PIN cache

 
grafix
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 01 / 2020
Betreff:

PIN cache

 ·  Gepostet: 08.06.2020 - 22:13 Uhr  ·  #1
Obwohl unter '-> Hibiscus / Einstellungen / Grundeinstellungen / Sicherheit' sowohl
- "PIN-Eingaben für die aktuelle Sitzung zwischenspeichern", als auch
- "PIN-Eingaben permanent speichern ... "
nicht aktiviert sind, werden die beim Konfigurationstest von Bankzugängen (PIN/TAN, aktuell: apoBank) verwendeten PIN-Eingaben doch gespeichert:
bug or feature?

Dank vorab.

Jameica 2.8.6
Hibiscus 2.8.23
os Fedora 31
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10835
Dabei seit: 03 / 2005
Betreff:

Re: PIN cache

 ·  Gepostet: 08.06.2020 - 22:25 Uhr  ·  #2
Mir ist nicht ganz klar, wie du zu dieser Annahme kommst. Die Tatsache, dass keine PIN abgefragt wurde, heisst doch nicht, dass Hibiscus irgendwo eine gespeichert hat. Beim Kontakt mit der Bank fragt Hibiscus erst dann nach der PIN, wenn sie tatsaechlich gebraucht wird. Und nicht bereits direkt nach dem Druck auf den Button. Bei der Dialog-Initialisierung mit der Bank (dem gegenseitigen "Hallo" sagen) wird noch keine PIN benötigt. Und wenn es bereits dort zu einem Fehler kommt, dann kommt es halt gar nicht erst zu einer PIN-Abfrage.
grafix
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 01 / 2020
Betreff:

Re: PIN cache

 ·  Gepostet: 08.06.2020 - 23:06 Uhr  ·  #3
Zitat
Die Tatsache, dass keine PIN abgefragt wurde,


Die PIN wird abgefragt, wobei die Eingabe bereits vorbelegt ist:

Zum Ablauf:
1. Aufruf '-> Hibiscus / Bank-Zugänge / PIN/TAN':
1.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."
1.2 Änderung Parameter des Bankzugangs, Button speichern
1.3. Button "Konfiguration testen" -> PIN wird nicht abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

2. Wechsel zu '-> Hibiscus / Konten'
2.1 Synchronisation eines anderen Kontos

3. Wechsel zurück zu '-> Hibiscus / Bank-Zugänge / PIN/TAN':
3.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Eingabe ist jedoch schon vorbelegt (*****) und resultiert nach Bestätigung des vorbelegten Werts mit Button "ok" in Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

Sowohl aus Punkt 1.3 als auch aus Punkt 3.1 schliesse ich, dass die PIN gecached wurde ...
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10835
Dabei seit: 03 / 2005
Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 09:48 Uhr  ·  #4
Das ist in der Tat ein Fehler. Konnte es reproduzieren. Das war ein Seiten-Effekt von https://github.com/willuhn/hib…geLog#L365
Bei einem Fehler sollte zwar der PIN-Dialog neu angezeigt - allerdings mit der - ggf. falschen PIN - vorbelegt sein. Bei der Ausführung von Geschäftsvorfällen wurde das korrekt behandelt, beim Testen/Synchronisieren eines Bankzugangs jedoch nicht. Ist gefixt und morgen im Nightly-Build.
grafix
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 01 / 2020
Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:22 Uhr  ·  #5
... mit Dank für die schnelle Reaktion und Umsetzung!

Zitat
- allerdings mit der - ggf. falschen PIN - vorbelegt


... nur zum Verständnis:
Ungeachtet der bzgl. des Cache gewählten Grundeinstellung wird beim Testen/Synchronisieren eines Bankzugang die PIN offenbar gecached, der Cache wird dann wann wieder gelöscht (Programmende, Modulwechsel , ?...)?

PS: Ist bzgl. der apoBank die Statusmeldung "Sicherheits-Medium erfolgreich getestet" nach vorheriger Ausgabe der zahlreichen Fehlermeldungen (9000, 9010, 9050 etc.) korrekt?
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10835
Dabei seit: 03 / 2005
Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:25 Uhr  ·  #6
Zitat geschrieben von grafix

... nur zum Verständnis:
Ungeachtet der bzgl. des Cache gewählten Grundeinstellung wird beim Testen/Synchronisieren eines Bankzugang die PIN offenbar gecached, der Cache wird dann wann wieder gelöscht (Programmende, Modulwechsel , ?...)?

Genau das habe ich ja gefixt. Wenn die Option "PIN-Eingabe für die aktuelle Sitzung zwischenspeichern" deaktiviert ist, wird sie beim Testen/Synchronisieren nicht mehr gecached.
grafix
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 55
Dabei seit: 01 / 2020
Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:31 Uhr  ·  #7
... mit Dank für die prompte Aufklärung, da hatte ich den Verweis auf BUGZILLA 1809 offenkundig falsch interpretiert:

Zitat
PIN-Cache nicht mehr leeren sondern als dirty markieren.
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10835
Dabei seit: 03 / 2005
Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:52 Uhr  ·  #8
Nein, hast du nicht. BUGZILLA 1809 macht genau das. Die PIN im Fehlerfall nicht löschen sondern nur als dirty markieren. Hierbei ist aber fälschlicherweise die Option "PIN zwischenspeichern" ignoriert worden. Das ist jetzt korrigiert.
Gewählte Zitate für Mehrfachzitierung:   0