FinCmd Schlüsseldatei ohne Contactfile

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 06.12.2013 - 19:44 Uhr · #1

Gibt es eine Möglichkeit, die FinCmd.exe mit Schlüsseldatei auch ohne Contactfile zu nutzen?
Falls nicht, könnte man es eventuell so erweitern?

Wenn ich mir das Contactfile so anschaue finde ich da im wesentlichen die Bankparameter, die ich im Aufruf eh angebe.
Und bei den Feldern BankCipheringKey, BankParamData und UserParamData bin ich mir nicht sicher, ob die nicht vielleicht auch in der Schlüsseldatei selbst enthalten sind?
Kenne mich inhaltlich nicht mit Schlüsseldateien aus, fände es halt einfacher ohne dieses Contactfile.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7352
Dabei seit: 03 / 2007

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 06.12.2013 - 22:16 Uhr · #2

Ich fürchte, das wird mit der derzeitigen Philosophie nicht klappen...

Bei div. Herstellern muß ins Keyfile geschrieben werden können. Dort werden dann die Zähler hinterlegt ect. Besonders auffällig war das zu Diskettenzeiten, wenn das Laufwerk so lange auf einer Stelle der Diskette rumgeschrubbt hat, bis die hin war und das File dann nicht mehr lesbar.

Bei Subsembly ist das anders. Das Keyfile wird nach der Erstellung (oder PW-Ändeurng) nicht mehr beschrieben. Schau Dir mal das Dateidatum an. Alle sich ändernden Dinge werden im Contactfile abgelegt. Im Keyfile sind nur die sensiblen Dinge und die werden nur gelesen. Ich finde diese Handhabung eigentlich klüger... aber das schließt eben das von Dir gewünschte aus.

Workaround: Du kannst doch das Contactfile mit auf das Keymedium legen, das kann ja liegen, wo Du es haben willst. Damit wäre doch quasi das gleiche erreicht, auf dem Rechner liegt garnix...!?

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 07:37 Uhr · #3

Ja, jetzt wo du es erwähnst fällt es mir auch wieder ein, die Schreibbarkeit. Eigentlich wollte ich an der Stelle, wo die fincmd liegt und läuft überhaupt keine Bestandsdaten vorhalten. Meine Idee war, für jede Transaktion die Schlüsseldatei einfach mit anzuliefern. Das heißt, es würde bei jeder Aktion eine neue Kopie der Schlüsseldatei erstellt. Dann können meine Frau und ich per Script nämlich beide die selbe fincmd nutzen und haben unsere Schlüsseldateien im eigenen Userverzeichnis liegen.
Da aber das Contactfile zusätzlich gebraucht wird und im Contactfile die Schlüsseldatei referenziert ist müsste das entgegennehmende Script erst beide Dateien speichern und dann im Contactfile den Pfad im Parameter SecurityMediaID entsprechend ändern, wie es in der fincmd Sphäre korrekt ist. Ein Riesen Punk

Alternativ müsste ich die Dateien ja dauerhaft in die Sphäre von fincmd legen, wo beide zugreifen dürften. Das wäre - auch wenn man den PIN des anderen nicht weiß - eigentlich nicht im Sinne des Erfinders. Denn Schlüsseldateien gehören für meine Begriffe nicht halb öffentlich sondern im User-Home abgelegt.

Gibt es andere Lösungsmöglichkeiten dafür, die ich übersehen habe?

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7352
Dabei seit: 03 / 2007

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 14:33 Uhr · #4

Ich versteh das Problem noch nicht ganz!

Das Contactfile kann ja liegen, wo es mag. Den Pfad hierzu gibt man einfach direkt mit an. Also "FinCmd -contactfile X:\Verzeichnis\Sonstwo\Gartenbank.xml". Damit hat FinCmd erst mal alles was es braucht, das Contactfile muß also nicht irgendwo speziell hingespeichert sein.

Im Contactfile steht der Pfad drin, wo die Schlüsseldatei gelesen werden kann. Entweder der übliche USB-Stick oder ein Pfad im User-Home oder was weiß ich. Dort liest FinCmd die Datei und gut is. Einzig wäre es ein Problem, wenn der Pfad der Schlüsseldatei jedes Mal ein anderer wäre. Dann müßte man tricksen.

Den einzigen Holzweg den ich nach mehrmaligem Durchlesen Deines Posts jetzt sehe ist, dass Du offenbar das GLEICHE Contactfile für Dich UND die Gattin verwenden willst? Das dürfte sowieso nicht gehen. Denn das Contactfile gehört zwingend zur benutzten Schlüsseldatei, da darin ja Parameter zu dieser Schlüsseldatei hinterlegt sind. Vorgangszähler zu der Benutzerkennung DIESES Schlüssels usw.

Wie wäre es also folgendermaßen: Ein Contactfile und eine Schlüsseldatei jeweils für dich und für die Gattin, und die beiden jeweils zusammen im jeweiligen Userverzeichnis abgelegt. Wenn Du was machst, gibst Du als Parameter den Contactfile samt Pfad in DEIN Usererzeichnis an, und dann wird der Schlüssel aus Deinem Userverz. gelesen, das in Deinem Contactfile drinsteht. Und wenn die Gattin was macht, gibt man beim gleichen FinCmd das Contactfile im Userverzeichnis der Gattin an, und darin ist der Schlüssel samt Pfad der Gattin hinterlegt...

Das wär doch genau das, was Du brauchst!?

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:23 Uhr · #5

nein, wir haben nicht das selbe Contactfile.
Vielmehr ist es so, dass die fincmd auf einem separaten PC läuft. Und dieser PC hat unsere jeweiligen Userverzeichnisse nicht verbunden, sieht also die PC nichts, von denen aus wie unsere Aufträge an die fincmd schicken. Da hab ich ein paar Scripte drum herum gebastelt, die uns dann einiges automatisieren. Und nun muss ich halt von einem PC mit lokalem User-Home irgendwie das Contactfile und die Schlüsseldatei zur fincmd bekommen. Und falls da was wichtiges geschrieben würde auch noch wieder zurück ins User-Home, damit das geschriebene nicht verloren geht.
Das ginge zwar alles, ist aber enorm fehleranfällig und komplex.

Hast du dafür eine einfachere Lösungsidee?

Schön wäre halt, wenn man einfach jedes mal die Schlüsseldatei mitgeben würde, fincmd würde die verwenden und danach wieder löschen.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7352
Dabei seit: 03 / 2007

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:30 Uhr · #6

Schlüsseldatei mitgeben und danach löschen kannste ja machen, da darin nichts geändert wird.

Nur die Contactfiles müssen entweder auf dem ausführenden Rechner liegenbleiben (sollte kein Problem sein, da ja nichts Sicherheitsrelevantes drin ist) oder aber zurückgegeben und aufbewahrt werden, fürs nächste Mal. Denn wenn Du das nicht machst, wird das nächste Mal der Auftrags-Zähler nicht stimmen und eine Doppel- oder was auch immer Einreichungskontrolle des Bankrechners zuschlagen und der Bankkontakt muß neu synchronisiert werden...

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:33 Uhr · #7

Zitat geschrieben von msa

Nur die Contactfiles müssen entweder auf dem ausführenden Rechner liegenbleiben (sollte kein Problem sein, da ja nichts Sicherheitsrelevantes drin ist) oder aber zurückgegeben und aufbewahrt werden, fürs nächste Mal. Denn wenn Du das nicht machst, wird das nächste Mal der Auftrags-Zähler nicht stimmen und eine Doppel- oder was auch immer Einreichungskontrolle des Bankrechners zuschlagen und der Bankkontakt muß neu synchronisiert werden...

Ich habe so sehr gehofft, dass du genau das nicht sagst

Das doofe ist, dann habe ich auf dem fincmd Rechner auch noch eine abgespeckte Benutzerverwaltung, denn ich muss dem Script ja sagen, um welchen Benutzer es geht und welches Contactfile es nehmen soll.
Oder ich muss es tatsächlich hin und her schaufeln.
Das ist gelinde gesagt Mist.
Aber da kann Andreas sicherlich nichts dafür, es liegt wohl in der Natur des Verfahrens, wenn ich dich richtig verstanden habe.

OK, danke msa, das muss ich mir nochmal durch den Kopf gehen lassen.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7352
Dabei seit: 03 / 2007

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:45 Uhr · #8

Ja genau, das liegt im Verfahren begründet. Sowohl das Kundensystem als auch der Bankrechner führen einen Zähler, der mit zählt, die wievielte Signatur mit diesem Schlüssel gemacht wurde. Ich weiß jetzt nicht, ob das Stückgenau synchron gehen muß oder ob da eine Toleranz dabei ist, wie bei ChipTAN. Und selbst im Toleranz-Fall klappt es eben nicht auf Dauer. Wohlgemerkt, auch Umsatzabrufe werden signiert und erhöhen den Zähler, nicht nur Aufträge. Du kommst also systembedingt nie um die "Aufbewahrung" eines veränderten Elements herum.

Und vor diesem Hintergrund finde ich es sogar viel cleverer, die sicherheitsrelevante Key-Datei NICHT zu beschreiben (die notfalls noch auf eier Dampfdiskette residiert) und die Zähler wo anders unterzubringen, wo nichts sicherheitsrelevantes drin ist.

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:48 Uhr · #9

Ja, du hast absolut Recht.
Das Verfahren passt halt leider jetzt nicht in meinen Ablauf, der für Pin/Tan so herrlich funktioniert

OK, dann wird die Bank eben darunter leiden, denn die Umsätze werde ich dann über eine Pin/Tan fähige Bank machen und diese nur noch COR1 mäßig mit Umbuchungen belasten. :whistle:

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7352
Dabei seit: 03 / 2007

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 07.12.2013 - 15:54 Uhr · #10

Das klappt dann aber ja wohl auch nur für Listen-TAN oder SMSTAN oder so... ChipTAN kriegste ja in dem textbasierten Umfeld (zumindestens optisch) auch nicht hin. Und ChipTAN manuell ist ja wohl kein gangbarer Weg auf Dauer?

onlbanker

Benutzer

Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013

Betreff:

Re: FinCmd Schlüsseldatei ohne Contactfile

· Gepostet: 08.01.2014 - 09:47 Uhr · #11

Sehe gerade, dass hier noch eine Frage offen war. Doch, Chiptan geht mit der fincmd auch, halt nicht optisch sondern manuell, hatten wir glaube ich gestern in einem Thread auch schon gesagt. Schön ist das nicht, aber die Hauptbank bietet Smstan ohne zus. Kosten an.