Sorry, du hast mich völlig falsch verstanden. Ich bin einfach total im Stress und bekomme seit Wochen nichts mehr auf die Reihe, womit ich mich gerne privat beschäftigen würde und ich bewundere Leute wie dich, die vermutlich neben einer beruflichen Tätigkeit und Familie noch uneigennützig Freeware programmieren. Ich würde das auch sehr gerne tun, aber ich schaffe es momentan nicht. Vor vielen Jahren war das noch anders.

Es ist mir ein Rätsel wie du aus meiner Aussage irgendwas anderes raushören konntest.

Und ich vermutete ja schon, dass es sehr leicht zu implementieren ist, hatte nur noch nicht genug darüber nachgedacht, ob es nicht doch irgendwelche Fallstricke oder Angriffsmöglichkeiten gibt.

Ach? Aber wenn dich jemand dafuer bezahlen wuerde, dann haettest du ploetzlich die Zeit? Warum gehst du dann davon aus, dass das bei mir anders ist?

OK, machen wir doch einfach mal Naegel mit Koepfen. Die Implementierung kostet mich 2h a 45,- EUR zzgl. MwSt. Teilt mir einfach mit, auf welche Anschrift ich die Rechnung ausstellen kann.

Nein, ich bin nicht angestellt. Ich bin selbstaendig - wie man beim Blick auf www.willuhn.de sehen kann. Und wenn ich mich mit Hibiscus beschaeftige, dann kostet das mich nicht nur Freizeit sondern bares Geld. Weil ich in der Zeit kein Geld mit Kundenprojekten verdienen kann. Das Geld, von dem ich leben muss.

Exakt genauso geht es mir auch. Wenn du trotzdem auf Geld von Kundenprojekten verzichtest, um an Hibiscus zu arbeiten, dann bewundere ich das und wäre froh, wenn ich das auch könnte. Programmieren war mal mein Hobby und oft wünsche ich mir die Zeit zurück. Manchmal wäre ich lieber Busfahrer.

Ich bewundere dich wirklich. Bitte hör auf, auf mir rumzuhacken.

Warum hacke ich jetzt auf dir rum? Ich habe ein konkretes Angebot gemacht (schliesslich wolltest du das ja auch nur gegen Bezahlung machen). Nehmt es an oder nicht.

BTW: Das wuerde dann aber ohnehin nur fuer PIN/TAN gelten, weil es dort bei der Ausfuehrung von Geschaeftsvorfaellen mit Geldfluss immer noch die TAN als Autorisierung gibt. Eine permanente Speicherung einer Chipkarten-PIN (wie es eldomico will) wird es - zumindest von mir - niemals in Hibiscus geben. Denn das unterwandert die Sicherheit von Chipkarten (die zumindest bei Lesern bis Klasse-2 im Verhaeltnis zu aktuellen smsTAN/chipTAN-Verfahren ohnehin schon nicht mehr up2date ist) komplett.
Zumal das Argument "ich muss 10 PINs eingeben" dort eh nicht zieht. Wer 10 Chipkarten hat, muss die auch alle manuell wechseln. Und dann kann man auch gleich die PIN eingeben. Und wer nur eine Chipkarte hat und trotzdem die PIN speichern will (obwohl der Leser ein PIN-Pad hat), der ist einfach nur faul und lebensmuede.

Bei PIN/TAN unterwandert das Speichern die Sicherheit auch komplett. Denn ein wesentlicher Aspekt der Sicherheit ist, dass nur der Teilnehmer den PIN weiß, was zunichte ist, sobald man ihn speichert.
Seltsame Abwägung, dass es hierbei dennoch weniger schlimm für dich zu sein scheint als bei Chipkarten.........

Das wuerde ich so nicht sehen. Zum einen wuerde die PIN verschluesselt (basierend auf dem Masterpasswort) gespeichert, sodass auch weiterhin nur der Teilnehmer die PIN kennt - indirekt ueber das Masterpasswort. Wenn also sichergestellt ist, dass nur der Teilnehmer das Masterpasswort kennt, kennt auch nur er die PIN. Die sensible Stelle ist damit von der PIN auf das Masterpasswort verlagert.
Zum anderen ist das Schadenpotential (im Vergleich zum Speichern von Chipkarten- PIN oder Schluesseldisketten-Passwort) IMHO niedriger, da fuer die Ausfuehrung von Geschaeftsvorfaellen mit Geldfluss ja immer noch eine TAN benoetigt wird (diese Schranke existiert bei Chipkarte/Schluesseldiskette ja nicht).

Unabhaengig von Risikobewertung (sowohl absolut als auch im Verhaeltnis zu Chipkarte/Schluesseldiskette) halte ich persoenlich vom Speichern einer PIN gar nichts.

BTW: Was tust du mit mir? Jetzt klingt das so, als stuende ich ploetzlich auf der anderen Seite und verteidige das? ;)

Ich bin einfach dieses jahrelange Gejammer wegen dem Speichern der PIN leid. Wirklich. Ich kann es nicht mehr erhoeren. Gefuehlt kommt bei mir alle 2 Wochen eine Mail mit dieser Frage an. Daher habe ich das genannte Angebot gemacht. Ich will es eigentlich nicht einbauen, daher bin ich auch nicht bereit, meine Freizeit dafuer zu verwenden. Die 2h a 45,- sehe ich quasi als Schmerzensgeld. Die User haben ihren Wunsch und ich endlich meine Ruhe. Wobei ich natuerlich einen deutlichen Warnhinweis einbauen wuerde, etwa so:

Ja, ist nachvollziehbar. Lass dich nicht stressen. Eigentlich müsstest du noch 2 Stunden draufschlagen für die ganze Kommunikation um das Thema herum

Ehrlich gesagt, habe ich mit so einer Information überhaupt nicht mehr gerechnet. Deshalb lasst die Kommunikation nicht so enden. Ich finde bis dato das meiste sehr konstruktiv mit vielen Ideen. Und dann tatsächlich eine Lösung? Das ist doch Toll !!!

@hibiscus, würde eine Spende für Deine Mühe, Deine Meinung diesbezüglich ändern ???

@ma-soft, vielleicht ein kleines "sorry" an den "Meister" O.W.? Das könnte die Kommunikation event. wieder in den sachlich-konstruktiven "Gang" bringen, was meinste dazu?

Das wäre doch sehr akzeptabel und auch noch absichernd dem Programmierer quasi Dir gegenüber. So kann das jeder selbst entscheiden, oder?

Wie gesagt, meine Spende soll auch dafür dienen, ich bin gern bereit einen finanziellen einmaligen Beitrag zu leisten, ich meine das ernst.

Entschuldigung bzgl. meiner unwissenden zwischenzeitlichen Euphorie. Dann bleibt nur StarMoney, AlfBanco, T-Homebanking und die anderen. Ich habe das o.g. überlesen und bitte um Entschuldigung und das damit nochmalige verbundene unerwünschte nerven hier im Thread.

Allen eine gute Zeit ...

@eldomico: Danke, dass du bereit warst, das tatsaechlich zu bezahlen.
Aber eine permanente Speicherung von Chipkarten-PINs will ich wirklich auf keinen Fall einbauen. Das ist sehr gefaehrlich. Wie Captain FRAG in diesem Thread (http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?p=64410#64410) bereits schrieb: Ein Trojaner koennte dann voellig frei ueber das Konto verfuegen, ohne dass der User irgendwas davon mitkriegt (ausser, dass die LED des Lesers (falls vorhanden) ab und zu blinkt).

ich wäre ebenfalls bereit, einen Obulus zu geben.

Alles verstanden und akzeptiert. Auch Dir noch eine gute Zeit und viel Erfolg mit Allem.

Es tut mir sehr leid, diesen mörderalten Thread wieder ausgraben zu müssen, aber ich habe aus diesem Thread die Erkenntnis gezogen, daß das Passwort meiner Schlüsseldatei (RDH) nicht permanent in der Software gespeichert werden kann bzw. soll.

Jetzt plane ich nach einer Testphase mit dem Hibiscus Desktop auch den Hibiscus Payment Server einzusetzen, und trage mich mit folgender Frage:

- Wie funktioniert das automatische Ausführen von fälligen Zahlungen, Lastschriften, oder auch nur die Abfrage von Salden/Umsätzen, wenn im Payment Server die PIN der Schlüsseldatei nicht gespeichert werden kann? PIN/TAN ist keine Alternative.

Habe ich was mißverstanden, oder funktioniert der Payment Server bei Schlüsseldateibetrieb nur, wenn man davor sitzt um die PIN einzugeben?

gut glück!
Rufus

Beim Payment-Server wird die das Passwort der Schluesseldatei - gezwungenermassen - gespeichert. Sonst wuerde - wie du schon richtig erkannt hast - der Server ja gar keinen Sinn machen. Der Server sollte aber auch nur von Usern genutzt werden, die wissen, was sie tun.

Das Nichtspeichernkönnen der PINs scheint politisch sehr wichtig zu sein, auch wenn ich es beim ChipTAN-Verfahren nicht mehr verstehe.

Es ist auch, wenn man mehr als ein oder zwei Konten abfragen will, sehr unpraktisch. Ich habe außerdem die Befürchtung, tatsächlich die PINs irgendwann auswendig zu können und sie nach dem dritten Bier jedem zu erzählen

Könnte man nicht für den Kontenrundruf eine Abfrage einbauen, die die PINS sämtlicher angelegter Konten auf einmal abfragt, etwa im csv-Format, in der Reihenfolge der angelegten Konten oder kombiniert als PIN-BLZ-Zahlenpaare?

Dann könnten bequeme Menschen wie ich sämtliche PINs in einer Datei (ggf. in einem sicheren Paßwortspeicher) speichern und auf einmal in Hibiscus einfügen?

Trotzdem wäre Hibiscus nach wie vor frei von ständig gespeicherten PINs...

Mir ist nicht klar, warum Benutzer selbst nicht verstehen, dass es zu ihrem eigenen Schutz ist.
Nochmal: Ein Verstoß gegen die Nutzungsbedingungen stellt eine grobe Fahrlässigkeit dar.
Das ist das selbe wie bei einem nicht verschuldeten Unfall, bei dem man verletzt wurde und nicht angeschnallt war.
Wieso ist das so schwer zu verstehen??? Und was hat das mit Politik zu tun?


Das hat nichts mit dem Sicherungsverfahren zu tun. Kundenumgebungen sind aus Sicht der IT Sicherheit potentiell unsicher. Und in einer unsicheren Umgebung gehören Zugangsdaten nirgendwo gespeichert. Außerdem frage ich dich, wer garantiert uns, dass auf Dauer ausschließlich echte TAN-Generatoren im Umlauf sind?
Das Niveau, auf das Leute im social Phishing inzwischen reinfallen ist dermaßen gesunken, dass man im Grunde garkein Onlinebanking mehr anbieten dürfte.

@Kleinsparschwein: Offensichtlich ist dir entgangen, dass das permanente Speichern der PINs bereits seit 3 Hibiscus-Versionen möglich ist. Wenn du die Option unbedingt brauchst, solltest du auch selbst in der Lage sein, sie zu finden.

PS: Ich hoffe, damit findet dieser Thread endlich ein Ende. Ich kann es echt nicht mehr erhören.