[gnucash-de] AqHBCI und PIN/TAN

[Martin Preuss]

Moin,

ich habe gerade im CVS von Gwenhywfar den SSL-Code etwas laxer im Umgang mit 
den Zertifikaten gemacht. Nun wird der User bei jedem fehlerhaften Zertifikat 
befragt. In zukuenftigen Versionen von QBankManager wird dem Benutzer 
ausserdem die Art des Zertifikat-Fehlers angezeigt werden, so dass er eine 
bessere Entscheidungsgrundlage hat um das Zertifikat zu akzeptieren oder 
abzulehnen.

Ich muss wieder einmal betonen, dass die Banken es sich hier teilweise 
wesentlich zu einfach machen, und zwar zu Lasten der Kunden.

Man bedenke einmal, dass die Banken im Normalfall durch die Verwendung des 
gegenueber "echtem" HBCI unsichereren SSL Verfahren Geld sparen (weil weniger 
Support noetig ist). 
Ein geringer Teil dieses Geldes haette daher auch in ein wenig mehr Sicherheit 
gesteckt werden koennen, um die Banken-Zertifikate von einer CA signieren zu 
lassen. Dann koennte man sich naemlich eher darauf verlassen, dass das 
Zertifikat, das die Bank einem da anbietet, auch tatsaechlich von ihr stammt.

So aber liefern die Banken alles moegliche: Selbst-signierte, ungueltige oder 
abgelaufene Zertifikate und so weiter. Das schafft nicht wirklich 
Vertrauen...

Solltet Ihr also in Zukunft von Gnucash oder QBankManager zu einem 
Banken-Zertifikat befragt werden, ist es fast immer Ausdruck einer unschoenen 
Sicherheitspolitik der Bank zu Ungunsten des Benutzers: Bei korrekten und 
ordentlich signierten Zertifikaten werdet Ihr naemlich gar nicht befragt.


Gruss
Martin

-- 
"Things are only impossible until they're not"