Meine Bank - Eine Marke der Raiffeisenbank im Hochtaunus eG

[kmak]

ANZEIGE

Sind die wahnsinnig? Wieso baut man sich ein dermaßen sicherheitstechnisches Eigentor.

Weil es nicht verhindert werden kann. Woran soll die Bank erkennen auf welchem Gerät der Browser läuft und ob es das selbe Gerät wie das der App ist? Man kann maximal alle Mobilbrowser, egal ob auf dem gleichen oder einem anderen Gerät, ausschließen. Aber auch das kann der Benutzer überschreiben. Es liegt also in seiner Verantwortung.

 

[selaf]

Woran soll die Bank erkennen auf welchem Gerät der Browser läuft und ob es das selbe Gerät wie das der App ist?

Z.B. daran, dass Browser sich in seinem User-Agent als Android/iOS identifiziert und Browser und App die selbe IP-Adresse haben.

 

[kmak]

Z.B. daran, dass Browser sich in seinem User-Agent als Android/iOS identifiziert und Browser und App die selbe IP-Adresse haben.

Wie kannst Du die IP Adresse des Browsers erkennen? Am Server kommt die des NAT Proxies an - die ist dann für z.B. PC und Telephon aus dem gleichen WLAN auch gleich. User-Agent verhindert alle Mobilbrowser, also auch wenn Browser auf dem Tablet und App auf dem Telephon ist. Und den kann der Benutzer umstellen.

 

[Barquero]

Weil es nicht verhindert werden kann. Woran soll die Bank erkennen auf welchem Gerät der Browser läuft und ob es das selbe Gerät wie das der App ist? Man kann maximal alle Mobilbrowser, egal ob auf dem gleichen oder einem anderen Gerät, ausschließen. Aber auch das kann der Benutzer überschreiben. Es liegt also in seiner Verantwortung.

Sorry, ich...

Sind die wahnsinnig? Wieso baut man sich ein dermaßen sicherheitstechnisches Eigentor.

... habe falsch zitiert und meinte das Posting von @netzfaul:

Es gibt auch jetzt noch Banken, die für "PushtTAN und Banking auf dem gleichen Gerät" Limits haben, die es bei Webbanking + PushTAN nicht gibt. Die ING zum Beispiel erlaubt nur 10000€/Tag mit der app. Wer mehr überweisen will, muss das am Webbanking machen.

Es ist gaga die prinzipiell sicherere App gegenüber dem Webbanking zu beschneiden.
Das hatte ich gemeint.

 

[ZfT]

K.A. würde aber keinen Sinn machen. Wenn man das Verfahren schon weiter unterhält, dann kann man es auch gleich für alle machen.
Zudem sollten sich die Kosten in Grenzen halten für die Raiba HT. Die 90-Mann-Klitsche unterhält ja ohnehin fast 0 eigene IT. Ist alles Standard-Technik von Atruvia.

Kann das einer hier sicher sagen, ob Chip-TAN für Neukunden in 2023 noch zur Verfügung steht?

 

[selaf]

Wie kannst Du die IP Adresse des Browsers erkennen? Am Server kommt die des NAT Proxies an - die ist dann für z.B. PC und Telephon aus dem gleichen WLAN auch gleich. User-Agent verhindert alle Mobilbrowser, also auch wenn Browser auf dem Tablet und App auf dem Telephon ist. Und den kann der Benutzer umstellen.

Tablet von Telefon unterscheiden geht z.B. über "screen.width". Und ja, wenn jemand im selben WLAN (hinter NAT) zwei Mobiltelefone mit identischer Screengröße nutzt, würde der halt fehlerhaft geblockt, obwohl es zwei Geräte sind - der Fall dürfter aber selten sein und die Bank mit dem bischen Overblocking leben können.

 

[mf_2]

Tablet von Telefon unterscheiden geht z.B. über "screen.width". Und ja, wenn jemand im selben WLAN (hinter NAT) zwei Mobiltelefone mit identischer Screengröße nutzt, würde der halt fehlerhaft geblockt, obwohl es zwei Geräte sind - der Fall dürfter aber selten sein und die Bank mit dem bischen Overblocking leben können.

Aber auch diese Attribute kommen doch vom Client, können somit potenziell erfunden sein und sind somit doch per se nicht vertrauenswürdig. Das mag reichen um zu entscheiden ob blöd.de nun in die mobile view abbiegt oder nicht, aber für alles andere würde ich mich auf solche Angaben des Clients nicht verlassen, schon gar nicht im Banking-Umfeld.

 

[longhaulgiant]

Absolut richtig. Alles was client-side code ist kann man als komplett unsicher ansehen und sollte sich niemals aus Sicherheitsaspekten darauf verlassen. Eine Vorvalidierung von Daten (reine UX) ist das höchste der Gefühle, aber man muss server-side trotzdem nochmal alles validieren und auf Sicherheit überprüfen.

 

[selaf]

Aber auch diese Attribute kommen doch vom Client, können somit potenziell erfunden sein und sind somit doch per se nicht vertrauenswürdig. Das mag reichen um zu entscheiden ob blöd.de nun in die mobile view abbiegt oder nicht, aber für alles andere würde ich mich auf solche Angaben des Clients nicht verlassen, schon gar nicht im Banking-Umfeld.

Natürlich kann das manipuliert werden. Aber da kann ich auch einfach den Browser über ein VPN oder einen HTTPS-Proxy verbinden lassen und die App direkt, und schon kommen die aus verschiedenen Netzen. Ich kann per Xposed/Magisk auch die App komplett manipulieren, das brauchen wir nicht weiter auszuführen.

Die genannte Lösung funktioniert eben für 99% der Standarduser, um die geht es. Das letzte Prozent findiger Tüftler bekommt man so nicht und das muss man auch nicht: es ist für die Bank kein Risiko und kein Sicherheitsproblem, wenn die Kunden alles auf einem Gerät machen. Das ist im Fall der Fälle zuerst mal das Problem der Kunden selbst.

 

[vlugangst]

Ich wiederhole und korrigiere mich ungerne:

Könnt ihr euren IT-KramShyce bitte in einen eigenen Thread auslagern? Mittlerweile werden zwei Threads (hier und RBHTDKB) damit zugespammt.

 

[wizzard]

Ich schließe mich dieser Bitte an und rufe alle Nerds auf, für diesen Themenkomplex einen eigenen Thread "Sicherheit beim Onlinebanking" aufzumachen. Solltet ihr als IT-Spezialisten doch hinkriegen, oder? Da könnt ihr euch dann nach Herzenslust austoben ohne den Rest der Community damit zu langweilen.

Einem Otto-Normalkunden sind eure Überlegungen nämlich sowas von egal, ihr glaubt es nicht. Und bitte jetzt nicht versuchen, mich zu missionieren; bringt nichts, ich bin da maximal ignorant, einfach unbelehrbar.

 

[longhaulgiant]

Metaebene an: die Diskussion ist aus meiner Sicht nicht OT sondern im konkreten Sicherheitskontext eingebettet. Dafür brauchts keinen separaten Thread. Wenn es euch nicht interessiert, lest drüber weg. So wie ihr das auch bei MS und anderen Themen macht, die euch zu hoch sind oder auf die ihr keinen Bock habt. Dieses immer wieder vorgebrachte Auffordern die Diskussion von IT-Themen zu unterlassen sobald es um mehr als die reine Nutzung geht, nervt mittlerweile nur noch. Und, dass der abwertende Begriff „Nerd“ verwendet werden wird, von genau dir @wizzard, war mir schon nach dem unverschämten Post von @vlugangst klar. Ich hatte es hier sogar schon im Entwurf stehen, kam aber nicht dazu es abzuschicken. Auch wenn du es nach eigenem Bekunden nicht abwertend meinst: das ist es dennoch.
That said: wenn es zum Kontext gehört, werde ich auch weiterhin IT thematisieren. Meldet es halt, mir egal. Ende OT meinerseits.

 

[Frank N. Stein]

@IT_Nerds

....dann macht doch die Sache rund und kapert jeden Thread, der sich mit den diversen Banken/Karten oder Anlageformen beschäftigt.
Der DKB-Faden wurde ja bereits auch schon zugespamt und es ist immer wieder schön zu beobachten,
wie sich die immer gleiche handvoll Nerds weit wichtiger nimmt,
als sie und ihre eintönigen, dafür selbstverliebten Monologe es definitiv sind.

 

[wizzard]

Metaebene an: die Diskussion ist aus meiner Sicht nicht OT sondern im konkreten Sicherheitskontext eingebettet. Dafür brauchts keinen separaten Thread. Wenn es euch nicht interessiert, lest drüber weg. So wie ihr das auch bei MS und anderen Themen macht, die euch zu hoch sind oder auf die ihr keinen Bock habt. Dieses immer wieder vorgebrachte Auffordern die Diskussion von IT-Themen zu unterlassen sobald es um mehr als die reine Nutzung geht, nervt mittlerweile nur noch. Und, dass der abwertende Begriff „Nerd“ verwendet werden wird, von genau dir @wizzard, war mir schon nach dem unverschämten Post von @vlugangst klar. Ich hatte es hier sogar schon im Entwurf stehen, kam aber nicht dazu es abzuschicken. Auch wenn du es nach eigenem Bekunden nicht abwertend meinst: das ist es dennoch.
That said: wenn es zum Kontext gehört, werde ich auch weiterhin IT thematisieren. Meldet es halt, mir egal. Ende OT meinerseits.

Warum macht ihr keinen eigenen Thread auf? Wollt ihr andere Member absichtlich quälen? Euch bricht doch keinen Zacken aus der Krone, wenn ihr auf Publikum für eure Nerd-Diskussionen verzichtet. Man muss doch nicht mit Gewalt anderen auf die Nerven gehen. Was für einen Sinn hat das Nerd-Gequatsche hier, wenn es außer einer Handvoll Spezialisten niemanden sonst interessiert? Am Nerdwesen soll die Welt genesen, oder wie muss man euer Verhalten verstehen?

 

[wizzard]

Ich wollte eine Umfrage erstellen. Vielleicht merken die es dann, aber ich finde keinen Menüpunkt, wo man eine Umfrage erstellen kann. Gibt's wohl nicht mehr, schade.

Frage: Findet ihr in Banken-Threads ausschweifende technische IT-Fachdiskussionen sinnvoll?

Antwort A: Ja, unbedingt. Solche Diskussionen braucht ein Thread und wen es nicht interessiert, der muss das eben aushalten.

Antwort B: Nein, auf keinen Fall. Für mich als Kunde sind solche Diskussionen uninteressant. Dieser Themenkomplex gehört in einem eigenen Thread diskutiert.

Machen wir es halt old-school und schreiben unsere Antwort auf. Ich machen den Anfang und sage:

Beitrag automatisch zusammengeführt: 13.06.2023

Antwort B

 

[netzfaul]

A

Ob ein Thread das braucht oder nicht, will ich nicht entscheiden müssen, aber lieber Lese ich über etwas hinweg, das mich nicht interessiert als dass ich Wissensaustausch unterbinde, weil es mich nicht interessiert (wäre sehr egoistisch).

 

[CableMax]

Antwort B

 

[Fenris]

Antwort B

 

[Barquero]

Antwort C:

Unbedingt.
Es gibt vor allem in diesem Forum eine Menge Klugscheißer, deren Daseinsberechtigung nur darin besteht, andere darauf hinzuweisen, dass sie (angeblich) OT sind.
Die müssen ja auch mal was zu sagen haben.

 

[flyingcircus]

Ich wiederhole und korrigiere mich ungerne:

Jetzt wird übers Diskutieren diskutiert- fühlst Du Dich jetzt besser?

 

[vlugangst]

Definitiv!

 

[pierce_barney]

Ich wollte eine Umfrage erstellen. Vielleicht merken die es dann, aber ich finde keinen Menüpunkt, wo man eine Umfrage erstellen kann. Gibt's wohl nicht mehr, schade.

Frage: Findet ihr in Banken-Threads ausschweifende technische IT-Fachdiskussionen sinnvoll?

Antwort A: Ja, unbedingt. Solche Diskussionen braucht ein Thread und wen es nicht interessiert, der muss das eben aushalten.

Antwort B: Nein, auf keinen Fall. Für mich als Kunde sind solche Diskussionen uninteressant. Dieser Themenkomplex gehört in einem eigenen Thread diskutiert.

Antwort A

Zwischenstand:
Antwort A: 2
Antwort B: 2

 

[Porti]

Antwort A

Zwischenstand:
Antwort A: 2
Antwort B: 2

Antwort B

Zwischenstand:
Antwort A: 2
Antwort B: 3

 

[PixelHopper]

Das ist ja besser hier als damals im N26 Thread. Herrlich....
Ich packe schon mal mein Popcorn aus.

 

[rmol]

ANZEIGE

Machen wir es halt old-school und schreiben unsere Antwort auf. Ich machen den Anfang und sage:

Ganz schlechte Idee - statt mit einer Nerd-Diskussion blähst Du (und die Antwortenden) den Thread mit unnötigen Individual-Antworten auf.

Du kannst die hier vorherrschende Meinung bzgl. Nerd-Diskussion im Thread auch anders ermitteln - man zähle einfach die "Likes" bei Postings #2490 und #2491 als "Kontra", und die bei Posting #2489 sowie die Anzahl der bisher an der Nerd-Diskussion Beteiligten als "Pro" .