na ucet, ale s inkasovanim po provedeni platby (a oznameni zakaznikovy, aby mel moznost se ohradit).. pak to bude skutecne pruzne... fuf, no sny jsou krasne, vzhuru do reality, du zkoumat, o kolik nas jako ochodnika Juice oreze ;)

Jakkoli mate pravdu, ze vhodnejsi by bylo transakci autorizovat kryptografickymi prostredky (osobne si myslim, ze perspektivnejsi nez PGP je PKCS, ktere ma podporu ve vetsine prohlizecu), pouzita metoda je stale jeste primerene bezpecna.

Jsou-li udaje o cisle karty zabezpecene sifrovanym spojenim tak, ze prochazejici cislo a PIN neni ostatnim citelne, pak vas ohrozuji nasledujici zbytkova rizika:

- cislo karty a PIN je znamo zamestnancum banky

- sifrovane spojeni bylo napadeno (man-in-the-middle)

Prvni riziko muzme klidne zanedbat. Neni to totiz horsi nez kdyz mate ucet bez elektronickeho pristupu - i v tomto pripade maji zamestnanci banky moznost nakladat s vasim uctem. Ve vetsine smluv o vedeni uctu byva ustanoveni, ze banka nenese odpovednost za skodu vzniklou padelanim podpisu na prikazu - tj. pokud urednice za prepazkou, ktera samozrejme podpis zna napatla prikaz a opatri ho podpisem alespon trochu podobnym, bude banka v podstate z obliga. V kazdem pripade jste zavisly na serioznosti a spolehlivosti zamestnancu banky. V tom tedy Juice neni horsi.

Vaznejsi je napadeni sifrovaneho spojeni "vlozenym pocitacem". Malokdo jiste na zacatku transakce overi, zda certifikat protejsiho serveru je opravdu "ten spravny" - naprosta vetsina se spokoji s tom, ze zamecek zmodra. Mohlo by se tedy stat, ze veskera https komunikace z vaseho pocitace prochazi pres nekoho tretiho, kdo si vsechno pilne poznamenava. V tomto pripade pomuze jen sifrovani nebo digitalni podpis ze strany klienta - a nebo opatrnost a kontrola certifikatu pri kazdem spojeni.

Bezpecnostni opatreni skoro nikdy nejsou transparentni a prakticky vzdy nejak strany transakce se ucastnici omezuji. Realna opatreni pak byvaji politickym rozhodnutim a kompromisem mezi systemem, ktery bude HODNE BEZPECNY, ale klienti jej nebudou pouzivat, protoze pro ne bude prilis komplikovany (a casto take drahy) a systemem, ktery bude HODNE UZIVATELSKY PRIJEMNY, ale nebude mit zadnou bezpecnost.

Prikladem toho prvniho je SET, prikladem toho druheho jsou klasicke plastikove platebni karty. TO jak je ktery system rozsiren vite vsichni sami.

Nikdo nerika, ze pouzity system je tak bezpecny jak to jen soucasne vedecke poznatky dovoluji. Nicmene, pokud uzivatel dodrzi urcita pravidla (tedy overi certifikat serveru protistrany) je jen o malo mene bezpecny nez bezny ucet u teze banky. A vzhledem k tomu, ze system je spise orintovan na denni uzivani koncovymi uzivateli - tedy na na caste spise male nakupy, nemusi byt castka na prislusnem uctu velika, coz realne riziko dale snizuje.

Vetsim nebezpecim pro tento system nez je jeho ne-dostatecna bezpecnost vidim to, ze se nerozsiri natolik, aby prekonal kritickou hranici za kterou by se uz siril lavinovite - jak mezi uzivateli tak obchodniky. Klasicke plastikove karty s nejvetsi pravdepodobnosti ani priblizne neohrozi. TO vsak hodnotu tohoto pokusu nesnizuje. Ostatne, nikdo se nemusi ucastnit.

Nerikam, ze me neokradou. Ale kdyz me okradou, budu si za to moci sam.
Az vam virtualne zmizi prave penize z dzusoveho uctu, prijdte mi rici taky ;-)

SET skutecne muze byt opravdovym resenim. Proc se (zatim?) neujal sam nechapu. Nejspis to bude proto, protoze je to pro mnoho lidi 'prilis slozite'. Toto bude (samozrejme IMHO) ten nejvetsi problem celeho systemu. 99% lidi mi neni schopno poslat z Wordu citelny dokument. Soubor->Ulozit_jako->MS-DOS-text->OK je totiz pro ne prilis slozite. To myslim zcela vazne.
Pokud chcete resit platby bez zavislosti na operacnim prostredi, musime si ujasnit, co tim myslite. Moje lednicka PGP neumi (ani to po ni nepozaduji). Rekl bych, ze PGP (nebo neco obdobneho) by slo naucit JavaCard. Pokud ale tim 'bez nutnosti vazat se na konkretni stroj' myslite strojem i computer velikosti kreditky, pak uloha opravdu nema reseni. JavaCard by mohlo byt to prave. Muze totiz (narozdil napr. od klice E-banky) byt zcela pod kontrolou uzivatele. Chtelo by to ovsem mit na ni jeste klavesnici (PINpad). I takove karty uz existuji, dokonce maji LCD display.

Co se tyka kreditnich karet - je to ciste problem nasich bank. V civilizovanych zemich kreditni karty funguji tak, ze cerpate uver, ktery kdyz (zpravidla) zaplatite do 20. dne nasledujiciho mesice, neplatite zadne uroky. V nasich (necivilizovanych) zemich to funguje tak, ze uroky platite i kdyz zaplatite dle kriterii civil. zemi vcas.
Myslim, ze skutecnost, zda se jedna o kreditni/debetni kartu nehraje roli.

Tak co byste rekl na JavaCard ? Nebylo by to levne, samozrejme, robustni systemy proste levne nejsou. JavaCard by totiz umoznila, aby si zakaznik mohl nechat vystavit kartu (JavaCard) s uz hotovou aplikaci, pripadne si tam aplikaci muze nahrat sam. ?

Se SETem by se chtelo rict "je to proste, mily Watsone". A zdaleka nejde o to, ze je slozity pro koncove uzivatele, i kdyz to, ze je nutne mit nainstalovanu specialni aplikaci je uz samo o sobe znacnou prekazkou.

SET je komplikovany a drahy predevsim pro samotne banky. Vyzaduje napriklad nezavisleho tretiho, coz pomerne komplikuje uz jen napr. smluvni vztahy. Sam protokol je vypocetne pomerne narocny a jeho zavedeni tak vyzaduje zakoupeni a instalaci specialniho pomerne vykoneho hardware. Na vykony hadrware je potreba samozrejme prislusny velice drahy software. To vsak stale jeste neni hlavni prekazka.

Hlavni prekazka je NEZAJEM americkych bank. Pravni system v americe je vuci podvodum s kreditnimi kartami VELICE prisny. Ne, ze by se podvody nepachaly i tak, ale v celkovem objemu transakci si banky pravdepodobne spocitaly, ze soucasny karetni system je i pres ztraty zpusobene podvody LACINEJSI nez zavedeni a provozovani SETu.

V Evrope je situace ponekud odlisna a je tu take ponekud vetsi zajem na zavedeni SETu (ostatne, podivejte kde se v ramci sveta konaly pilotni projekty, zejmena ty, ktere vyustily alespon v jednu platbu - z toho to bude videt uplne zretelne), nicmene je krajne nepravdepodobne, ze se v evrope podari zavest system, ktery bude amerika proste okazale ignorovat. A postoje bank naprosto jasne naznacuji, ze se jim do toho moc nechce. To je okolo SETu cele. SET je v podstate mrtve narozene dite a to jeste dite v podstate nikym nechtene.

Zminujete se take o hardwarovem klici E-banky resp. o JavaCard na jeho miste - ano, to je mozne _technicke_ reseni. Soucasne je to ale asi system s nejzazsi jeste akceptovatenou neprivetivosti vuci uzivateli. Mozna se to bude zdat nepochopitelne, ale spousta lidi bude povazovat za PRILIS SLOZITE vytukavat platebni udaje do nejake karticky a pak z ni opisovat dlouhe cislo zase nekam jinam (to cislo bude bud' kratke - pak jde nejspis o autorizaci, ale nikoliv o el. podpis, nebo pujde o podpis, pak ale zase nebude kratke - a banka chce byt take nejak chranena, takze pro ni je lepsi podpis). Pro spoustu lidi je SLOZITE obsluhovat mobil. Prilis slozity system bude stat spoustu penez, bude robusni, ale lide ho budou odmitat. Nabizi se analogie ze sveta Internetu - lide se neptaji po stabilite a bezpecnosti. To co je zajima je "aby to moc nestalo", "aby se to dobre ovladalo" a "aby kdyz najedu nad knoflik, tak se objevi napoveda". A nemyslete si, ze kdyz jde o (jejich) penize, ze lide najednou budou reagovat jinak. Vetsina si neni schopna nebezpeci uvedomit a mnoho z nich ho nepochopi ani tehdy, kdyz jim na nej ukazete.

Zaverem bych si dovolil, i kdyz to uz s tematem nesouvisi, polemizovat s predposlednim odstavcem. Zda se, ze nejste prilis zbehly v terminologii. Rozdil mezi kreditni a debetni kartou je zasadni - a to prave v tom, ze kreditni (uverova) karta je vydana bankou jako karta nekryta zustatkem na uctu, banka penize za stanovenych podminek a do stanovene vyse pujcuje. Stanovenymi podminkami je napriklad to, ze pri vcasnem zaplaceni neplatite urok (banka zije z poplatku strhavanych prijemci plateb). Debetni karta je karta vydavana ke kladnemu zustatku na uctu a moznost pujcky s ni obvykle neni spojena. U nas se vydavaji prakticky pouze karty debetni. Ve americe i u nas nejste penalizovan pokud dodrzujete dohodu, kterou jste s bankou uzavrel - mate-li v Americe dohodnuto, ze muzete precerpat do jiste vyse pokud to do 20. zaplatite pak je to O.K. Mate-li u nas dohodnuto, ze muzete vycerpavat zustatek na uctu pak take O.K. Pokud dohodu porusite, tedy precerpate limit nebo nezaplatite vcas (u kreditni karty) nebo vycerpate vic nez je zustatek na uctu (debetni karta) pak jste dohodu porusil a budete penalizovan tady i tam.

Rikat, ze u nas to funguje tak, ze jsem penalizovan zato, ze jsem porusil dohodu, kterou mam s bankou tady, ackoliv existuji i banky, ktere nabizeji jine dohody a kdybych mel uzavrene ty tak bych je neprekrocil - a vydavat to za spatny stav je smesne. Mel jste napadat, ze nase banky neposkytuji urcite typy sluzeb v americe obvykle, mohl jste napadnout, ze u nas je odpovednost za pripadnou skodu nechavaji (takrka) vzdy na klientovi, kdezto v Americe ji v daleko casteji nese banka. To co jste rekl misto toho je ale nesmysl.

Tak snad uz opravdu naposled - jeste jsem neodjel :-) - uz je to dost OT. Pokud vim, krome CS vydava kreditky jeste KB, podminky jsou tusim obdobne. A s tim .EXE to byl pokus o ironii - kdyz se pokousim spustit .exe, musim predtim napsat chmod +x file.exe a stejne dostanu odpoved, ze cannot execute binary file ;-) Ale ten okolni svet nejak pod pojmem 'operacni system' obvykle rozumi pouze ty, ktere jsem vyjmenoval.

Ahoj,
Hledáte podnikatelský úvěr, osobní půjčky, úvěru na bydlení
úvěry auto, konsolidaci dluhu úvěry,
nezajištěných kapitálové půjčky
Riziko, atd., Nebo jste byl odepřen úvěr od banky nebo finanční instituce
Nastavit jednu nebo více řešení, nejsou důvodem.
Jsem soukromý věřitel, úvěry firem a jednotlivců na nízké úrovni
Úroková sazba ve výši 2% a cenově dostupné. Zajímám? Kontaktujte nás pro vaše
Převést úvěr dnes do 28 hodin. KONTAKT:
juanadelgado797@gma­il.com

Zacnu od konce - znam rozdil mezi kreditnimi a debetnimi kartami. Opravdu jsem se vyjadril nepresne, kdy jsem psal 'kdyz zaplatite vcas dle kriterii civilizovanych zemi'. V CZ, konkretne u firmy Ceska sporitelna funguji kreditni karty tak, ze 17.6. nakoupite neco za 10.000,- korun. 18.6. (tedy nasledujici den) to splatite a banka vam vyuctuje urok za 1 den. Neverite-li, informujte se u firmy CS. Jeste presneji - zaplatite-li vsechno do 20. nasledujiciho mesice, platite 'jen' zvyhodnenou urokovou sazbu, ktera je o 1.5 procentniho bodu mensi nez stanovena. Prakticky: V cervnu nakupuji, nakoupim celkem za 15.000,- Kc. Zaplatim celych 15.000,- 17. cervence, tedy do 20., tedy vcas. Budu platit urok ve vysi 14.5% pocitany od data nakupu do 17.7. Zaplatim-li jen 10.000,-, budu platit urok ve vysi 16%. Takto to funguje, nejedna se o zadne poruseni dohody.
Dale bych chtel upresnit svoji predstavu fungovani JavaCard. JavaCard ma kontaktni pole (jako telefonni karta). Je to tedy cipova karta a predpokladal jsem, ze se s ni bude komunikovat pomoci pocitace (bankomatu, platebniho terminalu, TeslaWWWBoxu atd.). Ma-li byt vse opravdu bezpecne, je nezbytne, aby karta mela displej i klavesnici. Psal jsem, ze takove karty existuji. Opet upresnuji - existuji karty s displayem a klavesnici a existuji JavaCard. Nevim, zda existuje JavaCard s displejem a klavesnici. Moje predstava tedy byla, ze z karty se nic opisovat nebude, ze na displej karty si uzivatel precte zakladni udaje o transakci a potvrdi je svym PIN natukanym tez do klavesnice karty. Zadavat PIN do platebniho terminalu ci do pocitace je opet bezpecnostni dira. V takovem pripade totiz platebni terminal muze PIN, ktery jiz zna, pouzit i opakovane k nekolika ruznym transakcim, o kterych by drzitel karty nemusel nic vedet, a to po celou dobu, po kterou bude karta zasunuta v platebnim terminalu. Uzivatel tedy musi vedet co autorizuje (nezbytny displej) a aby to mohl autorizovat, je nezbytna klavesnice (alespon s tlacitkem [Yes] ;-) )

Co se tyka vasich ostatnich argumentu, musim vam dat za pravdu ohledne slozitosti. Delal jsem takovou malou e-mailovou konferenci, nastavil majordomo tak, ze po prihraseni pozadoval autorizace (staci jen dat reply na tu autorizacni zpravu). Muzete si tipnout jako v poradu 'Nikdo neni dokonaly' kolik lidi z 12-ti to zvladlo. Ani jeden! Za techto okolnosti si prestavam myslet, ze ma smysl se zabyvat necim jako je 'elektronicka autorizace', tedy elektronicky podpis. Ve svetle techto faktu se pousmivam nad schvalenim zakona o elektronickem podpisu. Bud to bude 'prilis slozite', nebo budou uzivatele v rukou programatoru. Uz vidim 5-10MB velky .EXE soubor (samozrejme urceny pro vsechny operacni systemy, a to Win95, Win98, WinNT a Win2000), kde bude mimo jine kraaasna ikona s napisem 'Podepsat'. Vse absolutne bez jakekoli moznosti provereni. Nu, chmurne vyhlidky nas cekaji.

Navrhuji debatu pomalu ukoncit, zejmena proto, protoze uz za par hodin mi zacina dovolena a budu se venovat lesu a horam, platit budu (bohuzel) radeji papirovymi penezi a mincemi.

Jestlize je karta CS jedinou kreditni kartou u nas vydavanou a ma takove podminky jake uvadite, pak to znamena jedine - v CR neni bankovni ustav vydavajici kreditni karty s nulovym urokem. Nejsem si ale jist, zda je prave tohle kriterium to, ktere deli zeme na civilizovane a necivilizovane, coz byl hlavni duvod, proc jsem reagoval na prislusnou cast puvodniho prispevku.

Prepokladate-li autentizaci kartou, ktera primo komunikuje s pocitacem, jde o problem, o ktery jsem se na jinem miste take zminoval - muselo by vzniknout celosvetove uznavane a rozsirene rozhrani a musl by byt k dispozici laciny cteci hardware - jen tak by mohlo dojit k rozsireni a jen tak by tento zpusob mohl byt akceptovatelny. Ano, pokud se standardizovana ctecka standardizovane cipove karty s vlastnim displayem a klavesnici stane v pocitacich stejne beznou jako floppy mechanika, pak mate pravdu. Zatim se vsak nezda, ze by se vyvoj ubiral touto cestou - ani nesmeruje k potrebne standardizaci rozhrani a uz vubec nevypada, ze by podobne zarizeni (zejmena zminene karty) byly k mani za levny peniz.

Jinak to ale vypada, ze jsme se v podstate shodli - takze prijemnou dovolenou (snad jen, pokud se bude dodavat s necim ".EXE" soubor, pak mohu s jistotou prohlasit, ze to neni urceno ani priblizne pro "vsechny OS").

Ad kreditky v cechach: to co tady provozuje CS a KB se nedovazuju nazvat kreditkou, pac vyzaduji mit ucet v teze bance a podobne hity... brrrr... pravdepodobne jedinou kreditkou je Maxim Visa karta od Bank Austria Creditanstalt - bohuzel urokova mira cca 24 procent p.a. (1,95 mesicne), mesicni poplatky 60 kc... jinak zase bezurocna pujcka az 45 dni (14 dni po doruceni vypisu)... vice informaci na www.maxim-karta.cz. nebejt toho mesicniho poplatku, tak do toho i klidne pudu... ale tohle zneprijemnuje zivot...


Proto to musi byt reseni nezavisle na konkretnim OS - musi byt zabudovano a zabudovatelne do kazdeho prohlizece dat... treba i vasi lednicky (kam smeruji mirne scifoidni predstavy vyrobcu, nebot, rekneme si to uprime, komu se bude chtit stat hodinu u sve lednicky a cist si zpravy, treba ;) ta nezavyslost tam musi byt mininalne proto, ze nyni jiz jsou pocitace de-facto pase - ano, prodavaj se jak dive, ale v teto technologii uz toho moc prevratneho asi nevymysli - vse je nalajnovano. takze rozvoj ceka mobilni komunikacni pristroje, ruzne lite zarizeni a pod.. a co tam bude za OS a jak to vlastne bude fungovat cert vi... no, a ted s predstavte donutit KAZDEHO vyrobce aby delal nejaky konektor nebo kyho certa... jo, a ted rozdejte tak 2,5 mld lidi tech vasich java karticek... pri prumrnem IQ nasi populace to bude celkem hustej zahul pro hotline ;) takze, v nejblizsi dobe IMHO vyvoj nepovede prijimanim novych komuniancich standardu typu SET, ale prijimanim standardu spolecnosti - v tomto pripade to bude asi globalizacni tlak, aby se evropa prizpusobila americe svymy zvyky a standardy. pote to bude fungovat bez problemu kreditni karta, s silnou mirou zabezpeceni uzivatele, tak to bude take jednodussi... myslim, ze si pak budem moct vybrat - bud se promenit na elektronickou spolecnost, se svemy duhy a neduhy (mozna to je jen muj nazor, aleobcas mam dojem, ze v nejvetsi demokracii sveta maji k totalite jen malinkej krucek... ale balancujou to dobre ;), nebo budem mit volnost a sveho druhu anarchii, ale takse se vsemi minusy... mimochodem, ja kreditni kartu povazuju za velmi rozumny platebni instrument, jen bych udelal jednu jedinou vec - zavedl pro placeni pres internet jeste JEDEN ochranny prvek, heslo, ktere neni na karte napsane.. pak bych mel docela vysokou jistotu, ze platim bezpecne - nebot ted kdyz paltim svou MC/EC, tak davam skoro kazdemu do rukou pristup k uctu pres internet - zalezi teda i na cardprocesoru, jestli checkuje jen cislo, exp. a jmeno, nebo potrebuje opravdu vic... a pokdu sem blbe, a paltim pres internet bez pouziti zabezpeceneho kanalu, tak se holt neda svitit ;)