Browser-Plugin oder HBCI-PlugIn

MrNett

Betreff:

Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 16.02.2007 - 11:20 Uhr  ·  #35896
Hallo,


ich bin auf der Suche nach einer Online-Anwendung für HBCI mit Chipkarte.


Wer hat da was oder wer kennt da was?


BLB und Axilaris sind bekannt!

Cu


Michael

hochexplosiv

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 16.02.2007 - 15:47 Uhr  ·  #35913

ottoager

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 20.02.2007 - 11:37 Uhr  ·  #36018
Hallo,

meines Wissens gibt es derzeit zwei Lösungen am Markt:

1. Die bereits von "hochexplosiv" angesprochene DataDesign-Lösung (Details: http://www.datadesign.de/internet/DDBAC.PlugIn.htm ). Diese wird auch von axilaris betrieben, wie z.B. hier zu sehen: https://finanzcenter.sparkasse…/index.php , ebenso bei der SEB. Meines Wissens ist diese Lösung jedoch auf Windows beschränkt und nutzt im IE ActiveX - also sicherheitstechnisch zumindest diskussionswürdig.

2. Eine Lösung von PPI, die z.B. die BayernLB betreibt (für sich und einige Sparkassen). Die neueste Inkarnation dieser Lösung - ich kenne allerdings niemanden, der das schon produktiv hat - heißt "TRAVIC Sign" (Details: http://www.ppi.de/produkte/int…/index.php ). Bei der neueren Lösung wird eigentlich nur der Signatur-Teil und die Chipkartenansteuerung per Java-Applet gemacht, die ganze Navigation usw. jedoch per Browser-HTML (was einerseits das Applet kleiner macht und andererseits nicht so spröde ausschaut wie die bei der BayernLB gehostete ältere Lösung, wo auch die komplette Navigation im Applet liegt - im Prinzip eine richtige kleine Bankingsoftware). Bei der neueren Variante gibt es auch eine proprietäre Erweiterung, die aus einer Zusammenarbeit von PPI und Reiner SCT resultiert, die in einem Reiner-Klasse-3-Lesegerät nach einem Firmware-Update Teile der zu signierenden Transaktion im Display anzeigt.

Ich persönlich bin der Meinung, dass diese Lösungen nicht wirklich toll sind. Man benötigt immer noch einen Chipkartenleser, der nicht ganz billig ist, und man muss immer noch etwas installieren (Chipkartenlesertreiber, das DataDesign-PlugIn oder eine passende Java-Runtime, die bei Windows ja auch nicht mehr von Haus aus dabei ist), was wiederum alles Adminrechte benötigt und den Verlust der Mobilität eines PIN/iTAN-Verfahrens bedeutet. Daraus folgt, "normales Browserbanking" mit PIN/iTAN kann man damit nicht flächendeckend ersetzen. Und sichere Lückenlösungen (HBCI mit Chipkarte, Klasse-2-Kartenleser und StarMoney oder ähnlichem) haben wir eigentlich schon seit Jahren - kein Grund, in eine der oben beschriebenen Lösungen zu investieren. Aber das ist nur meine Privatmeinung.

Ciao

Otto

mschunk

Betreff:

Aufklärung über TRAVIC-Sign

 ·  Gepostet: 22.02.2007 - 12:49 Uhr  ·  #36098
Hallo zusammen,

nur damit keine falschen Vorstellungen zu TRAVIC-Sign aufkommen.
TRAVIC-Sign ist ein echtes Browser-Plugin (Ansi-C, wie Flash etc.), kein Java-Applet und hat auch nichts mit der Java-Anwendung der BLB zu tun, die nicht von PPI kommt, sondern von Mitarbeitern der BLB in entwickelt wurde.

TRAVIC-Sign wird schon von einer Bank mit über 200.000 Online Banking Kunden eingesetzt und nutzt dabei die bereits ausgebenen HBCI-Chipkarten.

TRAVIC-Sign ist auch kein HBCI-Client, sondern nutzt dessen spezifizierte Sicherheitsverfahren. Konkret kann TRAVIC-Sign RDH-1 und RDH-3 Chipkarten bzw. RDH-2 Disketten/USB-Stick nutzen um beliebige als Parameter vom Bank-System übergeben signierte Daten zu prüfen bzw. neue Kundensignaturen über diese Daten zu rechnen und an das Banksystem zu geben. Zur Signaturprüfung bzw. Signaturerzeugung wird der angeschlossen Chipkartenlese/USB-Stick genutzt. Es werden KLasse 1 bis Klasse 3 Chipkartenleser unterstützt.

Eingebunden in Online Banking per Browser kann TRAVIC-Sign alternativ zum PIN/TAN eingebunden werden. Die Sicherheit in der Kommunikation erfolgt durch den wechselseitigen Transport von signierten Daten (bankseitig und kundenseitig). Dabei sind die Daten nicht protokollspezifisch, haben also nichts mit dem HBCI-Protokoll zu tun. Sie sind wechselseitig signiert und können so auf der Bankseite und auf der Kundenseite eindeutig verifiziert werden.

Die Daten können zum Beispiel für Menschen lesbare Auftragsdaten (Texte) sein. Zum Beispiel die signifikanten Werte einer Überweisung. Aus diese Weise kann ein Kunde im Browser sicher sein, dass seine Daten auch wirklich die Bank erreicht haben, denn die Rückspiegelung der Auftragsdaten erfolgt per signierter Bankmeldung. Gleiches passiert im Rahmen der kundenseitig aktivierten Auftragsbestätigung (per Button), denn hier wird die Kundensignatur unter die Auftragsdaten gestellt und die Bank kann sicher sein das der Kunde mit seiner Chipkarte die Auftragsdaten gesehen und für richtig befunden hat.
Die Anzeige dieser Signierten Daten erfolgt unter Kontrolle von TRAVIC-Sign und wird nur dann ausgeführt wenn die Signaturprüfungen gegen die Chipkarte korrekt abgelaufen sind.

Wenn der Chipkartenleser von Reiner SCT Klasse 3 eingesetzt wird, erfolgt die Anzeige der Daten im Display des Lesers. Somit kann auch kein Trojaner auf dem PC die Anzeige manipulieren.

TRAVIC-Sign will HBCI nicht Frage stellen, sondern will eine Alternative für das weit verbreitete PIN/TAN Banking im Browser geben.

Natürlich wird die Mobilität durch den Einsatz des Chipkartenlesers beeinträchtigt, jedoch gibt es heute schon Kartenleser im USB-Stickformat, die ohne gesonderte Treiber-Installation die Flexibilität und einen Sicherheitsgewinn bieten können.

Wieviel dieser Sicherheitsgewinn jedem Wert ist, steht auf einem anderen Blatt.

Ich hoffe ich konnte damit ein wenig Klärung in den Beitrag von otto bringen.

Falls nicht, stellt einfach Fragen !

Michael

ottoager

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 22.02.2007 - 15:13 Uhr  ·  #36109
Hallo Michael,

danke für Deine für mich hochinteressanten Ausführungen und besonders die Korrekturen :popworm: .

Man lernt nie aus, nichts geht über Informationen aus erster Hand :thup:

Zitat geschrieben von mschunk
TRAVIC-Sign wird schon von einer Bank mit über 200.000 Online Banking Kunden eingesetzt und nutzt dabei die bereits ausgebenen HBCI-Chipkarten.


Darf man - aus purem Interesse - fragen, welche Bank das ist?

Otto

ottoager

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 29.10.2007 - 16:57 Uhr  ·  #42297
Zitat geschrieben von ottoager
Darf man - aus purem Interesse - fragen, welche Bank das ist?


[Vermutung] SEB [/Vermutung] 8)

Otto

Holger Fischer

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 29.10.2007 - 17:03 Uhr  ·  #42299
Hallo Otto
Zitat geschrieben von ottoager
Zitat geschrieben von ottoager
Darf man - aus purem Interesse - fragen, welche Bank das ist?


[Vermutung] SEB [/Vermutung] 8)


Wenn ich das richtig im Kopf habe, hat die SEB eine Datadesignlösung.

Gruß

Holger

ottoager

Betreff:

Re: Browser-Plugin oder HBCI-PlugIn

 ·  Gepostet: 29.10.2007 - 17:10 Uhr  ·  #42300
Hallo Holger,

Zitat geschrieben von Holger Fischer
Wenn ich das richtig im Kopf habe, hat die SEB eine Datadesignlösung.

IMO: "hatte" statt "hat". :)

Otto