Comments 151
То есть сбер разрешает отображать свой сайт сторонним хостам?
Сбер разрешает отображать свой сайт в браузерах. Это приложение, по сути, открывает часть системного браузера (webkit) для отображения сайта. Со стороны Сбера здесь особо ничего и нельзя запретить, иначе сломается работа в Safari.
Выпутаете WebView и Iframe. В Iframe да, можно запретить. WebView не запретишь, потому что это такой же браузер.
Интересно, что такие приложения-обертки для сайтов запрещены правилами Аппстора. Чем хуже ярлык, который каждый может сделать, и зачем нужно было делать приложение и влезать в историю - абсолютно не понятно. Разве что действительно планировалось что-то нечистое.
Уязвимость аппаратов пользователей обсуждаемого приложения это не отменяет, конечно (кто мешает разрабу через неделю выкатить фишинговый апдейт), но раз его код теперь открыт — я бы себе такое собрал из исходников.
Камера - считывать qr для оплаты, файловая система - сохранять чеки, контакты - пересылать деньги по номеру. И так далее.
Хотя история с каким-то мутным антивирусом была, как я помню.
А андроид не умеет все запретить а потом разрешать по мере надобности? Иос работает именно так.
Ведро так же работает, каждое разрешение даётся отдельно. Сберовский анальный зонд отказывается работать без доступа к телефону (звонки и смс) например, речь об этом.
Банковские приложения вообще одни из самых "требовательных" к доступам и непрозрачные в плане использования этих доступов.
Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.
Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.Перестраховываются, так как это один из давно распространенных векторов атаки мошенников: «Вас взломали! Срочно установите приложение и пришлите нам доступ для того, чтобы мы удаленно все исправили!» Конечно на такое купиться могут только далекие от технологий люди, но таких много.
Лучше бы они (банки) все перестраховались и добавили опцию запрета сброса пароля по смс и добавили поддержку аппаратных ключей вместо смс в качестве второго фактора. Я такой банк джва года жду...
Это ж работать надо и нести ответственность. А проверить, что установлен Team Viewer - 10(грубо) строк кода
Ну, вы просто опоздали, 15 лет назад у всех были аппаратные генераторы ключей. Но Ради Удобства Пользователей(tm) имеем, что имеем.
Тогда для удобства пользователей и zero liability вводить нужно. А то банки плюют на безопасность, а издержки несут клиенты...
Поздравляю, вы только что изобрели криптовалюту типа Биткоин. Где ответственность за сохранность средств только на вас.
Вы почитайте, что такое zero liability, вы вообще не в ту степь пошли, все ровно наоборот. Если на пальцах и без учета нюансов, то это когда вы принесли деньги в банк и с этого момента банк отвечает за их безопасность. Если деньги увели мошенники, это проблема банка, а не ваша, вам достаточно сказать: деньги снял/перечислил не я, — и не нужно ничего никому доказывать. Вы получаете свои деньги назад на счет, а поиск мошенников — это проблема банка, а не ваша.
А сейчас у нас идиотская до маразма система, когда банк берет ваши деньги, пользуется ими, но не несет никакой ответственности, если эти деньги украдут. Хотя обеспечение безопасности этих денег является прямой обязанностью банка. Да, я знаю про законе об НПС и про 24 часа в течение которых клиент может заявить претензию банку (хочется спросить вредителя, который это придумал, почему 24 часа, а не, хотя бы, 10-30 дней). Но это все не идет ни в какое сравнение с нормальной системой zero liability protection и даже если клиент 146% прав, то без суда ничего не докажет.
Тогда мы вернёмся в те времена, где за деньгами нужно было ногами идти в банк с паспортом, очевидно же..
Кому очевидно и почему в США за деньгами с паспортом не ходят? У них и паспортов-то у большинства нет.
Ну, скажем, я бы не против иметь выбор. Условно, иметь специальный счёт в банке, снятие с которого возможно только придя ногами в банк, а пополнение - любым способом. В случае пропажи денег - ответственность полностью на банке.
Хотел бы, чтобы по умолчанию все счета были такими, а если мне нужно что-то иное - я хотел бы явным образом подписать отказ от ответственности банка за мои деньги на понятных мне условиях.
Где ответственность за сохранность средств только на вас.
Это изобрели американский банк. Где zero liability работает много лет как - и на кредитке и даже по дебетному счету, а банковской апликухе никаких особо прав и не надо (глядя на permission USbank app прям ща).
так же полно банков в которые вообще прийти нельзя. с паспортом или без. Просто потому что их офисов не существует. или они в другом штате.
На моего знакомого так, через TV, взяли кредит на 700к и тут же перевели на левый счет. Знакомый опомнился через 10 мин., поехал в банк, а ему там ответили что уже ничего сделать не могут, хотя деньги были еще у них на счетах.
Газпромбанк.
а ему там ответили что уже ничего сделать не могут, хотя деньги были еще у них на счетах.Имхо, чутка присочинили. В авангарде если перевод даже уже обработан в банке, но еще не ушел физически (межбанковский), то его можно кнопкой отменить просто, правда только на сайте, в МП такого нет.
А можно мне поконкретнее согласно какому закону? Ну так, на всякий случай.
Сейчас его хотят дополнить, т.к. возврат по статистике меньше 10%. В остальных случаях видимо клиент сам переводит «службе безопасности».
Доказать что операция была без согласия — задача клиента, к сожалению. И доказать это — задача весьма неординарная.
Именно поэтому возврат и составляет всего 10%, иначе он был бы ближе к 100%.
Банк должен был заморозить перевод и позвонить клиентуВ рамках текущего законодательства — имел право, но не должен был.
А перевыпуск мошенниками сим-карты в другом городе?
Popadanec не в любом.
Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.
Стало интересно как это делают, особенно на ios. Оказывается просто проверяют возможно ли открыть ссылку на приложение. Но это нужно указывать в конфиге и это должно пройти ревью, только вот теперь возник вопрос как это вообще проходит ревью apple? Ладно проверять свои приложения, но чужие? Как-то это идёт в рознь с заботой о приватности
https://developer.apple.com/documentation/uikit/uiapplication/1622952-canopenurl
tl;dr
Разработчики хотят иногда открывать чужие приложения (напр. Яндекс.Карты). Стандартный алгоритм в этом случае "проверил-открыл". В документации есть информация о том, какие ограничения накладывает iOS на этот функционал (то есть как раньше проверить все возможные схемы не выйдет).
Просто некоторым разработчикам (вернее компаниям) Apple и Google разрешают делать чуть больше чем другим разработчикам. Поэтому то за что удалят условно ваше приложение из маркеров, может спокойно использовать условный Сбер, Facebook, и так далее...
Ведро работает так же, но есть нюанс. Согласно правилам App Store приложение должно работать даже тогда, когда пользователь отказал во всех разрешениях.
Они блочат только anydesk. Это показывает уровень программеров или сбшников газпромбанка. Я им предлагал отрезать пальцы пользователям при получении карт. Чтобы деньги мошенникам не отправляли. Но только на одной руке.
А ещё СГБ не дают установить пин код карты, начинающийся с 19.
Чтобы год рождения не указывали, видимо. Ведь это легко найти у конкретного человека, и использовать.
А ещё СГБ не дают установить пин код карты, начинающийся с 19.
Мне интересно, каким же образом они это легально делают?
Ибо суть пин-кода карты именно в том, что пин-код, когда пользователь ввел его на пин-клавиатуре (POS - терминала, банкомата, не суть) - не попадает напрямую в приложение, залитое в пин-пад (или же установленное в аппарат, к которому данный пин-пад подключен), а шифруется в самой пин-клавиатуре и в приложение попадает в уже зашифрованном виде, причем приложение расшифровать его никак не может, даже зная ключи, зашитые в пин-клавиатуру (ассимметричное шифрование, етц)
Т. е. когда сотрудник банка, при выдаче карты говорит "придумайте код" и подает пин-клавиатуру (или юзер сам в банкомате меняет пин) - то что ввёл юзер - легально отследить нельзя
Это - часть сертификации PCI DSS, если мне не изменяет память (эх, давно это было), а без нее с картами на таком уровне работать запрещено как бы
У Тинькоф я могу поменять ПИН-код прямо в приложении. Может, речь об этом?
пин код можно через приложение менять. Там и валидация есть
Как минимум у одного банка ПИН чаще всего ставится через мобильное приложение и с бэка прилетает набор правил (включая например regexp'ы) которому ПИН НЕ должен соответствовать. И приложение просто не даст нажать "дальше". А вот если все правильно — все улетает куда надо.
Как у них это в банкоматах — не знаю. Сотрудник при выдачи физической карты(при том что есть и виртуальные и они работают с банкоматами(сейчас-только через MirPay)) пин-пад НЕ дает (их там вроде и нет на рабочих местах сотрудников).
Вроде как в недавнем времени эти разрешения вновь стали опциональными.
Когда точно не могу сказать
Удалял приложение когда оно начало требовать для работы прав доступа к камере/контактам/другой чувствительной информации. После чего через определённое время(год-два) вновь его установил и прав оно больше не требовало.
На сколько я понимаю было крупное обновление. Так как UI был полностью переделан.
Приложение работает без предоставленных разрешений.
Как вам сказали, уже умеет. Но сбер отказывается работать, пока не дашь разрешения.
На iOS это было решено просто: приложение не работает, пока не дашь разрешения? Оно просто не попадёт в аппстор (по правилам допускается лишь отключение именно того функционала, для которого требуется это разрешение, остальное должно работать). А гугл более либерален, и сбер этим пользовался, запрашивая права по максимуму.
Ага, немного подбешивает такой подход. Я в итоге официальный клиент ВТБ не стал ставить на свой андроид минуя гугл плей из-за длинного списка разрешений непонятно зачем. Веб-версия так веб-версия
Я решил вопрос установкой Shelter и установкой всех жадных до разрешений приложений в отдельный пустой профиль. По крайней мере они теперь не видят ничего из основного профиля.
В результате там уже под сотню приложений, и в плоском списке найти нужное сложно. Особенно учитывая любовь к вычурным названиям.
Хотелось бы такое же, но с перламутровыми пуговицами… Чтобы можно было группировать приложения по папкам
У меня в самсунговской оболочке просто переключатель в менюшке - Personal/Work. Все Shelter'овские приложения попадают в Work профиль. Организация приложений происходит также, как и в основном профиле, т.е. с возможностью объединения в папки. В общем это явно зависит от оболочки и на самсунге у меня такой проблемы просто не возникает.
Спасибо за наводку, даже не слышал про такое приложение
А где его взять этот Shelter?
Уже не отказывается. Как верно выше заметили - теперь вполне работоспособен с минимальными разрешениями. Специально только что проверил на своём Андроиде.
Все просто. Думаю, копия всех смс и звонков сливается на сервера для "анализа". Самое простое - не звонили ли тебе только что мошенники с известного им номера.
Также, в вашей телефонной книге могут быть тысячи контактов. В онлайне проверить, у кого из них есть счёт в банке - довольно трудоемкий процесс, поэтому серверу заранее отправляется ваша телефонная книга, чтобы сервер за какое-то время вернул список, кому можно делать переводы.
А теперь финт ушами: если вы вдруг задолжаете банку и перестанете платить кредит, то коллекторы банка просто берут вашу телефонную книгу, и начинают искать вас через ваших знакомых - через контакт Мама, Папа, Жена, итд итп.
Вместо того, чтобы ограничиться предоставлением удобного доступа к банковским услугам, оно фактически является еще и экскаватором для дата-майнинга. Ну его нафиг…
Там DrWeb встроен вроде)
Список контактов – нужен, чтобы выбрать получателя из адресной книги. Это удобно.
Камера – нужна, чтобы можно было сканировать карточки (а не вбивать номера вручную). Тоже удобно. Кроме того, это нужно для сканирования QR кодов для оплаты по ним.
Мне не нужно ни выбирать получателя, ни сканировать карточки. Почему приложение отказывается работать без этих разрешений?
Я лишь привёл причины, почему запрашиваются некоторые разрешения.
Но вы не привели причины, по которым приложение вообще не работает без этих разрешений. Не отдельные функции приложения, зависимые от этих разрешений (что было бы ожидаемо и выглядело бы логичным), а вообще все приложение. Это необязательно про сабж, а вообще про любой софт, отказывающийся работать без разрешений, не являющихся очевидно необходимыми.
Это вопрос к разработчикам приложения. Запрос на авторизацию использования камеры итп совсем не обязательно делать во время бутстрапа приложения. Можно это сделать непосредственно в контроллере где сканируются карточки и если вы этим не пользуетесь, то приложение никогда и не попросит вас авторизовать доступ к камере.
Разрешения для камеры, контактов, местоположения и микрофона можно не давать, приложение запустится. Но попросит их при обращении к определенным функциям.
Хотя, конечно, вопросы есть. Первое – зачем мне встроенный в приложение антивирус. Второе – эта функция (антивирус) в приложении отключается, но разрешения всё равно остаются обязательными.
Обалдеть, оказывается, "антивирус" теперь отключается, и, похоже, он даже выключен по умолчанию. А я-то удивляюсь – давненько Сбер батарейку не жрал...
Раньше не отключался.
встроенный антивирус это защита для определенной аудитории Сбербанка.
Извиняюсь, но это же не так - удалил приложение и скачал последнюю версию с сайта сбера - версия 12.17, при заходе в приложение просит 1 разрешение - его можно отклонить и залогиниться без проблем.
Да, конечно, когда попытаться зайти на карту/сканировать камерой кр-код, будут запросы разрешений. Доступ к контактам при переводе тоже необязателен. Но речь же про "обязательные" - и их можно отклонить при логине.
Возможно на сайте более новая.
Для теста я просто снял все разрешения и попробовал открыть приложение. Пока не согласился на телефон и хранилище, оно отказывалось открываться. Хотя, как уже написал выше, эти разрешения нужны встроенному антивирю, а его я тоже пробовал отключать.
А скажите, после такого "финта" приложение не заявляет, что оно "работает в упрощённом режиме" и фактически даёт только посмотреть на свои счета?
ну, удобно != нужно, я бы предпочел решать за себя сам. Если нужно, можно надать кнопку "разрешить". Но я нажимаю запретить, когда спрашивают о контактах, уж больно их любят собирать в альтернативных целях.
Человек вообще-то спрашивает, зачем вам приложение обёртка для сайта, когда есть закладки и ярлыки в браузере?
Извиняюсь, что под топом и что по-сути первый свой комментарий. Прав добавлять скриншоты у меня нет, поэтому текстом: при установленной версии Сбера 12.15 для андроида, у меня отключены все разрешения. И заходит в приложение. И всё работает.
Вы хоть почитайте, прежде чем отвечать. Тут обсуждается тупая обёртка, отображающая сайт сбербанка. Да, теперь это тоже называется приложением.
То есть всё в разы хуже: люди не могут добавить сайт в закладки или ярлык на рабочий стол, они ставят приложение, которое открывает им сайт. Это те, кто каждый день заходят в гугл и набирают "яндекс" для поиска.
Вы хоть почитайте, прежде чем отвечать. Тут обсуждается тупая обёртка, отображающая сайт сбербанка
Вообще-то человек отвечал на
Не знаю, как обстоят дела на ios, но видели ли вы объем разрешений, который запрашивает мобильный сбер при установке на андроид?
, а не про обёртку из заголовка статьи.
Только вот он отвечал человеку, говорящему про обёртку. И статья про обёртку.
Тут на IT-портале народ не в курсе разрешений, которые запрашивает приложение? Сейчас посмторел, контакты и местоположение у сбербанка запрещены, камера во время использования для qr, уведомления. Да у большенства не рутованые смартфоны и у гугла вообще все разрешения без настройки.
При всей официальности данного софта ставить ЭТО на телефон никакого желания лично у меня нет. Это спекуляция на тему «зачем».
Попробуйте Shelter
При всей официальности данного софта ставить ЭТО на телефон никакого желания лично у меня нет.
Сбер уже какой, седьмой? год "разрабатывает" сбп для онлайн-банкинга.
А пока "разрабатывает" - "пользуйтесь приложением".
Так что вариантов то и нет особо, только с какого нибудь ненужного смартфона использовать.
Не пользоваться сбером, как вариант
Вариант, к сожалению в РФ куча мест где из доступных банкоматов - один только сбер.
Ну и он самый массовый.
У многих банков несколько снятий в месяц в чужих банкоматах без комиссии разрешено.
Лимит по карточке был 5снятий в месяц.И было очень весело, когда в командировке надо было за квартиру рассчитаться, а вокруг есть только Сбер и ты уже два раза снимал в этом месяце.Благо что контора по доброте душевной компенсировала такое
Не вариант, если застройщик открывает эксроу счёт лишь в Сбере.
То что запрещено в сторе - понятно. Никто не мешает модифицировать код через пару месяцев когда уже числ это загрузок перевалит за десятки тысяч
Не помню точно, есть ли в правилах запрет на "обертки". Но тут нарушены права на логотип, и название. Раньше эппл в первую очередь спрашивал о нарушении интеллектуальных прав при споре.
Пусть расскажет друзьям про функцию «Add to Home Screen» в Safari (добавляет иконку сайта на главный экран телефона)
Друзья - это кто? Чем занимаются?
Как только это станет известно, то все встанет на свои места
Технология быстрого запуска "обёртки" из сайта как нативного приложения в андроидах существует уже давно, и наконец, уже дышавшая на ладан, она нашла своё применение.
Простой и понятный
Ну, не знаю. У меня есть вопросы.
Что делает метод reload() ? Явная же закладка с целью вывода из строя аккумулятора :-)
Зачем self объявлен UI делегатом от webView, хотя ничего не делегирует? Может там было что-то, что Саид удалил перед тем, как скриншотить?
почему пропущен super.loadView() ? Злой умысел?
Восклицания вроде myURL! это явный экстремизм. За такие восклицания в коммерческой разработке обрубают кисти рук. :-)
Восклицания вроде myURL! это явный экстремизм.
Очевидно он хотел захватить банк, раз объявил его своим.
Скорее всего, код получен путём удаления лишнего из какого-то другого приложения.
Поэтому reload() не вызывается, а WKUIViewDelegate упомянут, но не реализован.
При кастомном создании view, как здесь, super.loadView() вызывать как раз не надо, согласно рекомендациям Apple:
«Your custom implementation of this method should not call super.»
Отсюда: https://developer.apple.com/documentation/uikit/uiviewcontroller/1621454-loadview
Пункт 4, спасибо посмеялся. :)
Какой же вы милый и добрый человек. Кисти рук можно отрубить просто за неряшливое форматирование.
В сторах же можно было PWA (progressive web apps) публиковать, не?
Приложение?! Почему просто ярлык на рабочий стол не выложить?
В онлайн-банках очень короткое время авторизационной сессии, после 10 минут без активных действий большинство вас разлогинят. Так что тут скорее второй вариант.
ваши финансовые данные доступны любому, кто возьмет в руки телефон
сегодня по определению. Имея ваш телефон, можно получить доступ ко всем вашим счетам, не зная пароля. В этом самая большая беда современной российской банковской системы: у большинства банков нет никакого 2FA, пароль сбрасывается по смс. Симка — ключ ко всем вашим деньгам.
Приложение открывает ссылку браузерной версии в браузере. Там также нет никакого локального пароля.
Внимание, вопрос: а что мешает Сберу, ВТБ и другим банкам опубликовать свой исходный код для того, чтобы каждый желающий мог собрать себе из исходников банковское приложение?
- api ключи для всяких сервисов внешних
- антифрод клиентский можно смело выкидывать
- нужно ж dev-аккаунт
- что после этого помешает реальным мошенникам наделать спецверсий и распространять? особенно в текущей ситуации когда есть куча людей которые считают что имеют основания пакостить пользователям этих банков совсем не за деньги.
- вполне может быть не выведенный в прод функционал который отключатся фичатоглами а тут юзеры ковыряться начнут. и удивляется что НЕ работает
- журналисты увидят что-то что им покажется включением нового UI(который совсем даже не закончен) например, опубликуют статью и скриншоты и пойдет фидбэк от пользователей на тему как все плохо (а плохо потому что не закончено)
-здравствуйте, это служба безопасности ой-вэй банка. У вас пытались украсть деньги, но мы заблокировали эти транзакции. Возможно, у вас вирус, обновите ваше приложение на телефоне, для удобства вот ссылка и инструкция.
Отраслевой эксперт Павел Гросс-Днепров
Сначала испугался, что это эксперт по Доке 2.
В Google Play полно таких приложений, по факту являющихся обёрткой браузеров для отображения мобильных версий различных сервисов.
Саид, поджигай!..
А вот открыли бы сорцы оригинального приложения и сделали репу для f-droid.. Эх мечты мечты..
Лучшее, что могут сделать банки в этой ситуации, это сделать API с нормальной документацией, желательно, унифицированное для всех банков, чтобы кто-нибудь сторонний написал "единый клиент" с подгружаемыми настройками. Такой и под санкции попасть не сможет по формальным признакам.
Скорей наоборот, он залетит под санкции как только под них попадет любой из поддерживаемых банков.
Внезапно некоторое движение в эту сторону есть - есть такая штука, как SBPay - в смысле, СБП Pay. Пока только для переводов по СБП. Докинуть туда отображение баланса - и в принципе для большой доли пользователей задачи финансового приложения на телефоне (т.е. повседневные небольшие транзакции) будут закрыты.
Большие штуки, типа раз в несколько месяцев продлить депозит, можно и на сайте делать.
т.е. мои данные по всем банкам будут ходить через кого-нибудь стороннего?
Как я понимаю речь про универсальный API. И (по желанию) открытый универсальный клиент. да — может быть посторонний клиент если вам оно надо. Можно руками собрать. можно от вашего банка сборку использовать (Чего бы банку не предоставить ее).
Ну да — подразумевается что аудит этого открытого клиента проводят.
Собственно УЖЕ есть ДзенМани например (и например budgetbakers.com) которые либо просят подключение по API если оно есть либо логин и пароль(или что там еще у банка) и грузят транзакции. Делать транзакции они не умеют в принципе — это средства для учета финансов. И да — стараются хорошо обосновать клиентам почему это — безопасно
Слишком много разных продуктов. И слишком разный функционал.
Простейшей пример: Есть у нас карта. Через приложение ее можно заблокировать (для разблокировки — в отделение) но можно заморозить (и потом сразу разморозить) но:
- у банка А — именно так и реализовано, можно заморозить и разморозить. Любую карту. Подтверждений не надо.
- у банка Б — можно, но нужно подтверждение по СМС для разморозки. Потому что безопасность. И нет, через пуш код получать в данном случае нельзя. Статус при этом меняется только на текущем и с задержкой.
- у банка С — подтверждение по СМС нужно и для заморозки тоже. Ах да, работает только со старыми дебетовыми картами, с новыми дебетовыми и всеми кредитками — не работает. Потому что проблемы бэка но команда разработки отчиталась уже. Когда бэк поправят — включат и новые дебетовки а кредитки ну когда нибудь потом. При этом статус карты отображаемый сразу же меняется на все залогиненных в аккаунт устройствах включая текущее.
И как это в рамках унифицированного API сделать?
А вообще — банки с API — есть. Обычно это те банки что услуги для бизнеса. Даже у Тинькова в бизнес-версии оно есть. Да, подтверждение переводов — через API не сделать, только ручками. И функционала вида "заплатить(передав кучу показаний) УК НашКрутойСервис г. НижнеСибирска" там нет.
20 строк исходников - 400кб бинарник... жованый стыд..
Мне кажется, в статье ещё нужен тег "безопасность".
Никогда не пользовался Сбером, у них что ли настолько плохое мобильное приложение, что люди хотят ходить на их сайт через эту обертку?
Разработчик Саид Ахмедов открыл исходный код приложения «Сбербанк онлайн сайт»