Hat irgend jemand das HBCI oder FinFS-Protokoll mit PHP implementiert?
Ich muesste von einem Bank-Konto mit PHP die aktuellen Umsaetze
abrufen. Die Spezifikation von HBCI ist fuer mich nicht auf Anhieb
verstaendlich und es fehlen die Beispiele.

mfg

hans.schmidt1 [at] gmx.net wrote:
> Hat irgend jemand das HBCI oder FinFS-Protokoll mit PHP implementiert?

Das wär z.B. für HBCI sicherheitstechnisch mehr als bedenklich.
Da müßtest Du die Signatur Deiner Chipkarte auf dem Server ablegen. Das
will wirklich keiner. Frag doch erst mal Deine Bank ob die Dir u.U. eine
geeignete Schnittstelle dafür anbieten.

> Ich muesste von einem Bank-Konto mit PHP die aktuellen Umsaetze
> abrufen.

Wieso ist dafür HBCI/FinTS notwendig? Das ist doch nur für Transaktionen
gedacht.

--
_,
_(_p> Ulf [Kado] Kadner
\<_)
^^

"Ulf Kadner" <dr_logic [at] gmx.net> schrieb
> Das wär z.B. für HBCI sicherheitstechnisch mehr als bedenklich.
> Da müßtest Du die Signatur Deiner Chipkarte auf dem Server ablegen. Das
> will wirklich keiner. Frag doch erst mal Deine Bank ob die Dir u.U. eine
> geeignete Schnittstelle dafür anbieten.

Wieso? Es reicht wenn du deinen PIN kennst.

> Wieso ist dafür HBCI/FinTS notwendig? Das ist doch nur für Transaktionen
> gedacht.

Mit HBCI kannst du eigentlich jegliche Art von Bankgeschäft tätigen. Ob das
jetzt eine Überweisung oder eine Umsatzabfrage ist, ist egal. Es kommt nur
darauf an was die Bank in ihrem HBCI Interface unterstützt. Ich denke mal
eine Umsatzabfrage wird jeder unterstützen.

mfg Xion

<hans.schmidt1 [at] gmx.net> schrieb
> Hat irgend jemand das HBCI oder FinFS-Protokoll mit PHP implementiert?
> Ich muesste von einem Bank-Konto mit PHP die aktuellen Umsaetze
> abrufen. Die Spezifikation von HBCI ist fuer mich nicht auf Anhieb
> verstaendlich und es fehlen die Beispiele.

Ich kenn jetzt zwar keine direkte PHP-Implementierung aber man kann sich da
mit dem kleinen Tool Hibiscus weiterhelfen. Vorrausgesetzt du hast auf dem
entsprechenden Server so weitgehende Rechte, dass du es installieren und
ausführen kannst. Kurze Anleitung findest du hier:
http://phpugffm.de/index.php/onlinebanking-mit-php,2007-03,1 43.html

mfg Xion

Christian Franzen wrote:
> "Ulf Kadner" <dr_logic [at] gmx.net> schrieb
>> Das wär z.B. für HBCI sicherheitstechnisch mehr als bedenklich.
>> Da müßtest Du die Signatur Deiner Chipkarte auf dem Server ablegen.
>
> Wieso? Es reicht wenn du deinen PIN kennst.

Und was hat das jetzt damit zu tun? Ich sprach von der einzig "sicheren"
Variante und Du von einem simplen PIN-Mechanismus. Oder denkst Du an den
Anschluß eines Kartenlesers an den Webserver? Das dürfte in den meisten
Fällen extrem kompliziert werden.

Wenn Du das simulieren willst ist es unabdingbar den dann muß irgendwo
die Signatur der Chipkarte abgelegt werden. Das ist ein Risiko!

MfG, Ulf

--
_,
_(_p> Ulf [Kado] Kadner
\<_)
^^

"Ulf Kadner" <dr_logic [at] gmx.net> schrieb
> Und was hat das jetzt damit zu tun? Ich sprach von der einzig "sicheren"
> Variante und Du von einem simplen PIN-Mechanismus. Oder denkst Du an den
> Anschluß eines Kartenlesers an den Webserver? Das dürfte in den meisten
> Fällen extrem kompliziert werden.
>
> Wenn Du das simulieren willst ist es unabdingbar den dann muß irgendwo die
> Signatur der Chipkarte abgelegt werden. Das ist ein Risiko!

Wieso solltest du die Signatur der Chip-Karte benötigen? Du kannst HBCI
einfach über ein PIN/TAN Verfahren benutzen ohne dass du überhaupt eine
Chip-Karte haben musst. Ist dann genau das gleiche wie normales
Onlinebanking, nur dass du über die HBCI Schnittstelle der Bank arbeitest.

mfg Xion

Christian Franzen wrote:
> "Ulf Kadner" <dr_logic [at] gmx.net> schrieb
>> Und was hat das jetzt damit zu tun? Ich sprach von der einzig "sicheren"
>> Variante und Du von einem simplen PIN-Mechanismus. Oder denkst Du an den
>> Anschluß eines Kartenlesers an den Webserver? Das dürfte in den meisten
>> Fällen extrem kompliziert werden.
>>
>> Wenn Du das simulieren willst ist es unabdingbar den dann muß irgendwo die
>> Signatur der Chipkarte abgelegt werden. Das ist ein Risiko!
>
> Wieso solltest du die Signatur der Chip-Karte benötigen?

Da kann ich auch mit ner Wand reden. Lies Dir doch bitte nochmal durch
was ich schrieb evtl. verstehst Du nach mehrmaligen Lesen mein Anliegen...

MfG, Ulf

--
_,
_(_p> Ulf [Kado] Kadner
\<_)
^^

Christian Franzen schrieb:

> Wieso solltest du die Signatur der Chip-Karte benötigen? Du kannst HBCI
> einfach über ein PIN/TAN Verfahren benutzen ohne dass du überhaupt eine
> Chip-Karte haben musst.

Du kann das benutzen, was dir deine Bank anbietet. PIN/TAN in HCBI2.2 ist ja
optional und wird nicht von jeder Bank angeboten.

Gruß
Carsten

Ulf Kadner schrieb:

> Christian Franzen wrote:
> > "Ulf Kadner" <dr_logic [at] gmx.net> schrieb
> > > Das wär z.B. für HBCI sicherheitstechnisch mehr als bedenklich.
> > > Da müßtest Du die Signatur Deiner Chipkarte auf dem Server ablegen.
> >
> > Wieso? Es reicht wenn du deinen PIN kennst.
>
> Und was hat das jetzt damit zu tun? Ich sprach von der einzig "sicheren"
> Variante

Worüber man aber durchaus diskutieren kann:
Kommt einer an den Schlüssel ran (wie/warum auch immer), kann er alles
machen. Hat er eine PIN, kann er gerade mal Daten lesen. Erst mit einer TAN
auch was anstellen (so oft er halt eine neue gültige TAN hat).

Gruß
Carsten

Carsten Wiedmann wrote:
> Ulf Kadner schrieb:
>> Christian Franzen wrote:
>> > Wieso? Es reicht wenn du deinen PIN kennst.
>> Und was hat das jetzt damit zu tun? Ich sprach von der einzig
>> "sicheren" Variante
>
> Worüber man aber durchaus diskutieren kann:

ACK. Wenigstens verstehst Du mein Anliegen.

> Kommt einer an den Schlüssel ran (wie/warum auch immer), kann er alles
> machen.

Genau das ist das Problem, ja.

> Hat er eine PIN, kann er gerade mal Daten lesen. Erst mit einer
> TAN auch was anstellen (so oft er halt eine neue gültige TAN hat).

Ja, nur das dieses Verfahren, wie bereits von Dir im anderen Posting
geschrieben, nicht von vielen Banken unterstützt wird und auch den
heutigen Sicherheitsrichlinien nicht unbedingt zuträglich ist.

Mal abgesehen davon würde ich sowas auch niemals auf öffentlichen
Webspace einsetzen der nicht ausschließlich von mir selbst kontrolliert
werden kann.

Also ich komme immer zum Schluß das man derartige Dinge nicht über ein
zusätzliches, zwischengeschaltetes Webserver-Interface verarbeiten sollte.

MfG, Ulf

--
_,
_(_p> Ulf [Kado] Kadner
\<_)
^^

"Ulf Kadner" <dr_logic [at] gmx.net> schrieb
> Da kann ich auch mit ner Wand reden. Lies Dir doch bitte nochmal durch was
> ich schrieb evtl. verstehst Du nach mehrmaligen Lesen mein Anliegen...

Jo sorry, jetzt hab ich verstanden, dass du wohl darauf hinaus willst dass
ein PIN/TAN Verfahren unsicher sein soll. Warum du das meinst kann ich
allerdings nicht nachvollziehen?

mfg Xion

"Carsten Wiedmann" <carsten_sttgt [at] gmx.de> schrieb
> Du kann das benutzen, was dir deine Bank anbietet. PIN/TAN in HCBI2.2 ist
> ja optional und wird nicht von jeder Bank angeboten.

Von welcher Bank denn z.B. nicht? Bei jeder größeren Bank die ich kenne
funzt das ohne Probleme.

mfg Xion