Hallo liebes Forum,

ich bin seit Jahren treuer und begeisterter Hibiscus-User und hätte behauptet, mich einigermaßen auszukennen, aber jetzt bin ich auf folgendes Problem gestoßen, wo ich mich offenbar zu blöd anstelle - zumindest habe ich auch hier im Forum sonst keinen Beitrag dazu finden können:

Mein Zugang zur Sparkasse wurde auf PushTAN 2.0 umgestellt. Wenn ich Überweisungen etc. via deren Banking-Website mache, funktioniert damit auch alles.

Hibiscus habe ich daraufhin ebenfalls auf PushTAN 2.0 umgestellt, BPD/UDP neu geladen (Medienbezeichner wurde auch korrekt gezogen etc.).

Wenn ich jetzt eine TAN-Pflichtige Aktion durchführe, werde ich nach der TAN gefragt und meine App auf dem Handy springt auch sofort an. Dort kann ich den Vorgang lediglich per freigeben, bekomme aber keine TAN angezeigt.

Ich kann also in Hibiscus keine TAN eingeben. Wenn ich einfach "0" oder sonst etwas angebe, erhalte ich einen entsprechenden Fehler.

Etwas beunruhigend dabei außerdem: Der Auftrag wird ausgeführt(!) Ich habe eine Sammelterminüberweisung eingestellt, die mir Hibiscus wegen der nicht eingegebenen TAN als fehlgeschlagen/abgelehnt anzeigt.

Ein Blick in das Online-Portal der Bank zeigt aber, dass die Sammelüberweise vollständig eingegangen und akzeptiert wurde.

Ich verwende das aktuelle Hibiscus 2.10.12.

Habe ich da etwas übersehen? Herzlichen Dank und viele Grüße!

Das Thema hatten wir erst vor 5 Tagen: forum/topic.php?p=166918#real166918
Wenn der Auftrag dennoch ausgeführt wurde, dann frag doch mal bei der Bank nach, wie das sein kann, wenn Hibiscus das TAN-lose PushTAN-Verfahren noch gar nicht unterstützt.

Na ob er da bei der Bank eine sinnvolle Aussage bekommen wird?

Vielleicht ist es ja nur so, dass hibiscus die Bezeichnung des neuen TAN-Verfahrens an den Bankrechner sendet und der es dann "einfach macht" und die Freigabe durchgeht. Nur hibiscus merkt das halt nicht, weil es sich mangels Programmierung nicht dafür interessiert?? Womöglich ist das TAN-lose Verfahren so einfach nachzurüsten, dass man einfach die Eingabemaske für die TAN unterdrückt?

Der Ablauf ist ungefähr so:

1: Hibiscus reicht Auftrag bei der Bank ein - zusammen mit einem HKTAN für das gewünschte TAN-Verfahren
2: Bank sendet die Aufforderung per HITAN. Genau hier zeigt Hibiscus dann fälschlicherweise den TAN-Eingabedialog an
3. Hibiscus müsste im Hintergrund alle paar Sekunden ein HKTAN an die Bank senden - so lange, bis die meldet, dass die Freigabe erfolgte
4. Bank antwortet mit einem HITAN, dass die Freigabe erfolgte.

Schritt 3 macht Hibiscus nicht. In der Spezifikation ist aus meiner Sicht aber in der Tat nicht geregelt, was passieren soll, wenn der User auf dem Zweitgerät die Freigabe erteilt, das Bankingprogramm den Status aber gar nicht per HKTAN abholt.

unabhängig der Spezifikation, finde ich die Idee von @msa nice
Kannst du nicht einfach das TAN-Feld unterdrücken oder ein zusätzlicher Button "schließen da anderweitig freigeben" oder ein Hinweis: "TAN 0 eingeben wenn per Drittgerät freigegeben"?

dann wäre es für den User erledigt und hibiscus hat die Funktion, auch wenn nicht ganz konform. (also ein dirty workaround)

Das geht so leider nicht, weil ich den Auftrag ja in Hibiscus als ausgeführt markieren muss. Dazu muss ich aber sicher sein, dass er wirklich ausgeführt wurde. Das ist nicht der Fall, wenn der User in der PushTAN-App abbricht. Unabhängig davon ist nicht klar, ob das bei allen Banken so funktioniert.

Zunächst einmal herzlichen Dank für Euer Feedback. Aus dem anderen Thread lese ich heraus, das ich einfach auf pushTan (1.0) stellen könnte. Auf die Idee bin ich gar nicht bekommen - das werde ich ausprobieren, in der Hoffnung, dass die App das unterstützt und dann auch eine TAN anzeigt.

Korrekt.

Du könntest statt in Hibiscus in Schritt 3 dauerhaft ein polling an den Bankserver zu machen auch auf Benutzereingabe warten.
Nach dem Motto "Ja, ich habe in der decoupled App den Auftrag freigegeben" und nur dann nochmal den HKTAN-Status-Request abschicken. Der müsste dann ja wenn der User nicht gelogen hat die Auftragsantwort direkt liefern.
Wenn der Auftrag in der App freigeben wurde wird er übrigens auch direkt ausgeführt (in FI Instituten - man kann das auch anders umsetzen, da ist die Spez nicht bindend). Ob der einreichende Client die Antwort dazu dann abruft oder nicht ist unerheblich.

Solang das decoupled-Protokoll nicht umgesetzt ist würde ich die decoupled Verfahren in Hibiscus gar nicht auswählbar machen an deiner Stelle. Für die FI wären das übrigens die Nummern 922 und 923.