PIN cache

grafix

Betreff:

PIN cache

 ·  Gepostet: 08.06.2020 - 22:13 Uhr  ·  #155682
Obwohl unter '-> Hibiscus / Einstellungen / Grundeinstellungen / Sicherheit' sowohl
- "PIN-Eingaben für die aktuelle Sitzung zwischenspeichern", als auch
- "PIN-Eingaben permanent speichern ... "
nicht aktiviert sind, werden die beim Konfigurationstest von Bankzugängen (PIN/TAN, aktuell: apoBank) verwendeten PIN-Eingaben doch gespeichert:
bug or feature?

Dank vorab.

Jameica 2.8.6
Hibiscus 2.8.23
os Fedora 31

hibiscus

Betreff:

Re: PIN cache

 ·  Gepostet: 08.06.2020 - 22:25 Uhr  ·  #155684
Mir ist nicht ganz klar, wie du zu dieser Annahme kommst. Die Tatsache, dass keine PIN abgefragt wurde, heisst doch nicht, dass Hibiscus irgendwo eine gespeichert hat. Beim Kontakt mit der Bank fragt Hibiscus erst dann nach der PIN, wenn sie tatsaechlich gebraucht wird. Und nicht bereits direkt nach dem Druck auf den Button. Bei der Dialog-Initialisierung mit der Bank (dem gegenseitigen "Hallo" sagen) wird noch keine PIN benötigt. Und wenn es bereits dort zu einem Fehler kommt, dann kommt es halt gar nicht erst zu einer PIN-Abfrage.

grafix

Betreff:

Re: PIN cache

 ·  Gepostet: 08.06.2020 - 23:06 Uhr  ·  #155685
Zitat
Die Tatsache, dass keine PIN abgefragt wurde,


Die PIN wird abgefragt, wobei die Eingabe bereits vorbelegt ist:

Zum Ablauf:
1. Aufruf '-> Hibiscus / Bank-Zugänge / PIN/TAN':
1.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."
1.2 Änderung Parameter des Bankzugangs, Button speichern
1.3. Button "Konfiguration testen" -> PIN wird nicht abgefragt, Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

2. Wechsel zu '-> Hibiscus / Konten'
2.1 Synchronisation eines anderen Kontos

3. Wechsel zurück zu '-> Hibiscus / Bank-Zugänge / PIN/TAN':
3.1 Auswahl Bank (hier apoBank), Button "Konfiguration testen" -> PIN wird abgefragt, Eingabe ist jedoch schon vorbelegt (*****) und resultiert nach Bestätigung des vorbelegten Werts mit Button "ok" in Status
"Teste Sicherheits-Medium..., [aktuelle Fehlermeldungen], Sicherheits-Medium erfolgreich (?) getestet."

Sowohl aus Punkt 1.3 als auch aus Punkt 3.1 schliesse ich, dass die PIN gecached wurde ...

hibiscus

Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 09:48 Uhr  ·  #155694
Das ist in der Tat ein Fehler. Konnte es reproduzieren. Das war ein Seiten-Effekt von https://github.com/willuhn/hib…geLog#L365
Bei einem Fehler sollte zwar der PIN-Dialog neu angezeigt - allerdings mit der - ggf. falschen PIN - vorbelegt sein. Bei der Ausführung von Geschäftsvorfällen wurde das korrekt behandelt, beim Testen/Synchronisieren eines Bankzugangs jedoch nicht. Ist gefixt und morgen im Nightly-Build.

grafix

Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:22 Uhr  ·  #155703
... mit Dank für die schnelle Reaktion und Umsetzung!

Zitat
- allerdings mit der - ggf. falschen PIN - vorbelegt


... nur zum Verständnis:
Ungeachtet der bzgl. des Cache gewählten Grundeinstellung wird beim Testen/Synchronisieren eines Bankzugang die PIN offenbar gecached, der Cache wird dann wann wieder gelöscht (Programmende, Modulwechsel , ?...)?

PS: Ist bzgl. der apoBank die Statusmeldung "Sicherheits-Medium erfolgreich getestet" nach vorheriger Ausgabe der zahlreichen Fehlermeldungen (9000, 9010, 9050 etc.) korrekt?

hibiscus

Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:25 Uhr  ·  #155704
Zitat geschrieben von grafix

... nur zum Verständnis:
Ungeachtet der bzgl. des Cache gewählten Grundeinstellung wird beim Testen/Synchronisieren eines Bankzugang die PIN offenbar gecached, der Cache wird dann wann wieder gelöscht (Programmende, Modulwechsel , ?...)?

Genau das habe ich ja gefixt. Wenn die Option "PIN-Eingabe für die aktuelle Sitzung zwischenspeichern" deaktiviert ist, wird sie beim Testen/Synchronisieren nicht mehr gecached.

grafix

Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:31 Uhr  ·  #155705
... mit Dank für die prompte Aufklärung, da hatte ich den Verweis auf BUGZILLA 1809 offenkundig falsch interpretiert:

Zitat
PIN-Cache nicht mehr leeren sondern als dirty markieren.

hibiscus

Betreff:

Re: PIN cache

 ·  Gepostet: 09.06.2020 - 11:52 Uhr  ·  #155707
Nein, hast du nicht. BUGZILLA 1809 macht genau das. Die PIN im Fehlerfall nicht löschen sondern nur als dirty markieren. Hierbei ist aber fälschlicherweise die Option "PIN zwischenspeichern" ignoriert worden. Das ist jetzt korrigiert.