Seit heute Meldung bei Umsatzabruf Sparkasse

 
Deimos
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 15
Dabei seit: 06 / 2007
Betreff:

Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 07.04.2010 - 18:07 Uhr  ·  #1
Hallo

Habe gerade folgende Meldung von Hibiscus bekommen, als ich die Umsätze abrufen wollte:

Sicherheitsabfrage

Sie verbinden sich mit einem für Jameica unbekannten System. Bitte prüfen Sie die Eigenschaften des Zertifikats, und entscheiden Sie, ob Sie ihm vertrauen möchten.

??

Hat die Sparkasse was umgestellt, oder ist da tatsächlich was faul?
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 07.04.2010 - 19:56 Uhr  ·  #2
Deimos, Systemdatum und -uhrzeit stimmen? Das führt schon mal ab und an dazu, dass Systeme denken, Zertifikate wären abgelaufen.
Mir ist nämlich kein Zertifikatswechsel im HBCI Bereich der Sparkassen in letzter Zeit bekannt, zumindest nicht im FI-Bereich.
Deimos
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 15
Dabei seit: 06 / 2007
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 11:27 Uhr  ·  #3
Hallo

Ja, das stimmt alles.
Hier mal ein Screenshot:




jameica ist V 1.7, hibiscus 1.9
ottoager
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 11:30 Uhr  ·  #4
Hallo,

im Regionalsystem der FI (ex FinanzIT, also Nord- und Ostdeutschland) wurde gestern, in der Nacht zum 07.04.2010, das Zertifikat für die HBCI-PIN/TAN-Schnittstelle erneuert.

Otto
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 12:09 Uhr  ·  #5
Otto, warum ist denn das im Screen von Deimos nicht erkennbar? Müsste dann dort nicht als "Gültig von" ein Datum wenigstens in der Nähe des 07.04.2010 stehen?
ottoager
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 12:49 Uhr  ·  #6
Hallo,

das Gültig-Ab-Datum 20.01.2010 dürfte eher Rückschlüsse auf den Zeitpunkt der Erzeugung des Zertifikats bei Verisign zulassen. Wann es dann vom Rechenzentrum auf dem Webserver installiert wird, ist etwas ganz anderes.

Das Online-Update für StarMoney mit dem neuen Zertifikat wird z.B. seit 22.02.2010 verteilt (Quelle: http://www.starfinanz.de/forum/viewtopic.php?f=99&t=19308 ).

Das aktuelle Zertifikat für das Regionalsystem gilt vom 20.01.2010 bis 22.04.2011, also länger als 365 Tage, was dem Rechenzentrum einigen Spielraum für die Installation des Zertifikats auf dem Webserver zur Verfügung stellt.

Otto
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 13:23 Uhr  ·  #7
Achso. Damit auch Softwarehersteller genügend Zeit für Updates haben. Verstehe.
Dann dürfte wohl in Hibiscus / hbci4java ein Zertifikatsupdate fällig sein, oder?
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 08.04.2010 - 14:14 Uhr  ·  #8
Ich liefere in Hibiscus keine Zertifikate mit aus, weil ich die Verantwortung ueber die Pruefung eben jener nicht uebernehmen moechte. Daher erscheint der Hinweis-Dialog - damit der User das selbst pruefen kann. Die Diskussion hatten wir vor einiger Zeit aber schonmal.
Deimos
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 15
Dabei seit: 06 / 2007
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 09.04.2010 - 16:54 Uhr  ·  #9
Hallo

Also ist das vertrauenswürdig, und ich muss hier keinen Hack befürchten?
Das war nämlich mein erster Gedanke.
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 09.04.2010 - 17:02 Uhr  ·  #10
Zitat geschrieben von Deimos
Also ist das vertrauenswürdig, und ich muss hier keinen Hack befürchten?
Das war nämlich mein erster Gedanke.


Keine Panik ;)
Der Dialog ist voellig normal und erscheint, wenn Hibiscus mit einem SSL-Zertifikat konfrontiert wird, welches es noch nicht kennt. Und da das in deinem Fall ja auch stimmt, weil die Bank ein neues Zertifikat ausgestellt hat, muesstest du jetzt eigentlich nur noch pruefen, ob der angezeigte Fingerprint korrekt ist. Da es laut deinem Screenshot auf hbci.finanzit.com ausgestellt ist, koenntest du z.Bsp. die URL https://hbci.finanzit.com/ einfach mal im Browser oeffnen und den dort im Zertifikat angezeigten Fingerprint mit dem in Hibiscus vergleichen.
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 10.04.2010 - 12:40 Uhr  ·  #11
Zitat
Da es laut deinem Screenshot auf hbci.finanzit.com ausgestellt ist, koenntest du z.Bsp. die URL https://hbci.finanzit.com/ einfach mal im Browser oeffnen und den dort im Zertifikat angezeigten Fingerprint mit dem in Hibiscus vergleichen.


Streng genommen ist dieser Test nicht "sicher", denn wenn jemand die DNS-Einträge für die finanz-it-Server auf eigene Server umgebogen hat, könnte das im Browser angezeigte Zertifikat tatsächlich mit dem von Hibiscus angezeigten identisch und trotzdem unecht sein.

"Sicherer" wäre, auf drittem Wege (Medienbruch!) den Fingerprint des neuen Zertifikates zu erfragen - z.B. durch einen Telefonanruf. Natürlich weiß ich, dass dieser Vorschlag ziemlich praxisfern ist - es ging mir ums Prinzip :-)

Gruß
-stefan-
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 15:58 Uhr  ·  #12
Das wollte ich urspruenglich auch schreiben. Allerdings haben mir schon oefters User berichtet, dass die Support-Hotline dann nicht verstanden hat, was mit den Fingerabdruecken gemeint ist. Die alternative Antwort lautet dann wohl oft: "Wenden Sie sich bitte an den Support des Software-Herstellers ihrer Banking-Anwendung".
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 16:47 Uhr  ·  #13
Zitat geschrieben von willow
dass die Support-Hotline dann nicht verstanden hat, was mit den Fingerabdruecken gemeint ist. Die alternative Antwort lautet dann wohl oft: "Wenden Sie sich bitte an den Support des Software-Herstellers ihrer Banking-Anwendung".

Jau, genau das ist der Fall.
Denn wenn Du in bestimmten Bereichen mit den Begriffen Fingerprint oder Fingerabdruck hantierst, kommen sofort Kundenanfragen, ob sie bei uns im Browserbanking sich mit dem Fingerabdruck legitimieren können..... 8)

Die Begrifflichkeiten und die unterschiedlichen Verwendungen der Sachen sind für die Vielzahl der Nutzer nicht transparent. Einen IT-Führerschein gibt es ja (leider) nicht.

Insofern ist aus Sicht einer Bank eine Software in der Tat ein Grauen, die nicht die aktuellen Zertifikate selbst importiert/pflegt.
Es wäre wirklich schön, wenn Ihr das übernehmen würdet, denn das gehört meines Erachtens zu einer vernünftigen Onlinebanking Software dazu.
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 17:04 Uhr  ·  #14
Ich habe das in der aktuellen Release (Jameica 1.9/Hibiscus 1.11) jetzt so geaendert, dass Hibiscus zumindest den Stammzertifikaten vertraut, die SUN (inzwischen Oracle) bei Java selbst mit ausliefert. In vorherigen Versionen hat Hibiscus ueberhaupt keinem Zertifikat vertraut, welches nicht vom User explizit abgenickt wurde.

Da ich mal davon ausgehe, dass ein Grossteil der HBCI-Server-Zertifikate von einem der dort enthaltenen CA-Certs signiert ist, sollten diese Sicherheitsabfragen kuenftig deutlich abnehmen. Und ich muss keine Zertifikats-Liste aller Banken pflegen, pruefen und damit die Verantwortung fuer deren Richtigkeit uebernehmen.
kleiner77
Benutzer
Avatar
Geschlecht:
Beiträge: 779
Dabei seit: 08 / 2004
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 22:45 Uhr  ·  #15
Zitat
Da ich mal davon ausgehe, dass ein Grossteil der HBCI-Server-Zertifikate von einem der dort enthaltenen CA-Certs signiert ist...


Mir ist bisher keine Bank untergekommen, deren Zertifikat nicht durch das in Java eingebaute cacert validiert werden könnte (jedenfalls habe ich noch keinen diesbezüglichen Feedback bekommen)...

Das einzige Problem könnte entstehen, wenn jemand mit einer Uralt-Java-Version arbeitet, bei der die cacert-Datei nicht auf dem aktuellsten Stand ist.

-stefan-
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 23:09 Uhr  ·  #16
Zitat geschrieben von kleiner77
Das einzige Problem könnte entstehen, wenn jemand mit einer Uralt-Java-Version arbeitet, bei der die cacert-Datei nicht auf dem aktuellsten Stand ist.


Seit Hibiscus 1.11 wird ohnehin Java 1.5 vorausgesetzt ;)
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10778
Dabei seit: 03 / 2005
Betreff:

Re: Seit heute Meldung bei Umsatzabruf Sparkasse

 ·  Gepostet: 11.04.2010 - 23:11 Uhr  ·  #17
Ja, ok. 1.5 ist ja nun inzwischen auch schon reichlich alt ;)

Aber fuer den Fall existiert ja nach wie vor die Sicherheitsabfrage, mit der der User dann selbst die Pruefung vornehmen kann.
Gewählte Zitate für Mehrfachzitierung:   0