Ненависть к банк-клиентам

Это кого ты сейчас обругал?)

Да почти всех и обругал. Например: https://alfabank.ru/corporate/accounts/client_online/

Так у нормальных банков или отдельное виндовое приложение, или. Html 5 для физиков. Но сбербанки - да, они такие

Я не их клиент, но офисы у них работают как раз на standalone приложении, написанном на Java/Eclipse RCP ))

Из инструкции по установке системы «интернет-клиент» россельхозбанка.

В ОС Windows Vista/Windows 7 реализован механизм контроля учетных записей пользователей (UAC), призванный повысить безопасность системы. Данный механизм в числе прочего осуществляет контроль обращения приложений к файлам жесткого диска. При попытках записи приложением данных на жесткий диск, а также при попытках установки программного обеспечения, механизм контроля учетных записей либо требует подтверждения необходимости выполнения действия (рис.15), либо запрещает его.

Рис. 15. Запрос UAC подтверждения необходимости выполнения действия

Поскольку клиентская часть подсистемы Интернет-Клиент в процессе своей работы обращается к файлам жесткого диска, то для полноценной работы требуется либо постоянное подтверждение необходимости выполнение действия, либо отключение контроля учетных записей. Обращение клиентской части подсистемы Интернет-Клиент к жесткому диску осуществляется в следующих случаях: • Установка загружаемых при входе на сайт cab-файлов криптографических библиотек и компонентов ActiveX. В процессе установки UAC будет запрашивать подтверждения о необходимости проведения установки (рис. 15). • Осуществление криптографических операций подписи документов и проверки подписи. Остальные процессы, выполняемые клиентской частью подсистемы Интернет-Клиент, при использовании Windows Vista/Windows 7 протекают так же, как при использовании более ранних продуктов семейства Windows.

http://rgho.st/62J5MmKNy

Полное дерьмо прибитое к IE и ActiveX. И сейчас компания в которой я работаю, пользуется услугами этого банка.

Поскольку клиентская часть подсистемы Интернет-Клиент в процессе своей работы обращается к файлам жесткого диска, то для полноценной работы требуется либо постоянное подтверждение необходимости выполнение действия, либо отключение контроля учетных записей.

Полное дерьмо прибитое к IE и ActiveX.

Правильно значит он под санкции попал, поделом)

Почему все эти странные люди, вместо того, чтобы сделать нормальные standalone приложения для клиентов (возможно на Java c JavaFx или Eclipse RCP - т.е. по опредлению кроссплатформенные) делают эту дремучую жесть с апплетами? Они там совсем поехавшие?

Сайт не требует инсталляции. Сайт не требует обновлений. На HTML писать GUI дешевле, чем на Java. В основном поэтому.

Я знаю только один банк, где ИБ для физиков и юриков сделан на единой православной платформе - Авангард. Все работает через браузер, большая часть страниц вмещает всю доступную информацию, никаких виджетов, параллаксов, тонюсеньких шрифтов, теней, мыла и богомерзкого фонового видео. Правда юрикам немного тяжело из-за java ЭЦП, но она необязательна для работы и пока еще поддерживается в FF.

Мельком видел Тинькофф, тоже все выглядит отлично и без жавы. Но сам банк немного специфичный и подойдет не всем.

просто сайт - не выйдет

ну тебе нужна стойкая криптография, сертифицированная в Гестапо Безопасности, ФСБ и у прочих нехороших людей. Плюс нужно наверное работать с файлами на жестком диске и другими локальными ресурсами компьютера - сендбокс браузера такое не разрешит по определению. То есть нужно нативное приложение.

При этом разработчики самой инфраструктуры наверное хотят, чтобы это приложение все-таки было на сервере, чтобы не нужно было релизить релизы и обновлять обновления.

То есть результирующая система должна состоять из комбинации нативного агента, который юзает нативную криптографию и нарушает ограничения сенбоксинга, и основной части расположенной на серверах банка и дающей доступ по веб-интерфейсу.

И вот тут мы приходим к вопросу, как предполагается писать на С++ плагины для браузеров так, чтобы это было кроссбраузерно, и работало по умолчанию (а не включалось всякими уродливыми способами типа click to play), чтобы можно было сделать нативного агента

раньше был NPAPI для этого, но Firefox его собрался выключить. В Хроме есть PPAPI, но он не поддерживается в Firefox. Что там творится в кошмарном мире IE/Edge - не знаю, но его тоже надо, это ведь самый основной браузер. И все это надо одновременно и кроссплатформенно, потому что никто не хочет поддерживать огромную матрицу совместимости со всеми возможными вариантами браузер-ос-дистрибутив-окружение-...

насколько понимаю, сейчас этот комплекс проблем решается с помощью жабо апплетов и какой-то там интеграцией с Крипто Про. Не уверен, что писать, и главное - тестировать, это говнище проще, чем отдельное нативное приложение общающееся с центральным сервером по ресту, а в качестве гуя использующее например Qt Webkit

отдельная ненависть к запрещаторам NPAPI

Потому что фанбой Java приростает к JVM обоими полушариями и образует с ней единый организм. Мозг оригинала стирается мусоросборщиком, потому что на него уже никогда никто не ссылается из стека. Решения вместо человека принимает лично Дюк. Поэтому, чтобы писать на Java нужен один рабочий палец и рот, чтобы заливать в него кофе.

Скажи спасибо, что не на дельфи и с дискетами.

насколько понимаю, сейчас этот комплекс проблем решается с помощью жабо апплетов и какой-то там интеграцией с Крипто Про.

Вот это говнище то еще. Была у нас как-то задача на стороне клиента подписывать запросы, так наш субподрячик такое налепил, что без стакана не разобраться было. Java апплет тянул с сервера xml, и с помощью либы на С#, Win CryptoAPI, КриптоПро CSP и такой-то матери его подписывал и пихал обратно.

ну тебе нужна стойкая криптография, сертифицированная в Гестапо Безопасности, ФСБ и у прочих нехороших людей.

Ну это не проблема. Работает же криптография на жаве. Почему бы ей не работать на жаваскрипте? Он не такой уж и медленный.

Плюс нужно наверное работать с файлами на жестком диске и другими локальными ресурсами компьютера - сендбокс браузера такое не разрешит по определению.

Разрешит. Гугли File API. Да и с какими файлами ты собрался работать?

То есть нужно нативное приложение.

Единственное, что сейчас браузер не может — работать с USB-криптотокенами. Это единственная причина, по которой нужны апплеты. Думаю, в ближайшие годы эту проблему решат: с запрещением апплетов она встала в полный рост.

насколько понимаю, сейчас этот комплекс проблем решается с помощью жабо апплетов и какой-то там интеграцией с Крипто Про. Не уверен, что писать, и главное - тестировать, это говнище проще, чем отдельное нативное приложение общающееся с центральным сервером по ресту, а в качестве гуя использующее например Qt Webkit

В апплете достаточно держать несколько простых функций для общения с крипто-токеном. Для JS это обычный объект. Ничего сложного тут нет. Ты ещё учитывай, что эти клиенты начинали писать, когда ни о каких запретах апплетов и речи не шло и никто их переписывать не рвётся. Поэтому сейчас будут набирать популярность половинчатые решения: сайт на HTML, локально запускается малюсенькая Java-программка, которая слушает локалхост на определённом порту и выполняет команды, которые ей шлёт сайт (например через веб-сокет). Тут и апплеты не нужны, и дорабатывать надо минимум.

отдельная ненависть к запрещаторам NPAPI

Ну я их понимаю, сколько дырок в жава-апплетах было, не счесть. Флеш тоже закапывать модно, уж не знаю, почему, вроде он не такой дырявый, хотя хз.

В целом проблема выполнения произвольного недоверенного кода с достаточно развесистыми API это серьёзная проблема и JS единственный её решает более-менее приемлемо. Уязвимостей у него относительно немного. Ни Java ни флеш не подходят.

А если ты про произвольные плагины — зачем тебе это надо? Если ты умудрился у юзера поставить программу, просто запускай веб-сервер на локалхосте и общайся через WebSocket, зачем тебе плагины?

давсеокей. мну к примеру регулярно получает бонусы от бухов в виде печенек за «пришел и заработало» :)). уметь в современный зоопарк клиентбанков - самый верный способ стать незаменимым сотрудником.

больше клиентов, всяких и разных!

Вот уж действительно начинает выглядеть, что проще как встарь обычное клиент-серверное приложение на компе без всяких браузеров. Ну да, его надо будет релизить и обновлять, но это может в итоге и проще оказаться.

Сайт не требует инсталляции. Сайт не требует обновлений.

Ха! Ты просто не знаком с этим говном. Требует, и инсталляции, и обновлений.

очень зло и не правда

Работает же криптография на жаве. Почему бы ей не работать на жаваскрипте?

Даже если кто-то и запилит ГОСТ алгоритмы на js. Сертификацию никто не отменял. Без нее нельзя использовать даже самую распрекрасную реализацию.

Ха! Ты просто не знаком с этим говном. Требует, и инсталляции, и обновлений.

Надо же, а я ни разу не обновлял лор. Я про клиентов говорю, конечно же.

Даже если кто-то и запилит ГОСТ алгоритмы на js. Сертификацию никто не отменял. Без нее нельзя использовать даже самую распрекрасную реализацию.

Ну это уже не техническая проблема.

Может быть и так. У всего есть плюсы, минусы. Всё же пока тренд — выносить в веб всё, что только можно, и это не просто так. Я думал, мобильные приложения его поломают, но на деле это только до тех пор, пока смартфоны не станут достаточно мощными, чтобы разница между браузером и приложением стала незаметна.

Да и с какими файлами ты собрался работать?

с лежащими в C:/Users/me/Documents, например

В апплете достаточно держать несколько простых функций для общения с крипто-токеном. Для JS это обычный объект. Ничего сложного тут нет.

как ты будешь сертифицировать в ФСБ браузер?

а если ФСБ не понравится браузер, что нужно делать разрабам софта, пробивать фиксы в Google и Mozilla, с объяснениями «так нужно ФСБ России»?

а если они эти фиксы не примут?

Мельком видел Тинькофф, тоже все выглядит отлично и без жавы. Но сам банк немного специфичный и подойдет не всем.

Тинькофф хорошая штука, подтверждаю. Для юрлиц и для физлиц у них нет никакой мути с плагинами и прочей ересью.

Даже если кто-то и запилит ГОСТ алгоритмы на js...

...то кто гарантирует, что данный код не был подменен кем-то на пути от сервера к вашему компу? Только другой алгоритм. Очевидно, это уже не будет ГОСТ.

Плюс нужно наверное работать с файлами на жестком диске и другими локальными ресурсами компьютера

зачем???

ну тебе нужна стойкая криптография, сертифицированная в Гестапо Безопасности, ФСБ и у прочих нехороших людей.

особая российская криптография есть в OpenSSL и других криптобиблиотеках наверное тоже

жаба и браузероплагины не нужны

а если они эти фиксы не примут?

альфабанк выпустит браузер амигоальфа

Все эти трахи с java crypto не нужны по двум причинам: 1. Родное крипто апи в браузерах. 2. Двух этапная аутентификация.

Просто у нас в СНГ будут 5 лет тупить...

standalone приложения для клиентов

Проблевался

Надо же, а я ни разу не обновлял лор. Я про клиентов говорю, конечно же.

А давно ли ЛОР стал онлайн банком для юр. лиц? Ты вот просто скажи, что не имел дела с этим говном, и всё. Крипто-про - это меньшее из всех зол, устанавливаемых на комп клиента. Куча различного софта для различных токенов, разные банки могут использовать разные несовместимые версии софта для токенов, некоторые особо упоротые ставят на комп vpn клиенты с локальными проксями с авторизацией по токенам. В результате, это ад даже если на компе всего один банк клиент. Эсли же их несколько - это просто пц.

Всё же пока тренд — выносить в веб всё, что только можно, и это не просто так.

Да, но отчего такой тренд возник?

Потому что удобство и для разработчиков и для пользователей. Разработчикам - делать софт один раз для сервера и рассчитанный на Web-стандарты с небольшим дотачиванием под разные браузеры. Пользователям - не думая об установке и проблемах при этом, можно зайти с любого более-менее совремённого компьютера и браузера.

Всем удобно. А если Web станет всем неудобен. Разработчикам - заморачиваться с разными API разных браузеров и плагинов для них, которые ещё и меняются и отменяются, да и зависимость от ОС может появиться. А пользователям - трахаться с установкой и настройкой. Так и получится, что от чего ушли, к тому и пришли и зачем тогда нужен Web?

Все эти трахи с java crypto не нужны по двум причинам: 1. Родное крипто апи в браузерах. 2. Двух этапная аутентификация.

Просто у нас в СНГ будут 5 лет тупить...

Вылезай из криокамеры и иди в Райффайзен.

может я конечно туплю, но

чем отличается «standalone приложения для клиентов» на «Java c JavaFx или Eclipse RCP» от «дремучую жесть с апплетами»?

апплет это просто худо бедно кроссплатформенная загрузка и запускался java приложения.

В альфе, вообще, технари - шпециалисты.

Они на альфадиректе месяц назад запили новый дизайн, который еще более ублюдочный, чем предыдущий, смысл в том, что в личном кабинете все завязано на ActiveX и ключи с рутокена, но теперь открывая в том же ишаке из семерки вся эта верстка размазывается соплями по всему экрану.

Тут главный вопрос, зачем в браузере банк. Вернее, не так: зачем банк в браузере!
Когда был ИП, держал счёт в «Открытие». Всякое ЭЦП нативным банк-клиентом удобно обрабатывалось. Потом видел банк-клиента ВТБ в браузере у бухгалтера на работе - хочу это развидеть.

Какие апплеты в 2016 году???

Вылезайте из криокамеры.

(Сам использую GXT - https://www.sencha.com/products/gxt/.)

АКОЛ - deprecated. Используй Alfa Business Online.

В альфе, вообще, технари - шпециалисты

Недавно только было интервью. «Главный айтишник Альфа-Банка Мартин Пилецки убежден: технологии для банков – не главное».

«Главный айтишник Альфа-Банка Мартин Пилецки убежден: технологии для банков – не главное»

Я как-то видел вакансию веб-разработчика в приватбанке. Долго ржал с фразы «Опыт работы - желателен».

т.е. джуниоров за людей ты не считаешь? xD

Я считаю что на разработку вебморды клиент-банка (именно для этого искали человека) нужно брать твердых миддлов.

а что должны делать джуниоры?

Некритичные системы.

А надо?)

А если окажется, что некритичных систем нет (это ж банк), то получается, джава программисты должны сразу рождаться крепкими мидлами?

Пусть тренируются на кошках. Бабло это не тот случай, когда можно джунов спокойно качать.

Почитал, интересного, конечно, мало.

«Самое главное – не технологии, а безопасность» - сказал человек, чьи разработки руками и ногами завязаны на полудохлых техлонологиях от микрософта.

Впринципе, это не проблема только альфы, это ко всем русским банкам относится - когда за бугром уже будут запускать сервисы на блокчейне, эти будут пилить денежные переводы через вконтактик.