Hallo,

ich habe bei einigen Anwendung gesehen, daß HTTPS Requests verwendet werden, wenn HBCI/FinTS nicht von der Bank angeboten wird.

Wie stellen die das an? Haben die Entwickler Zugang zu allen Webseiten der Banken und parsen die HTML Dokumente nach Informationen, so wie es T-Online bei BTX gemacht hat? Wie kriegt man denn Zugang zu den Banksystemen, ohne überall ein Konto zu besitzen?

Ich hab dabei irgendwie Bedenken, solange es sich um einen "Hack" handelt. Oder gibt es dokumentierte HTTPS Schnittstellen abseits von FinTS/HBCI?

Gruß,
root66

Hallo root66,

HBCI/FinTS mit Sicherheitsmedium PIN/TAN basiert auf HTTPS Kommunikation. Also nichts aus dem Abseits sondern offiziell. HBCI/FinTS kann mehr als nur die Absicherung mittels Chipkarte/RSA-Datei via TCP/IP.

Einige Softwareprodukte bieten daneben aber tatsächlich etwas, wie oben beschrieben. Also eine Art Parser greift die einzelnen Webseiten der Bank ab, und versucht deren Inhalt zu interpretieren. Oft wird das als Screenscraping oder ähnlich bezeichnet. Für Krückenbanken ohne vernünftige Schnittstellen müssen eben Krückenlösungen her. Fairerweise muss man sagen, dass sich die Situation zuletzt aber stark gebessert hat. Hier und da finden sich aber immer wieder Funktionen, die bestimmte Banken nur über das Webbanking anbiteten wollen, z.B. der elektronische Kontoauszug als relativ prominentes Beispiel. Hier bleibt der Software nur die Wahl zwischen gar nichts und Schrott.

Danke für die Antwort. Wie kann man denn das Screenscraping realisieren, ohne nicht bei jeder Bank ein echtes Konto zum Testen zu besitzen? Die offiziellen Demo-Accounts müssen ja nicht im Detail mit dem Live-System übereinstimmen.

Moin,genau deswegen spricht "Captain FRAG" (und nicht nur der ) ja auch von einer "Krücke".

Es gibt einzelne Institute, die mit dem einen oder anderen Softwarehersteller ein agreement haben, das Anpassungen am Web-Client vor Realisierung zumindest bekanntgegeben werde, aber viele tun dies nicht.

Mit CortalConsors kommt es bei der Online-Depotverwaltung, die nicht via HBCI/FinTS-PIN/TAN imblementiert ist, ständig zu Problemen mit Screenscraping-Clients, da CC sehr häufig Anpassungen innerhalb des Web-Clients vornimmt.

Ich denke, ohne das ich hier jemandem zu nahe treten möchte, teilweise tun die Institute dies ganz bewußt, da nur so z.B. Werbebotschaften oder andere (wichtige) Informationen von den Banking-Kunden gesehen werden können.
Kunden, die einen Screenscraping-Client nutzen, oder auch reguläres FinTS), erreicht man nur sehr schwer.

Die verschiedenen Internet-Banking Systeme sind keine Schnittstelle, die für automatische Ansteuerung gedacht sind. Teilweise verhindern Banken das auch bewusst, um Phishern das Leben schwer zu machen.

Ich denke es macht keinen Sinn, etwas als Schnittstelle zu betrachten dass keine ist. Die ständigen Änderungen nachzupflegen ist eine Lebensaufgabe, ein undankbare dazu.

Und das ganze noch ohne Echtkonto hinzubekommen - viel Erfolg. Selbst Konto A kann im Echtsystem noch anders aussehen als Konto B.