Рокетбанк надоел спрашивать пароль. А ещё он не распознаёт переводы между счетами.

Avatar
  • обновлен
  • Исправлен

Первый момент

Тяну данные из трёх банков - Рокетбанк, Сбербанк и Тинькофф.

И всякий долбаный раз, когда нажимаю кнопочку обновления истории, мне требуется вводить пароль от приложения Рокетбанка (а для остальных нет).

Скажите, пожалуйста, это специфика банка или плагина? Если плагина, нельзя ли спрашивать пореже?:)


Второй момент

У меня в Рокетбанке несколько счетов. Доблестный плагин исправно следит за всеми транзакциями по каждому счёту, но упорно не отдупляет переводы денежных средств от одного счёта другому.

У счёта-получателя такая транзакция оформляется как непонятный доход, а у счёта-отправителя вылезает корректировка о внезапно пропавших деньгах.

Хотя даже в комментарии к транзакции прекрасно написано, откуда и куда ушли деньги:)


Поправьте, пожалуйста.

Люблю ваш сервис)

Avatar
support
  • На рассмотрении

Например, Сбербанк и Тинькоф позволяют авторизировать устройство и их плагины могут сохранить токен авторизации для дальнейшего запуска. Если Рокетбанк не позволяет проводить авторизацию устройства (этого мы не знаем) и вынуждает каждый раз вводить пароль, то мы понимаем автора плагина - недальновидно пытаться сохранять пароль в таком случае.

Оформление переводов тоже на совести плагина. Он может создавать как доходы или расходы, так и переводы явно. В плагине Тинькоф, например, это происходит отдельно в рамках синхронизации сразу после загрузки и обработки полученных операций.

Avatar
Timofey Sonny
Цитата от support

Например, Сбербанк и Тинькоф позволяют авторизировать устройство и их плагины могут сохранить токен авторизации для дальнейшего запуска. Если Рокетбанк не позволяет проводить авторизацию устройства (этого мы не знаем) и вынуждает каждый раз вводить пароль, то мы понимаем автора плагина - недальновидно пытаться сохранять пароль в таком случае.

Оформление переводов тоже на совести плагина. Он может создавать как доходы или расходы, так и переводы явно. В плагине Тинькоф, например, это происходит отдельно в рамках синхронизации сразу после загрузки и обработки полученных операций.

Вы можете поправить плагин Рокетбанка?

Avatar
support
Цитата от Timofey Sonny

Вы можете поправить плагин Рокетбанка?

Мы нет, к сожалению, так как не являемся клиентами этого банка. Большинство плагинов разрабатываются нашими пользователями.

Avatar
Андрей Колченко
Цитата от support

Например, Сбербанк и Тинькоф позволяют авторизировать устройство и их плагины могут сохранить токен авторизации для дальнейшего запуска. Если Рокетбанк не позволяет проводить авторизацию устройства (этого мы не знаем) и вынуждает каждый раз вводить пароль, то мы понимаем автора плагина - недальновидно пытаться сохранять пароль в таком случае.

Оформление переводов тоже на совести плагина. Он может создавать как доходы или расходы, так и переводы явно. В плагине Тинькоф, например, это происходит отдельно в рамках синхронизации сразу после загрузки и обработки полученных операций.

Плагин Рокетбанка проводит авторизацию устройства. Но всегда (или почти всегда) после входа в официальное мобильное приложение, сессия в плагине сбрасывается и пароль запрашивается снова. Пароль от приложения нигде не хранится из соображений безопасности.

Avatar
Андрей Колченко

По поводу переводов между счетами: в теории должно работать, но проверить не было возможности, так как у меня только один счет, но такой функционал был реализован. Что бы разобраться что пошло не так, нужно приложить логи для анализа проблемы.

Avatar
support
Цитата от Андрей Колченко

По поводу переводов между счетами: в теории должно работать, но проверить не было возможности, так как у меня только один счет, но такой функционал был реализован. Что бы разобраться что пошло не так, нужно приложить логи для анализа проблемы.

Андрей, по этой версии плагина прислали такой лог с ошибкой. Нужно ли что-то запросить или этого достаточно?

Начинаем синхронизацию депозитов
[ZP] Exception: __ [RSU] setResult called without success
Avatar
Андрей Колченко
Цитата от support

Андрей, по этой версии плагина прислали такой лог с ошибкой. Нужно ли что-то запросить или этого достаточно?

Начинаем синхронизацию депозитов
[ZP] Exception: __ [RSU] setResult called without success

Нет, этого не достаточно. Но автор темы уже прислал полные логи. Отправил правки к плагину.

Avatar
Ryadnov

Суппорт как всегда открещивается от плагина))

Проблема в том что у вас нет хоть какого-то стандарта для плагинов
Вот Андрей решил что не секурно сохранять пин-код, не смотря на все ваши уверения что все безопасно, вот и запрашивает его каждый раз
А многие плагины сохраняют пароль и не парятся

Мне кажется что компромиссом между удобством и параноидальностью будет такое решение:
- давать возможность указать пин/пароль в настройках плагина, поле не обязательное для заполнения
- когда плагину нужен пин/пароль от проверяет это поле в настройках, если оно пустое, то поле запрашивается у пользователя 

И да, меня тоже подбешивает запрос пина, но благо импорт делаю раз в 1-2 недели =)

Avatar
Андрей Колченко
Цитата от Ryadnov

Суппорт как всегда открещивается от плагина))

Проблема в том что у вас нет хоть какого-то стандарта для плагинов
Вот Андрей решил что не секурно сохранять пин-код, не смотря на все ваши уверения что все безопасно, вот и запрашивает его каждый раз
А многие плагины сохраняют пароль и не парятся

Мне кажется что компромиссом между удобством и параноидальностью будет такое решение:
- давать возможность указать пин/пароль в настройках плагина, поле не обязательное для заполнения
- когда плагину нужен пин/пароль от проверяет это поле в настройках, если оно пустое, то поле запрашивается у пользователя 

И да, меня тоже подбешивает запрос пина, но благо импорт делаю раз в 1-2 недели =)

Пин запрашивается только если его запрашивает Рокетбанк. Т.е. как только банк посчитает, что сессия устарела он запрашивает пароль. Мне тоже не остается ничего другого кроме как запросить пин.

Не сохраняю этот пин нигде (в том числе в логах) что бы в случае взлома приложения злоумышленник не получил доступ к управлению финансами. Ведь по API, которое используется в API можно не только получать данные, но и совершать переводы, платежи и прочее.

Avatar
Ryadnov
Цитата от Андрей Колченко

Пин запрашивается только если его запрашивает Рокетбанк. Т.е. как только банк посчитает, что сессия устарела он запрашивает пароль. Мне тоже не остается ничего другого кроме как запросить пин.

Не сохраняю этот пин нигде (в том числе в логах) что бы в случае взлома приложения злоумышленник не получил доступ к управлению финансами. Ведь по API, которое используется в API можно не только получать данные, но и совершать переводы, платежи и прочее.

Давай попробуем разобратся

В рокете можно зарегать несколько устройств (в нашем случае это офф. приложение и зенмани)
Информация об устройстве сохраняется https://github.com/zenmoney/ZenPlugins/blob/master/plugins/rocketbank/main.js#L667

Для запроса нужен еще и токен. Его получение как раз и требует подтверждение пином https://github.com/zenmoney/ZenPlugins/blob/91ce66d1bb801ebffaf60aedaaf860b947e48ec8/plugins/rocketbank/main.js#L589-L596

Токен сохраняется https://github.com/zenmoney/ZenPlugins/blob/master/plugins/rocketbank/main.js#L612

И так в какой-то момент в зенмани сохранены все данные достаточные для получения информации по счетам и совершения переводов, и они актуальны пока пользователь не войдет в офф приложение

Так что та еще секурность =)
Тогда уж надо не сохранять токен (тогда пин будет запрашиваться при каждой синхронизации)


--------------------------

Выше я описывал кейс для тех кто не боится, для них дать возможность сохранять пин и тогда токен будет получаться автоматически

Просто по возможности рассмотри и такой вариант