Hallo,
ich danke euch für die Hilfestellung.

Ich benutze seit einiger Zeit Jameica Banking als installierbare Version der Software Hibiscus und Jameica und bin sehr zufrieden damit. Bisher konnte ich die aktuelle Version des Programms bei der Volksbank Krautheim downladen. http://www.vb-krautheim.de/pro…suite.html

Seit der neuen Version 2.0.2 ist dort kein Download mehr zu finden. Fündig geworden bin ich jetzt unter http://developer.berlios.de/pr…p_id=12494

Ich habe dort Jameica Banking 2.0.2 (19073658 KB) mit der zugehörigen MD5SUM downgeladen.
Kaspersky Internet Security und Windows 7 melden, dass der Herausgeber von „jameicabanking-setup.exe“ nicht verifiziert werden kann und stuft den Download als „unsicher“ ein.
Wenn ich mit dem Tool „HashTab_v4.0.0.1“ die MD5-Summe der Datei anzeigen lasse und mit der Datei MD5SUM.md5 vergleiche, erhalte ich folgendes Ergebnis.
Datei: 1E1C3280A1C65D35D8A51605077A6E0E
Hash-Vergleich fehlerhaft: CBDCC5BB507B7F4CBC1BADBB24431CA5

Da HBCI nur über die Bankingsoftware angreifbar ist, bin ich verunsichert.
Wo finde ich einen vertrauenswürdigen, verifizierbaren, verlässlichen Download von Jameica Banking? Oder mache ich einen Denkfehler?

Ok, Ok, ich bin selber darauf gekommen. :idea:
Ich habe beim Vergleich den Hashwert der Setup-Datei mit dem Hashwert der MD5-Datei verglichen. :evil:
Wenn man die MD5-Datei in *.txt umbenennt, enthält sie den gleichen Zahlenwert wie die Setup-Datei und diese ist somit verifiziert.

Das fehlende Zertifikat ist dann sicher ein "Kostenproblem". Allerdings verunsichert das einen schon bei einer Bankingsoftware.

Wenn du auf 100% Nummer sicher gehen willst, muesstest du die originalen Downloads von www.willuhn.de verwenden. Die sind mit

- meinem GnuPG-Schluessel
- einem X.509-Zertifikat basierend auf http://www.willuhn.de/ca.crt
- einer - und das ist die sicherste Variante ueberhaupt - qualifizierten elektronischen Signatur via Chipkarte

signiert. Siehe http://www.willuhn.de/products/hibiscus/download.php (ganz unten der Absatz "Hinweise zu den Signaturen"). Die "qualifizierte elektronische Signatur" ist rechtlich quasi identisch zur eigenhaendigen Unterschrift. Mir ist kein anderes technisches Verfahren bekannt, welches die Echtheit und Unversehrtheit einer Software so sichern kann, wie diese Art der Signatur.

Hallo,
vielen Dank für diesen Hinweis. Beim bisherigen Download auf der Seite der Volksbank Krautheim hatte ich keine Sicherheitsbedenken.

Erst das Meckern von Windows 7 und Kaspersky wegen der fehlenden Signatur hat mich verunsichert. HBCI wäre ja über ein manipuliertes Programm angreifbar.

Da ich nicht der ganz große PC-Experte bin, war ich über die einfach zu installierende Version der Bank recht glücklich. Warum wird dort nichts mehr angeboten?
Könntest Du nicht auch die Installationsversion Jameica + Hibiscus auf Deiner Seite signiert anbieten?
Das Programm ist Topp und ich bin sehr zufrieden, zumal es kostenlos angeboten wird. Im Gegensatz zu verschiedenen nahmhaften Kaufprogrammen, die oft jährlich alles auf den Kopf stellen um eine neue Kaufversion für 30,00 EUR begründen zu können, hatte ich mit diesem Programm keine Probleme.

Einige Nutzer werden sicher wegen der umständlicheren Installation der Einzelkomponenten davor zurückschrecken. War bei mir auch so. Erst als ich die Installationsversion gefunden hatte, habe ich das Programm verwendet. Ich würde mich sehr darüber freuen, da Sicherheit heutzutage beim Onlinebanking immer wichtiger wird. Sollte das Programm durch eine fremde Manipulation unbemerkt mißbraucht werden, wäre der Schaden auch für den Programmierer nicht schön.

Mit freundlichem Gruß

Carn

PS: Eine Updatefunktion oder zumindest eine Meldung einer neuen Version im Programm wäre toll. Ebenso eine Druckfunktion für die Umsätze.

Die VB Krautheim hat ihre Webseite auf ein neues System umgestellt, da konnte Hibiscus leider nicht mehr gehostet werden. Es hat sich aber nur die URL geaendert - die Downloads sind noch die gleichen wie bei der VB Krautheim.



Mhh, mal sehen. So einfach wie das klingt, ist das aber nicht.



Genau dafuer gibts ja auch die Downloads auf meiner Seite mit qualifizierter elektronischer Signatur. Ich schaffe es aber nicht, mich um alle Betriebssysteme zu kuemmern und dort jeweils passende Installationspakete anzubieten. Fuer verschiedene Linux-Distributionen gibts ja auch Pakete, die nicht von mir persoenlich verwaltet werden - siehe http://hibiscus.berlios.de/doku.php?id=support:bezugsquellen
Es ist halt Opensource. Da ist das nunmal so, dass es fuer eine Software verschiedene Bezugsquellen gibt. Der User muss dann halt selbst entscheiden, welche er waehlt.



http://www.willuhn.de/blog/ind…ugins.html



http://www.willuhn.de/blog/ind…pport.html
http://www.willuhn.de/products/hibiscus/new-in-2.0.php