Рокетбанк надоел спрашивать пароль. А ещё он не распознаёт переводы между счетами.

Avatar
  • обновлен
  • Исправлен

Первый момент

Тяну данные из трёх банков - Рокетбанк, Сбербанк и Тинькофф.

И всякий долбаный раз, когда нажимаю кнопочку обновления истории, мне требуется вводить пароль от приложения Рокетбанка (а для остальных нет).

Скажите, пожалуйста, это специфика банка или плагина? Если плагина, нельзя ли спрашивать пореже?:)


Второй момент

У меня в Рокетбанке несколько счетов. Доблестный плагин исправно следит за всеми транзакциями по каждому счёту, но упорно не отдупляет переводы денежных средств от одного счёта другому.

У счёта-получателя такая транзакция оформляется как непонятный доход, а у счёта-отправителя вылезает корректировка о внезапно пропавших деньгах.

Хотя даже в комментарии к транзакции прекрасно написано, откуда и куда ушли деньги:)


Поправьте, пожалуйста.

Люблю ваш сервис)

Avatar
support
Цитата от Ryadnov

Суппорт как всегда открещивается от плагина))

Проблема в том что у вас нет хоть какого-то стандарта для плагинов
Вот Андрей решил что не секурно сохранять пин-код, не смотря на все ваши уверения что все безопасно, вот и запрашивает его каждый раз
А многие плагины сохраняют пароль и не парятся

Мне кажется что компромиссом между удобством и параноидальностью будет такое решение:
- давать возможность указать пин/пароль в настройках плагина, поле не обязательное для заполнения
- когда плагину нужен пин/пароль от проверяет это поле в настройках, если оно пустое, то поле запрашивается у пользователя 

И да, меня тоже подбешивает запрос пина, но благо импорт делаю раз в 1-2 недели =)

> А многие плагины сохраняют пароль и не парятся

А про какие "многие" плагины идёт речь? Хранить пароль, действительно, несколько пренебрежительно к безопасности.

Avatar
Андрей Колченко
Цитата от Ryadnov

Давай попробуем разобратся

В рокете можно зарегать несколько устройств (в нашем случае это офф. приложение и зенмани)
Информация об устройстве сохраняется https://github.com/zenmoney/ZenPlugins/blob/master/plugins/rocketbank/main.js#L667

Для запроса нужен еще и токен. Его получение как раз и требует подтверждение пином https://github.com/zenmoney/ZenPlugins/blob/91ce66d1bb801ebffaf60aedaaf860b947e48ec8/plugins/rocketbank/main.js#L589-L596

Токен сохраняется https://github.com/zenmoney/ZenPlugins/blob/master/plugins/rocketbank/main.js#L612

И так в какой-то момент в зенмани сохранены все данные достаточные для получения информации по счетам и совершения переводов, и они актуальны пока пользователь не войдет в офф приложение

Так что та еще секурность =)
Тогда уж надо не сохранять токен (тогда пин будет запрашиваться при каждой синхронизации)


--------------------------

Выше я описывал кейс для тех кто не боится, для них дать возможность сохранять пин и тогда токен будет получаться автоматически

Просто по возможности рассмотри и такой вариант

На самом деле это безопаснее, чем хранить пин. Расскажу почему.

Привязав устройство и получив токен действительно можно совершать любые операции. Но есть одно "но". Это можно делать только до того момента как будет выполнена авторизация на другом устройстве (например, заход в оф. приложение). С этого момента даже имея токен ничего сделать не получится.

А если у нас будет храниться еще и пин, то в любой момент злоумышленник сможет создать новый токен, причем совершенно незаметно для владельца карты.

Получается, что чем чаще приложения запрашивают пин, тем безопаснее, так как времени у злоумышленника остается меньше.

Avatar
Ryadnov
Цитата от Андрей Колченко

На самом деле это безопаснее, чем хранить пин. Расскажу почему.

Привязав устройство и получив токен действительно можно совершать любые операции. Но есть одно "но". Это можно делать только до того момента как будет выполнена авторизация на другом устройстве (например, заход в оф. приложение). С этого момента даже имея токен ничего сделать не получится.

А если у нас будет храниться еще и пин, то в любой момент злоумышленник сможет создать новый токен, причем совершенно незаметно для владельца карты.

Получается, что чем чаще приложения запрашивают пин, тем безопаснее, так как времени у злоумышленника остается меньше.

Понятно что токен генерится на пользователя, а не на устройство

Но я к примеру использую Рокет как хранилище быстрых денег и захожу в офф приложение раз в месяц
> Это можно делать только до того момента как будет выполнена авторизация на другом устройстве 
Поэтому такое обоснование звучит как "Один раз не ..."
Мне кажется что зловред который знает где хранятся данные в ЗМ и для чего их можно использовать уведет деньги за минуту

Итог
1) Я надеюсь что хранилище ЗМ безопасно =)
2) Исходя из пункта 1, лично я постоянный запрос пина считаю излишним
3) Как вариант предоставить пользователю возможность сохранить пин на свой страх и риск

Avatar
Ryadnov
Цитата от support

> А многие плагины сохраняют пароль и не парятся

А про какие "многие" плагины идёт речь? Хранить пароль, действительно, несколько пренебрежительно к безопасности.

Так ваше внутренне хранилище безопасно, или нет? =)))

Avatar
Андрей Колченко
Цитата от Ryadnov

Понятно что токен генерится на пользователя, а не на устройство

Но я к примеру использую Рокет как хранилище быстрых денег и захожу в офф приложение раз в месяц
> Это можно делать только до того момента как будет выполнена авторизация на другом устройстве 
Поэтому такое обоснование звучит как "Один раз не ..."
Мне кажется что зловред который знает где хранятся данные в ЗМ и для чего их можно использовать уведет деньги за минуту

Итог
1) Я надеюсь что хранилище ЗМ безопасно =)
2) Исходя из пункта 1, лично я постоянный запрос пина считаю излишним
3) Как вариант предоставить пользователю возможность сохранить пин на свой страх и риск

Разумеется, для пользователя наверное удобнее, если он не будет вводить пароль. Но если у него уведут деньги, кто будет отвечать? )

Avatar
Ryadnov
Цитата от Андрей Колченко

Разумеется, для пользователя наверное удобнее, если он не будет вводить пароль. Но если у него уведут деньги, кто будет отвечать? )

А если их уведут сейчас, то кто будет отвечать?

Avatar
Андрей Колченко
Цитата от Ryadnov

А если их уведут сейчас, то кто будет отвечать?

Если их уведут сейчас, то последствий будет меньше (после первой же транзакции пользователь зайдет в приложение и доступ будет закрыт).

В общем, я все равно такой функционал реализовывать не буду. Если разработчики ZM захотят, они смогут сами его добавить ))

Avatar
Ryadnov
Цитата от Андрей Колченко

Если их уведут сейчас, то последствий будет меньше (после первой же транзакции пользователь зайдет в приложение и доступ будет закрыт).

В общем, я все равно такой функционал реализовывать не буду. Если разработчики ZM захотят, они смогут сами его добавить ))

Скрипт сможет очистить всю карту и счета за секунды, вы еще телефон не успееете вытащить из кармана)

Я и не прошу его писать) Я просто за стандартизацию и одинаковое поведение плагинов)

Avatar
Timofey Sonny

Переводы заработали, спасибо!

Если с паролем что-то реально сделать, было бы хорошо:)

Avatar
support
Цитата от Ryadnov

Так ваше внутренне хранилище безопасно, или нет? =)))

Все данные шифруются средствами ядра ОС (как IOS, так и Андроид) и к алгоритмам шифрования доступа нет даже у нас.

Какие ещё слова нужно написать здесь, чтобы это стало яснее ясного? 🙂
https://support.zenmoney.ru/forums/2-baza-znanij/topics/272-o-bezopasnosti-podklyucheniya-k-bankam/


Связаться с нами
Следите за нами