Obwohl unter '-> Hibiscus / Einstellungen / Grundeinstellungen / Sicherheit' sowohl
- "PIN-Eingaben für die aktuelle Sitzung zwischenspeichern", als auch
- "PIN-Eingaben permanent speichern ... "
nicht aktiviert sind, werden die beim Konfigurationstest von Bankzugängen (PIN/TAN, aktuell: apoBank) verwendeten PIN-Eingaben doch gespeichert:
bug or feature?

Dank vorab.

Jameica 2.8.6
Hibiscus 2.8.23
os Fedora 31

Mir ist nicht ganz klar, wie du zu dieser Annahme kommst. Die Tatsache, dass keine PIN abgefragt wurde, heisst doch nicht, dass Hibiscus irgendwo eine gespeichert hat. Beim Kontakt mit der Bank fragt Hibiscus erst dann nach der PIN, wenn sie tatsaechlich gebraucht wird. Und nicht bereits direkt nach dem Druck auf den Button. Bei der Dialog-Initialisierung mit der Bank (dem gegenseitigen "Hallo" sagen) wird noch keine PIN benötigt. Und wenn es bereits dort zu einem Fehler kommt, dann kommt es halt gar nicht erst zu einer PIN-Abfrage.

Die PIN wird abgefragt, wobei die Eingabe bereits vorbelegt ist:

Zum Ablauf:
1. Aufruf '-> Hibiscus / Bank-Zugänge / PIN/TAN':
1.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."
1.2 Änderung Parameter des Bankzugangs, Button speichern
1.3. Button "Konfiguration testen" -> PIN wird nicht abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

2. Wechsel zu '-> Hibiscus / Konten'
2.1 Synchronisation eines anderen Kontos

3. Wechsel zurück zu '-> Hibiscus / Bank-Zugänge / PIN/TAN':
3.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Eingabe ist jedoch schon vorbelegt (*****) und resultiert nach Bestätigung des vorbelegten Werts mit Button "ok" in Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

Sowohl aus Punkt 1.3 als auch aus Punkt 3.1 schliesse ich, dass die PIN gecached wurde ...

Das ist in der Tat ein Fehler. Konnte es reproduzieren. Das war ein Seiten-Effekt von https://github.com/willuhn/hib…geLog#L365
Bei einem Fehler sollte zwar der PIN-Dialog neu angezeigt - allerdings mit der - ggf. falschen PIN - vorbelegt sein. Bei der Ausführung von Geschäftsvorfällen wurde das korrekt behandelt, beim Testen/Synchronisieren eines Bankzugangs jedoch nicht. Ist gefixt und morgen im Nightly-Build.

... mit Dank für die schnelle Reaktion und Umsetzung!



... nur zum Verständnis:
Ungeachtet der bzgl. des Cache gewählten Grundeinstellung wird beim Testen/Synchronisieren eines Bankzugang die PIN offenbar gecached, der Cache wird dann wann wieder gelöscht (Programmende, Modulwechsel , ?...)?

PS: Ist bzgl. der apoBank die Statusmeldung "Sicherheits-Medium erfolgreich getestet" nach vorheriger Ausgabe der zahlreichen Fehlermeldungen (9000, 9010, 9050 etc.) korrekt?

Genau das habe ich ja gefixt. Wenn die Option "PIN-Eingabe für die aktuelle Sitzung zwischenspeichern" deaktiviert ist, wird sie beim Testen/Synchronisieren nicht mehr gecached.

... mit Dank für die prompte Aufklärung, da hatte ich den Verweis auf BUGZILLA 1809 offenkundig falsch interpretiert:

Nein, hast du nicht. BUGZILLA 1809 macht genau das. Die PIN im Fehlerfall nicht löschen sondern nur als dirty markieren. Hierbei ist aber fälschlicherweise die Option "PIN zwischenspeichern" ignoriert worden. Das ist jetzt korrigiert.