Zitat geschrieben von msa
Hallo Olaf, das hast Du falsch verstanden. Die HVB macht via HBCI *kein* TAN-loses Verfahren, sondern zeigt eine abzutippende TAN an. Soweit alles gut.
Ich hab das schon richtig verstanden. Meine Antwort bezog sich auf das erste der beiden Postings. Sein Update und meine Antwort hatten sich überschnitten.
Zitat geschrieben von msa
Allerdings ist es bei B4 so, dass die Abfrage von Kontoumsätzen + Saldo mit *einer* TAN klappt - nämlich der zum Login. Der Ursprungsposter bemängelt nun, dass er zig TANs eingeben muss. Für mich schaut das so aus, als ob hibiscus für jeden Dialog "neu einloggt" und damit die Login-TAN fällig wird. Also LOGIN/TAN - Abfrage Kontoumsätze - LOGOUT - LOGIN/TAN - Saldoabfrage - LOGOUT - LOGIN/TAN (zweites Konto) - Abfrage Umsätze .... usw.
B4 macht das so: LOGIN/TAN - Kontoumsatzabfrage Konto1 - Saldenabfrage Konto1 - Kontoumsatzabfrage Konto2 - Saldenabfrage Konto2 - .... LOGOUT. Somit braucht man da nur eine TAN.
Kann das sein, dass das das Problem ist, oder bin ich mit meinen Gedanken auf dem Holzweg?
Wenn das bei B4 so funktioniert, wird das wohl der Fall sein. Wobei mir einige Sachen nicht klar, warum das in B4 funktioniert.
1) Mir ist neu, dass man Login und Umsatz-/Saldenabfrage innerhalb einer TAN-Freigabe machen kann. Ich weiss nicht, wie hierfür der Dialog-Aufbau aussehen müsste. Aus den HBCI-Spezifikationen kann ich in der Hinsicht auch nichts herauslesen.
2) Mir ist neu, dass man seit den neuen Auftragsgebundenen TAN-Verfahren
überhaupt noch mehrere Aufträge mit einer TAN einreichen kann. Technisch kann das eigentlich gar nicht gehen. Denn für den Auftrag wird ja quasi eine Checksumme gebildet und die TAN dann für diese berechnet, damit die TAN auch nur für diesen einen Auftrag gilt. Hinzu kommt ja die Anforderung, dass der Auftrag zur Kontrolle auf einem unabhängigen Gerät nochmal angezeigt werden soll. Was soll denn dann auf dem Gerät angezeigt werden? Bei AppTAN kann ich mir das u.U. noch vorstellen, weil die Bank die Anzeige in ihrer App je frei gestalten kann. Aber bei ChipTAN geht das ja gar nicht, weil im Display des TAN-Generators gar kein Platz für die Anzeige der ganzen Informationen ist. Führt das nicht den Sinn der Auftragsbindung der TAN wieder ad absurdum?
Unabhängig davon: Es ist in der Tat so, dass Aufträge in Hibiscus jeweils einzeln an die Bank gesendet und freigegeben werden - allerdings innerhalb einer "Login-Session". Die Ursache dafür ist tief in HBCI4Java begründet und lässt sich auch nicht ohne weiteres ändern. Das Thema gab es auch früher schon mal bei der alten HBCI-Chipkarte. Da wünschten sich immer mal User, mehrere Überweisungen mit einer PIN am Kartenleser freizugeben. Als die neuen Auftragsgebundenen TANs kamen, hatte sich das Thema aus meiner Sicht ohnehin erledigt. Von daher ist mir unbekannt, wie B4 das realisiert und auf dem Freigabegerät trotzdem noch sinnvolle Informationen angezeigt werden sollen, damit der User weiss,
was er da gerade freigibt.