Wie sicher sind Hibiscus und hbci4java?

Hallo,

wenn ich das richtig verstehe habe ich bei der Nutzung von Hibiscus vier Komponenten, die sicher sein müssen, um eingermaßen beruhigt zu banken.

1. Java von Sun
2. hbci4java
3. Jamaica
4. hibiscus

Ohne böse Absichten zu unterstellen muss ich mich ja auf die Enwickler verlassen können. Jetzt dachte ich bis vor Kurzem naiv, dass hbci4java im offiziellen Java bereits enthalten ist. Doch wie ich aus diesem Thread schließe stimmt das nicht.

Dort steht:

Was ist nun mit diesen Teilen, die nicht öffentlich sind. Wer sagt mir, dass damit nicht Kontonummern und Pins gesammelt weden?

Oder das dies mit einer der anderen Komponenten geschieht. Liest hier im Forum jemand gelegentlich die Quelltexte?

Gruß Ben

Ich will Dir oder Anderen, die für prima Software iher Freizeit opfern auch nichts unterstellen
Ich habe Hibiscus ja auch schon am Laufen, mir geht es nur grundsätzlich darum das einschätzen zu können.

Bei kommerzieller Software gibt es ein Team, dass sich hoffentlich gegenseitig etwas auf die Finger schaut. Dann gibt es hoffentlich noch ein Testteam, dem ensprechende Hintertüren auffallen könnten. Wenn sich dann doch ein Enwickler mit meinem Erspartem über die Berge macht, habe ich immer noch die Firma, die die Software produziert hat, die ich in Regress nehmen kann.

Gruß Ben

Du machst dir Sorgen um die Sicherheit der Bankingsoftware und willst deine Daten dann ins Internet stellen ???? :noidea:

Darauf erstmal :drink:

Sorry, aber ist mir zu hoch-

Sicherheit ist kein festgeschriebener Zustand oder ne Sache wie ein Karton Milch den ich mir im Supermarkt aus dem Regal ziehe sondern ein Prozess.

Das führt in aller Konsequenz dazu, dass sich die Frage so einfach nicht beantworten lässt. So kann ein Intranet unsicherer sein als ein Server der direkt am Internet angebunden ist. Muss aber nicht.

Auch kann dein SSL Zugriff fehlerhaft sein und somit hat das ganze nichts mehr mit der Sicherheit von Jameica zu tun.

Da Du mit PHP Zugreifen willst, kann es zB. Sinn machen auf einer abgeschirmten Box Jamaica zu betreiben und die HBCI Zugriffe über einen gesicherten Kanal durchzuführen.

Dein PHP selber greift von einer anderen Box aus über einen anderen gesicherten Kanal auf die Hibiscus Box zu. Dieser Kanal lässt lediglich verschlüsselte RPC Calls zu.

Und zu guter letzt läuft dieses PHP SCript auch nur als COnnector und legt die Daten die es in Erfahrung bringt nochmal ab. Damit kann dann eine dritte Box über eine weitere dritte, verschlüsselte Verbidnung nur solche RPC-Calls absetzen, die diese Daten auslesen. Somit ist dann noch Benutzername und Passwort für den RPC-Zugriff auf JHibiscus abgeschottet.

Diese Dritte Box darf dann dein Internetserver sein. Absichern solltest Du den aber immer noch.

Jetzt musst Du nur noch den Administrativen Betriebsaufwand geregelt kriegen damit dabei eventuelle Fehler immer mal wieder behoben werden. Das könnte ne recht sichere Sache werden dann...

Also so könnte ich mir auf die Schnelle was sicheres Vorstellen. Allerdings ist auch immer die Frage was genau du sSchützen möchtest:

Betriebssicher ist Hibiscus finde ich schon, es stürtzt bei mir nicht ab.