banking4w unter ubuntu

Ist ja spannend hier


An diesem Punkt ist mein Verständnis ein anderes: libgnutls-openssl ist ein Wrapper, um Programme, die die openssl-API benötigen, an GnuTLS zu bringen. Der Wrapper ist aber eher traurig / unvollständig und daher nicht wirklich zu gebrauchen.

Zum Hintergrund: openssl war historisch lange vor GnuTLS und die machen final beide das gleiche. GnuTLS ist ein MeToo-Produkt und entstand u.a. aus lizenztechnischen Gründen (für einige Radikale ist die openssl-Lizenz Apache 2.0 vs. GPL 3/LGPL 2.1 böse). Einige radikale Distris wie Debian brauchen daher diesen libgnutls-openssl workaround, da wine teilweise eben auch auf openssl basiert und dort kein openssl vorhanden ist. In openSUSE z.B. ist der üble Workaround nicht nötig, weil openssl als Standard vorhanden ist.

Dass man bereits durch eine nicht vorhandene Datei einen anderen default priority string erzwingen können soll, ist schon schräg. Habe mich schon gewundert, was in der Datei stehen soll - die gibt es auf openSUSE (Leap 16 z.B.) schlicht nicht. Ob diese Hacks auf openSUSE überhaupt nötig sind konnte ich nicht testen, da ich keine TLS 1.3 Ziele habe.
Ich habe es mal mit atruvia getestet mit der Umgebungsvariable
GNUTLS_SYSTEM_PRIORITY_FILE=/etc/gnutls/gnutls.conf
und konnte nachvollziehen, dass sie greift - danach ging gar nichts mehr in Sachen SSL - selbst TLS 1.2 ging nicht mehr:
GnuTLS error: Die Anfrage ist ungültig.
Dabei ist völlig irrelevant, ob die Datei vorhanden ist oder nicht und ob sie einen sinnvollen Inhalt hat (wie weiter oben vorgeschlagen) oder nicht.

Naja, ich nutze kein Banking4 - von daher ist mir das egal. Ich bevorzuge native Programme. Aber interessiert hat mich es trotzdem .

@hbciuser
Vielen Dank für die Rückmeldung. Die Auswirkungen in openSUSE sind schon seltsam, zumal Wine diesen "Hack" ja selber benutzt, um veraltete Algorithmen freizuschalten, damit Programme auf alten Servern laufen können. Das wird in der bcrypt.dll gesteuert in den Zeilen 375-385:

https://github.com/wine-mirror…t/gnutls.c

Der Befehl lautet dort:

setenv("GNUTLS_SYSTEM_PRIORITY_FILE", "/dev/null", 0)

"/dev/null": Setzt den Pfad auf das „Nulldevice“. Da diese Datei leer ist, findet GnuTLS keine restriktiven Systemregeln vor. Nun sind alle Protokolle freigeschaltet, aber seltsamerweise nicht TLS 1.3.
Dieser „Hack“ wird also häufig in Software wie OpenConnect oder Wine verwendet, um Verbindungsprobleme mit alten Servern zu lösen.

Deswegen ist es wichtig, den Vorschlag von @Stefan193 und @vnt in der config Datei umzusetzen. Das funktioniert auch ganz gut. Das kann man mit folgenden Befehl von @Stefan193 testen (je nachdem wo die config Datei steht, muss man den Pfad anpassen):

GNUTLS_DEBUG_LEVEL=2 GNUTLS_SYSTEM_PRIORITY_FILE=/etc/gnutls/config gnutls-cli --priority "NORMAL" --list

Bei mir auf CachyOS war die config Datei schon vorhanden, aber ohne disable-Befehle, bei manchen Distributionen muss man sie erst erstellen.

Wenn ich den Befehl mit der Umgebungsvariable (export GNUTLS_SYSTEM_PRIORITY_FILE=~/Pfad zur/config) wieder entferne, wird wie zuvor wieder TLS 1.2 benutzt. Es gibt keinerlei Störungen.

@vnt
Vielen Dank für deinen Beitrag. Die Idee, die Schrift Segoe UI zu benutzen, hatte ich wieder verworfen, weil ich nicht sicher bin, wie das lizenrechtlich aussieht. Wenn man eine Windows Lizenz hat, dürfte das kein Problem sein. Toll ist natürlich, dass dann auch alle Symbole angezeigt werden.