Comments 54
Скажите, те, кто составляет ТЗ на ваши разработки, они хоть какое-то общее представление имеют о том, что нужно пользователю, или, как и большинство маркетологов, рассчитывают воспитать потребителя так, чтобы любил, что дали не не хотел иного?
Почему в приложении МОЖНО сделать перевод средств на КРЕДИТНУЮ карту (т.е. пополнить сверх необходимого), но обратная процедура невозможна? При этом работники сбербанка заявляют, что вот просто так взять и выполнить эту операцию БЕЗ приложения, в офисе банка, НЕВОЗМОЖНО, потому что это НЕЛЬЗЯ?
Есть еще ряд «мелких» проблем, которые выбешивают… например, вот эта «стартовая» анимация или «антивирусная» проверка… Чат — та еще песня… Надеюсь, в очередной версии вы добавите и лайки за репосты.
(это был сарказм)
Неужели нельзя сделать ТОЛЬКО банковский сервис? Создание шаблонов платежей так и не сделали, зато сделали «здравствуйте, имярек». Круто, чо.
Я написал здесь потому, что в «отзывах» писать бесполезно, так что извините.
Почему в приложении МОЖНО сделать перевод средств на КРЕДИТНУЮ карту (т.е. пополнить сверх необходимого), но обратная процедура невозможна? При этом работники сбербанка заявляют, что вот просто так взять и выполнить эту операцию БЕЗ приложения, в офисе банка, НЕВОЗМОЖНО, потому что это НЕЛЬЗЯ?
Есть еще ряд «мелких» проблем, которые выбешивают… например, вот эта «стартовая» анимация или «антивирусная» проверка… Чат — та еще песня… Надеюсь, в очередной версии вы добавите и лайки за репосты.
(это был сарказм)
Неужели нельзя сделать ТОЛЬКО банковский сервис? Создание шаблонов платежей так и не сделали, зато сделали «здравствуйте, имярек». Круто, чо.
Я написал здесь потому, что в «отзывах» писать бесполезно, так что извините.
Вообще пополнить кредитку вроде можно, но снять деньги с неё можно только с комиссией это я сразу уточнил)) Мне лично никто не говорил, что нельзя
Почему в приложении МОЖНО сделать перевод средств на КРЕДИТНУЮ карту (т.е. пополнить сверх необходимого), но обратная процедура невозможна?
вероятно, ограничение связано с тем, что перевод с кредитки == снятие налички и отсутствие льготного периода
При этом работники сбербанка заявляют, что вот просто так взять и выполнить эту операцию БЕЗ приложения, в офисе банка, НЕВОЗМОЖНО, потому что это НЕЛЬЗЯ?
Вероятно, причина в том, что для разных каналов обслуживания предъявлялись различные требования к функционалу и накладывались соответствующие ограничения.
Вот там про омниканальность в посте есть инфа, когда осуществят — границ не будет
А можно узнать какой мудак чудак, придумал вставить в ваше приложение антивирус, который знатно вешает систему, плюс сажает батарею, плюс жрет память… Мне вот лично не в кайф, что ваше приложение сидит в памяти и занимается какой-то фигней… На фоне этого ваши остальные плюсы меркнут
Безопасность банковского приложения – это важная штука, поэтому антивирус там есть. Но мы работаем над тем, чтобы он не мешал пользоваться приложением. Ждите хороших новостей)
В устах «сбербанка» хорошие новости скорее пугают, нежели радуют. Главное, не вносите таких изменений, которые сделают невозможной эксплуатацию текущей или более старой версии, как уже пару раз было. Помните о клиентах.
а почему вы считаете что можете за меня решать на счет использования антивируcа? не кажется ли вам что вы на себя многовато берете? антивирус для телефона ничего общего с безопасностью банковского приложения не имеет — вы просто пошли самым простым путем
А если у меня есть свое антивирусное приложение? Может быть безопасность меня это мои проблемы?
Моя безопасность — моя забота. Не банка дело, какие приложения установлены в моем телефоне, есть там рут или нет. Захочу поставить антивирус — сделаю это. И нечего мне навязывать услугу.
Сберовский мобильный клиент — самый тормознутый из опробованных мною. Он запускается так долго, что я успеваю забыть, зачем его открывал. Ну и ущербный по функционалу, конечно… то нельзя, это тоже нельзя.
Нормальные банки берут риски на себя, а не встраивают антивирусы. Сбер же в случае мошенничества шлёт клиентов подальше.
Нормальные банки берут риски на себя, а не встраивают антивирусы. Сбер же в случае мошенничества шлёт клиентов подальше.
Повесить перевод денег через смс всем подряд — это офигеть как безопасно!
А для большей секьюрности — сделать это обязаловкой.
Зато на рутованных устройствах — делать вид что приложение работает. А то, что на дешёвых телефонах после установки вашего комбайна с ждакузи и девочками, свободного места комар наплакал — это не ваши проблемы.
А для большей секьюрности — сделать это обязаловкой.
Зато на рутованных устройствах — делать вид что приложение работает. А то, что на дешёвых телефонах после установки вашего комбайна с ждакузи и девочками, свободного места комар наплакал — это не ваши проблемы.
Как бы вы решили проблему?
— у вас мобильное приложение для управления деньгами
— аудитория > X млн пользователей с уровнем знаний мобилок ниже среднего
— растет фрод, анализ показывает большую долю левых приложений
Что делать?
— у вас мобильное приложение для управления деньгами
— аудитория > X млн пользователей с уровнем знаний мобилок ниже среднего
— растет фрод, анализ показывает большую долю левых приложений
Что делать?
С моей точки зрения чрезмерная забота о тупоголовом клиенте только вредит не-тупоголовым.
В большинстве случаев, как мне кажется, достаточно 1 раз после установки (хорошо, не один, а ТРИ) показать пользователю предупреждение, что для безопасности управления его финансами следует использовать антивирус и не делать root. Так же уведомить, что Сбербанк не отвечает за последствия, если эти условия клиент не выполняет. И пусть пользователь думает, что ему надо больше.
Оставьте пользователю свободу совершать ошибки, не идите по пути всяких ВсеПодрядНадзоров, готовых ради «безопасности» запретить даже лежать под одеялом неподвижно.
В большинстве случаев, как мне кажется, достаточно 1 раз после установки (хорошо, не один, а ТРИ) показать пользователю предупреждение, что для безопасности управления его финансами следует использовать антивирус и не делать root. Так же уведомить, что Сбербанк не отвечает за последствия, если эти условия клиент не выполняет. И пусть пользователь думает, что ему надо больше.
Оставьте пользователю свободу совершать ошибки, не идите по пути всяких ВсеПодрядНадзоров, готовых ради «безопасности» запретить даже лежать под одеялом неподвижно.
С моей точки зрения чрезмерная забота о тупоголовом клиенте только вредит не-тупоголовым.
С моей точки зрения тоже.
Но бизнесу (любому, а не только Сберу) нужны клиенты (которые приносят в том или ином виде деньги). И бизнесу не нужны расходы.
Эти две тезиса задают основной тренд — консьюмеризация.
Меня это жутко бесит. Например, в десктопных приложениях делают две кнопки, и ни шагу влево-вправо от сценария, который придумал кто-то. Но бизнес прагматичен, ориентируется на среднего клиента. Чем более массовый сервис, тем ближе к нижней границе. С ужасом жду времен, когда еще пара-тройка миллиардов новых пользователей получат доступ в интернет.
я наверное слишком старый или/и тупой(но поверьте я не одинок).
Но две кнопки это самое прекрасное что может быть в интерфейсе.
Лично меня каждый раз бесит когда сбербанк меняет свой интерфейс в банкоматах, и мне приходится угадывать что вот эта фигня есть влкадка как в смартфоне и надо переключиться а не листать ниже как раньше. Меня выбешивает yandex.mani у которого что бы узнать номер кошелька надо совершенно не очевидно щелкнуть по малюсенькому треугольничку. Или современные мегаинтерфейсы допустим для выписки электронного больничного, где для самого частого действия надо выполнить достаточно странную и не очевидную последовательность операций которую и админ запоминает с пятого раза, что уж говорить про бедного врача.
Поверьте, ненужная навороченность, неочевидность и изыточность современных интерфейсов более чем достала.
Но две кнопки это самое прекрасное что может быть в интерфейсе.
Лично меня каждый раз бесит когда сбербанк меняет свой интерфейс в банкоматах, и мне приходится угадывать что вот эта фигня есть влкадка как в смартфоне и надо переключиться а не листать ниже как раньше. Меня выбешивает yandex.mani у которого что бы узнать номер кошелька надо совершенно не очевидно щелкнуть по малюсенькому треугольничку. Или современные мегаинтерфейсы допустим для выписки электронного больничного, где для самого частого действия надо выполнить достаточно странную и не очевидную последовательность операций которую и админ запоминает с пятого раза, что уж говорить про бедного врача.
Поверьте, ненужная навороченность, неочевидность и изыточность современных интерфейсов более чем достала.
Если бы можно было отключить антивирус, и разрешить сберу не возвращать мне деньги украденные через приложение я за… Но это так не работает приложение сейчас анально огорожено вообще от всего, но деньги, которые украли через него мошенники вам все равно не вернут))
не включать сервис перевода денежных средств при помощи смс всем подряд.
Насколько помню, именно эксплуатация 900 и была причиной запрета рутованных зверьков.
Насколько помню, именно эксплуатация 900 и была причиной запрета рутованных зверьков.
Да, а еще, зачем каждый раз проверять, если я уже согласился на урезаный режим с работой только по шаблонам. Но нет, каждый запуск он тупит и проверяет, а вдруг у меня рут пропал. Дали бы опционально или «лайт» клиент без доп функций, только между своими и шаблоны.
Поддерживаю. Запуск приложения занимает до 3 минут. Если я в роуминге то можно и 5 минут прождать. Плюс по отпечатку нельзя входить.
Ну и главное если у вас Root доступ, то приложение урезает и без того скудный функционал
Ну и главное если у вас Root доступ, то приложение урезает и без того скудный функционал
На Android можно по отпечатку.
Вход по отпечатку есть и даже работает.
Azya Действительно есть, спасибо что подсказали. Только чтобы включить нужно в недры настроек пройти.
Пусть хотя бы сделать антивирус отключаемым.
Почему появилась необходимость создавать свое, когда существует, например, GraphQL, решающий те же проблемы?
GraphQL решает другой класс проблем.
В архитектуре, где он применим, клиентское и серверное приложение развиваются независимо друг от друга. В такой ситуации необходим абстрактный инструмент для получения данных – именно данных! – который не требует традиционных доработок бэкэнда: обработчика запросов к пути, получения данных из базы, очистки и приведения результата к JSON.
Наша же основная задача состояла в том, чтобы передавать клиентскому приложению кроме данных достаточное количество сопутствующей мета-информации. Ну и, с одной стороны, не слишком перегрузить этим API, а с другой стороны – обеспечить нужную степень управляемости.
Кроме этого GraphQL не даёт возможностей для оптимизации работы под нагрузкой, поскольку нельзя спрогнозировать, какие именно клиентское приложение будет формировать запросы. Напротив, в случае, когда API работает с ограниченным набором данных, можно, например, строить промежуточные слои кэширования и явно прогнозировать нагрузку на разные подсистемы.
В архитектуре, где он применим, клиентское и серверное приложение развиваются независимо друг от друга. В такой ситуации необходим абстрактный инструмент для получения данных – именно данных! – который не требует традиционных доработок бэкэнда: обработчика запросов к пути, получения данных из базы, очистки и приведения результата к JSON.
Наша же основная задача состояла в том, чтобы передавать клиентскому приложению кроме данных достаточное количество сопутствующей мета-информации. Ну и, с одной стороны, не слишком перегрузить этим API, а с другой стороны – обеспечить нужную степень управляемости.
Кроме этого GraphQL не даёт возможностей для оптимизации работы под нагрузкой, поскольку нельзя спрогнозировать, какие именно клиентское приложение будет формировать запросы. Напротив, в случае, когда API работает с ограниченным набором данных, можно, например, строить промежуточные слои кэширования и явно прогнозировать нагрузку на разные подсистемы.
Спрогнозировать какие запросы будет формировать клиентское приложение можно. Вы декларируете какие данные нужны вашему приложению, и не важно какой механизм вы используете для получения данных. GraphQl запросы можно кешировать, более того часто запрещают делать произвольные запросы(безопасность) а передают только id запроса и аргументы необходимые для его выполнения. Для этого существуют утилиты — persistgraphql.
В таком случае GraphQL перестаёт отличаться от классического подхода – например, REST, но становится довольно сильно избыточным. По сути, мы передаём полную информацию о запросе, но кроме неё при таких ограничениях ничего передать нельзя. Почему бы тогда не держать соответствие на сервере: путь к HTTP-методу = запрос?
UFO just landed and posted this here
Мы используем JSON, но он слишком громоздкий, поэтому описания даны в формате YAML.
Если вкратце и чуть более погружаясь в технику: в нашем случае JSON – это транспортный уровень протокола, а в статье описана детализация спецификации представительского уровня протокола (согласно сетевой модели OSI).
Соответственно, представительский слой может передаваться посредством любого транспортного слоя – XML, YAML, JSON, plain text. Это вопрос договорённостей и удобства. Для нужд демонстрации было удобно дать описания в YAML просто потому что он проще читается.
На мой взгляд, у приложения на Android есть два основных недостатка — антивирус, из-за которого приложение оочень долго стартует (а от него часто нужна максимальная оперативность) и кэширование баланаса счетов/карт, иногда после запуска балансы на главной не обновляются секунд 10 (пару раз меня это сильно подставляло).
Плюс к этому рекламный шум вроде "вам одобрена кредитная карта на стотыщьмиллионов" в самом топе раздражает.
Отвечая на вопрос, поставленный в заголовке "как работает", могу с уверенностью сказать "не очень хорошо".
У меня простое предложение — оставить на андроид только lite приложение (без антивируса и без расширенных функций). Это снизит стоимость разработки и повысит уровень лояльности пользователей. Причины называть не буду…
Короче для тупых хейтеров и для «манагеров» сбера… я хочу получить доступ ко всем функциям сбербанка онлайн без какой либо защиты ( готов подписать отдельный договор на бумаге) без необходимости пользоваться ущербными ограничениями антивируса или рут доступа приложения
Пользуйтесь Сбербанк Онлайн. Никаких ограничений, ни антивирус, ни рут не помеха.
Он не гнушается шманать все до чего дотянется, в то время как в личном кабинете грузяться левые скрипты.
До чего у вас дотянулся веб-сайт? У меня только с этих сайтов грузятся скрипты stat.online.sberbank.ru и node1.online.sberbank.ru Значит остальные были глобальными правилами заблокированы.
Коллеги, философский вопрос «где заканчивается безопасность и начинается вторжение» – очень интересный, но обсудить с сообществом мы хотели совсем не это. Мы будем очень рады вести дискуссию по теме, а фундаментальные вопросы вселенной можно обсудить отдельно на любой нетехнической площадке.
Не думали ли прикрутить аутентификацию по TOTP? Я бы с удовольствием съехал на нее с смс. А, может, добавил бы ее к смс, как третий фактор.
А описанный в статье подход уже используется в промышленной эксплуатации или только-только апробировали на пилотных функциях?
АПИ, воркфлоу, фреймворки…
Тем временем я — ИТ-специалист с многолетним стажем — не смог выполнить в Сбербанк-Онлайн элементарную задачу: сменить пароль для доступа в личный кабинет. Даже со второй попытки не смог!!!
Не в том направлении работаете, ребята. Не надо плодить супер-мега-крутые фичи. Научитесь сначала безупречно реализовывать простые вещи.
Тем временем я — ИТ-специалист с многолетним стажем — не смог выполнить в Сбербанк-Онлайн элементарную задачу: сменить пароль для доступа в личный кабинет. Даже со второй попытки не смог!!!
Не в том направлении работаете, ребята. Не надо плодить супер-мега-крутые фичи. Научитесь сначала безупречно реализовывать простые вещи.
Где хранятся правила валидации полей, которые передаются на клиент?
Правила валидации хранятся на сервере. В зависимости от того, как часто и с какой скоростью их требуется обновлять, можно держать правила в коде, в БД, в конфигах, во внешних системах и так далее. При этом правила клиентской валидации носят вспомогательный характер и могут значительно отличаться от правил серверной валидации.
как вы понимаете следующее утверждение:
использование для доступа устройства которое является верификатором 2FA сводит на нет саму концепцию 2FA
использование для доступа устройства которое является верификатором 2FA сводит на нет саму концепцию 2FA
Поставили антивирус и сперли базу контактов, больше никогда не поставлю это гуано на свой телефон. Антивирус и безопасность, это как телеграм и терористы, ничего общего.
Снес недавно приложение, когда выяснилось, что оно непрерывно генерирует трафик. Я понимаю, когда нужно проверить обновления (раз в сутки) или определить местоположение (при запуске). Но оно что-то тихонько безостановочно качало даже если я его не запускал после перезагрузки.
Лучшее враг хорошего
Дизигнеры наконец-то добрались и до сайта СБОЛа. Надеюсь доступ к старому интерфейсу не прикроют. Раньше оно тормозило на телефоне, теперь тормозит и на компе. Приветственный экран: 3 секунд смотрим как нас зовут и какое время суток, потом 5 секунд ждём, когда подтянутся данные в рыбу интерфейса. Часть ссылок вызывает полную перезагрузку интерфейса, часть нет. При этом при перезагрузке данные в рыбу могут не загрузиться совсем и ты не можешь ничего сделать. До шаблонов теперь приходится куда-то лезть. Бюджет на произвольный месяц уехал в никуда (подозреваю что это потому что в старом интерфейсе им никто не пользовался). Ещё и статус выпуска карты в старом интерфейсе и в новом не совпадают совсем.
Sign up to leave a comment.
Как работают приложения Сбербанк Онлайн: Workflow API и фрэймворки