Как стать автором
Обновить

Разработчик Саид Ахмедов открыл исходный код приложения «Сбербанк онлайн сайт»

Время на прочтение2 мин
Количество просмотров113K
Всего голосов 43: ↑41 и ↓2+60
Комментарии151

Комментарии 151

НЛО прилетело и опубликовало эту надпись здесь
И «служба безопасности» будет через пуши к «клиентам» стучаться?

То есть сбер разрешает отображать свой сайт сторонним хостам?

Сбер разрешает отображать свой сайт в браузерах. Это приложение, по сути, открывает часть системного браузера (webkit) для отображения сайта. Со стороны Сбера здесь особо ничего и нельзя запретить, иначе сломается работа в Safari.

Выпутаете WebView и Iframe. В Iframe да, можно запретить. WebView не запретишь, потому что это такой же браузер.

Спасибо

Не совсем.
Насколько я помню — допустим кнопки Apple Pay не работают в UIWebView/WKVebView но при этом работают в SFSafariViewController. При этом у SFSafariViewController достаточно заметный интерфейс а вот возможностей своим кодом лазить внутрь страницы — очень сильно поменьше.

Интересно, что такие приложения-обертки для сайтов запрещены правилами Аппстора. Чем хуже ярлык, который каждый может сделать, и зачем нужно было делать приложение и влезать в историю - абсолютно не понятно. Разве что действительно планировалось что-то нечистое.

Не знаю, как обстоят дела на ios, но видели ли вы объем разрешений, который запрашивает мобильный сбер при установке на андроид? Там чуть ли не фуллдоступ, список контактов, файловая система, сеть, камера итд. Такой список доступов банковскому приложению не нужен. При всей официальности данного софта ставить ЭТО на телефон никакого желания лично у меня нет. Это спекуляция на тему «зачем».

Уязвимость аппаратов пользователей обсуждаемого приложения это не отменяет, конечно (кто мешает разрабу через неделю выкатить фишинговый апдейт), но раз его код теперь открыт — я бы себе такое собрал из исходников.

Камера - считывать qr для оплаты, файловая система - сохранять чеки, контакты - пересылать деньги по номеру. И так далее.

Хотя история с каким-то мутным антивирусом была, как я помню.

А андроид не умеет все запретить а потом разрешать по мере надобности? Иос работает именно так.

Ведро так же работает, каждое разрешение даётся отдельно. Сберовский анальный зонд отказывается работать без доступа к телефону (звонки и смс) например, речь об этом.

Банковские приложения вообще одни из самых "требовательных" к доступам и непрозрачные в плане использования этих доступов.

Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.

Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.
Перестраховываются, так как это один из давно распространенных векторов атаки мошенников: «Вас взломали! Срочно установите приложение и пришлите нам доступ для того, чтобы мы удаленно все исправили!» Конечно на такое купиться могут только далекие от технологий люди, но таких много.

Лучше бы они (банки) все перестраховались и добавили опцию запрета сброса пароля по смс и добавили поддержку аппаратных ключей вместо смс в качестве второго фактора. Я такой банк джва года жду...

Это ж работать надо и нести ответственность. А проверить, что установлен Team Viewer - 10(грубо) строк кода

Ну, вы просто опоздали, 15 лет назад у всех были аппаратные генераторы ключей. Но Ради Удобства Пользователей(tm) имеем, что имеем.

Тогда для удобства пользователей и zero liability вводить нужно. А то банки плюют на безопасность, а издержки несут клиенты...

Поздравляю, вы только что изобрели криптовалюту типа Биткоин. Где ответственность за сохранность средств только на вас.

Вы почитайте, что такое zero liability, вы вообще не в ту степь пошли, все ровно наоборот. Если на пальцах и без учета нюансов, то это когда вы принесли деньги в банк и с этого момента банк отвечает за их безопасность. Если деньги увели мошенники, это проблема банка, а не ваша, вам достаточно сказать: деньги снял/перечислил не я, — и не нужно ничего никому доказывать. Вы получаете свои деньги назад на счет, а поиск мошенников — это проблема банка, а не ваша.


А сейчас у нас идиотская до маразма система, когда банк берет ваши деньги, пользуется ими, но не несет никакой ответственности, если эти деньги украдут. Хотя обеспечение безопасности этих денег является прямой обязанностью банка. Да, я знаю про законе об НПС и про 24 часа в течение которых клиент может заявить претензию банку (хочется спросить вредителя, который это придумал, почему 24 часа, а не, хотя бы, 10-30 дней). Но это все не идет ни в какое сравнение с нормальной системой zero liability protection и даже если клиент 146% прав, то без суда ничего не докажет.

Тогда мы вернёмся в те времена, где за деньгами нужно было ногами идти в банк с паспортом, очевидно же..

Кому очевидно и почему в США за деньгами с паспортом не ходят? У них и паспортов-то у большинства нет.

Ну, скажем, я бы не против иметь выбор. Условно, иметь специальный счёт в банке, снятие с которого возможно только придя ногами в банк, а пополнение - любым способом. В случае пропажи денег - ответственность полностью на банке.

Хотел бы, чтобы по умолчанию все счета были такими, а если мне нужно что-то иное - я хотел бы явным образом подписать отказ от ответственности банка за мои деньги на понятных мне условиях.

 Где ответственность за сохранность средств только на вас.

Это изобрели американский банк. Где zero liability работает много лет как - и на кредитке и даже по дебетному счету, а банковской апликухе никаких особо прав и не надо (глядя на permission USbank app прям ща).

так же полно банков в которые вообще прийти нельзя. с паспортом или без. Просто потому что их офисов не существует. или они в другом штате.

На моего знакомого так, через TV, взяли кредит на 700к и тут же перевели на левый счет. Знакомый опомнился через 10 мин., поехал в банк, а ему там ответили что уже ничего сделать не могут, хотя деньги были еще у них на счетах.

Газпромбанк.

а ему там ответили что уже ничего сделать не могут, хотя деньги были еще у них на счетах.
Имхо, чутка присочинили. В авангарде если перевод даже уже обработан в банке, но еще не ушел физически (межбанковский), то его можно кнопкой отменить просто, правда только на сайте, в МП такого нет.
В любом случае это проблема банка, т.к. по закону РФ, клиенту обратившемуся в банк в течении суток, обязаны полностью вернуть деньги и уже самим разбираться дальше. Страховка карты/счёта это уже чистый развод от банка. Она ничего не гарантирует и ничего не добавляет.

А можно мне поконкретнее согласно какому закону? Ну так, на всякий случай.

№ 161-ФЗ «О национальной платежной системе»
Сейчас его хотят дополнить, т.к. возврат по статистике меньше 10%. В остальных случаях видимо клиент сам переводит «службе безопасности».
Так в том-то и дело, что в законе указано, что речь только об операциях «без согласия клиента».
Доказать что операция была без согласия — задача клиента, к сожалению. И доказать это — задача весьма неординарная.
Нет, доказывание лежит на банке и это не просто «мы подумали и решили». Т.к. клиент юридически более слабая сторона и закон о защите потребителей, защищает в первую очередь его.
Если бы речь шла про вину, то возможно. Тут же речь идет не о доказывании вины клиента, а о выполнении (не выполнении) им определённых действий. Не давании согласия на операцию, написании заявления на возврат. Банк не должен доказывать что заявления не было — клиент должен доказывать что оно было, то же с согласием.
Именно поэтому возврат и составляет всего 10%, иначе он был бы ближе к 100%.
Если мы разговариваем о ситуации numb, то без помощи клиента, такую ситуацию нельзя провернуть. Т.к. надо дать пароль от TV мошенникам, подтвердить вход смс, подтвердить кредит, подтвердить перевод. Кем надо быть чтобы такое позволить, я не представляю. И такие операции не мгновенно проходят. Получение крупного кредита и тут же перевод его на левое лицо никогда ранее не фигурирующее, это вина банка. Банк должен был заморозить перевод и позвонить клиенту, убедится что операция производится с его согласия и он понимает что делает.
Банк должен был заморозить перевод и позвонить клиенту
В рамках текущего законодательства — имел право, но не должен был.

А перевыпуск мошенниками сим-карты в другом городе?

При перевыпуске симка блокируется в любом банке до двух недель, а старая вообще перестаёт работать. В некоторых случаях только ножками в отделение для разблокировки.
Придется доказать, что это были мошенники, а не ты сам. Как правило это не особо сложно. Чем, кстати, е-сим лично нам не нравятся.
Popadanec не в любом.
Обязан любой, см. Указание ЦБ № 3361-У
Там кстати много чего интересного указано, в т.ч. и привязка к железу.

Например, газпромбанк дальше пошли, они отказываются работать при установленных приложениях Anydesk и TeamViewer что на ведре, что на айосе.

Стало интересно как это делают, особенно на ios. Оказывается просто проверяют возможно ли открыть ссылку на приложение. Но это нужно указывать в конфиге и это должно пройти ревью, только вот теперь возник вопрос как это вообще проходит ревью apple? Ладно проверять свои приложения, но чужие? Как-то это идёт в рознь с заботой о приватности

https://developer.apple.com/documentation/uikit/uiapplication/1622952-canopenurl

tl;dr

Разработчики хотят иногда открывать чужие приложения (напр. Яндекс.Карты). Стандартный алгоритм в этом случае "проверил-открыл". В документации есть информация о том, какие ограничения накладывает iOS на этот функционал (то есть как раньше проверить все возможные схемы не выйдет).

Просто некоторым разработчикам (вернее компаниям) Apple и Google разрешают делать чуть больше чем другим разработчикам. Поэтому то за что удалят условно ваше приложение из маркеров, может спокойно использовать условный Сбер, Facebook, и так далее...

Ведро работает так же, но есть нюанс. Согласно правилам App Store приложение должно работать даже тогда, когда пользователь отказал во всех разрешениях.

Они блочат только anydesk. Это показывает уровень программеров или сбшников газпромбанка. Я им предлагал отрезать пальцы пользователям при получении карт. Чтобы деньги мошенникам не отправляли. Но только на одной руке.

А ещё СГБ не дают установить пин код карты, начинающийся с 19.

Чтобы год рождения не указывали, видимо. Ведь это легко найти у конкретного человека, и использовать.

Видимо да, но также легко найти день и месяц. Тогда нужно запретить от 0 до 31.

то есть люди, родившиеся в этом веке, такой бедой не страдают? :)

Именно поэтому люди вместо 19 ставят 00 и цифры года рождения. Так проще.

В принципе, если вместо цифр года рождения поставить еще два ноля то будет еще проще

А ещё СГБ не дают установить пин код карты, начинающийся с 19.

Мне интересно, каким же образом они это легально делают?

Ибо суть пин-кода карты именно в том, что пин-код, когда пользователь ввел его на пин-клавиатуре (POS - терминала, банкомата, не суть) - не попадает напрямую в приложение, залитое в пин-пад (или же установленное в аппарат, к которому данный пин-пад подключен), а шифруется в самой пин-клавиатуре и в приложение попадает в уже зашифрованном виде, причем приложение расшифровать его никак не может, даже зная ключи, зашитые в пин-клавиатуру (ассимметричное шифрование, етц)

Т. е. когда сотрудник банка, при выдаче карты говорит "придумайте код" и подает пин-клавиатуру (или юзер сам в банкомате меняет пин) - то что ввёл юзер - легально отследить нельзя

Это - часть сертификации PCI DSS, если мне не изменяет память (эх, давно это было), а без нее с картами на таком уровне работать запрещено как бы

У Тинькоф я могу поменять ПИН-код прямо в приложении. Может, речь об этом?

пин код можно через приложение менять. Там и валидация есть

Как минимум у одного банка ПИН чаще всего ставится через мобильное приложение и с бэка прилетает набор правил (включая например regexp'ы) которому ПИН НЕ должен соответствовать. И приложение просто не даст нажать "дальше". А вот если все правильно — все улетает куда надо.
Как у них это в банкоматах — не знаю. Сотрудник при выдачи физической карты(при том что есть и виртуальные и они работают с банкоматами(сейчас-только через MirPay)) пин-пад НЕ дает (их там вроде и нет на рабочих местах сотрудников).

Вроде как в недавнем времени эти разрешения вновь стали опциональными.

Когда точно не могу сказать

Удалял приложение когда оно начало требовать для работы прав доступа к камере/контактам/другой чувствительной информации. После чего через определённое время(год-два) вновь его установил и прав оно больше не требовало.

На сколько я понимаю было крупное обновление. Так как UI был полностью переделан.

Приложение работает без предоставленных разрешений.

Как вам сказали, уже умеет. Но сбер отказывается работать, пока не дашь разрешения.

На iOS это было решено просто: приложение не работает, пока не дашь разрешения? Оно просто не попадёт в аппстор (по правилам допускается лишь отключение именно того функционала, для которого требуется это разрешение, остальное должно работать). А гугл более либерален, и сбер этим пользовался, запрашивая права по максимуму.

Ага, немного подбешивает такой подход. Я в итоге официальный клиент ВТБ не стал ставить на свой андроид минуя гугл плей из-за длинного списка разрешений непонятно зачем. Веб-версия так веб-версия

Я решил вопрос установкой Shelter и установкой всех жадных до разрешений приложений в отдельный пустой профиль. По крайней мере они теперь не видят ничего из основного профиля.

Shelter прекрасен, я туда весь трэш и содомию скидываю, там пусть хоть зачитаются пустым списком контактов и т.п.
В результате там уже под сотню приложений, и в плоском списке найти нужное сложно. Особенно учитывая любовь к вычурным названиям.
Хотелось бы такое же, но с перламутровыми пуговицами… Чтобы можно было группировать приложения по папкам

У меня в самсунговской оболочке просто переключатель в менюшке - Personal/Work. Все Shelter'овские приложения попадают в Work профиль. Организация приложений происходит также, как и в основном профиле, т.е. с возможностью объединения в папки. В общем это явно зависит от оболочки и на самсунге у меня такой проблемы просто не возникает.

Спасибо за наводку, даже не слышал про такое приложение

UPD: с MIUI, похоже не работает, увы

в MIUI можно сделать второе пространство и качать всё левое туда, можно даже с отдельного гугл/сяоми/etc аккаунта, при желании.

А где его взять этот Shelter?

Я прямо из Play Store устанавливал всегда.

Да

Спасибо!

Уже не отказывается. Как верно выше заметили - теперь вполне работоспособен с минимальными разрешениями. Специально только что проверил на своём Андроиде.

Все просто. Думаю, копия всех смс и звонков сливается на сервера для "анализа". Самое простое - не звонили ли тебе только что мошенники с известного им номера.

Также, в вашей телефонной книге могут быть тысячи контактов. В онлайне проверить, у кого из них есть счёт в банке - довольно трудоемкий процесс, поэтому серверу заранее отправляется ваша телефонная книга, чтобы сервер за какое-то время вернул список, кому можно делать переводы.

А теперь финт ушами: если вы вдруг задолжаете банку и перестанете платить кредит, то коллекторы банка просто берут вашу телефонную книгу, и начинают искать вас через ваших знакомых - через контакт Мама, Папа, Жена, итд итп.

Ага, где-то читал, что приложение сбера сливает контакты, потом проверяет, например, если приходят переводы от людей, которых нет в телефонной книге, срабатывает триггер на подозрение в предпринимательской деятельности и т.п.
Вместо того, чтобы ограничиться предоставлением удобного доступа к банковским услугам, оно фактически является еще и экскаватором для дата-майнинга. Ну его нафиг…

Там DrWeb встроен вроде)

Сеть – определенно нужна, иначе как приложение будет общаться в бэком? Поправьте, если не прав.
Список контактов – нужен, чтобы выбрать получателя из адресной книги. Это удобно.
Камера – нужна, чтобы можно было сканировать карточки (а не вбивать номера вручную). Тоже удобно. Кроме того, это нужно для сканирования QR кодов для оплаты по ним.

Мне не нужно ни выбирать получателя, ни сканировать карточки. Почему приложение отказывается работать без этих разрешений?

Это вопрос к разрабам. Я лишь привёл причины, почему запрашиваются некоторые разрешения.

Я лишь привёл причины, почему запрашиваются некоторые разрешения.

Но вы не привели причины, по которым приложение вообще не работает без этих разрешений. Не отдельные функции приложения, зависимые от этих разрешений (что было бы ожидаемо и выглядело бы логичным), а вообще все приложение. Это необязательно про сабж, а вообще про любой софт, отказывающийся работать без разрешений, не являющихся очевидно необходимыми.

В комментарии, на который я писал первый ответ, об этом речи не шло.
А вообще ниже уже выяснилось, что последние версии нормально работают и без разрешений.

Это вопрос к разработчикам приложения. Запрос на авторизацию использования камеры итп совсем не обязательно делать во время бутстрапа приложения. Можно это сделать непосредственно в контроллере где сканируются карточки и если вы этим не пользуетесь, то приложение никогда и не попросит вас авторизовать доступ к камере.

Вопрос был риторическим :)

Стало интересно, проверил. Обязательных разрешений, без которых приложение отказывается запускаться, два — доступ к звонкам и хранилищу. Аргументируют тем, что это необходимо для встроенного антивируса.
Разрешения для камеры, контактов, местоположения и микрофона можно не давать, приложение запустится. Но попросит их при обращении к определенным функциям.

Хотя, конечно, вопросы есть. Первое – зачем мне встроенный в приложение антивирус. Второе – эта функция (антивирус) в приложении отключается, но разрешения всё равно остаются обязательными.

Обалдеть, оказывается, "антивирус" теперь отключается, и, похоже, он даже выключен по умолчанию. А я-то удивляюсь – давненько Сбер батарейку не жрал...

Раньше не отключался.

встроенный антивирус это защита для определенной аудитории Сбербанка.

Извиняюсь, но это же не так - удалил приложение и скачал последнюю версию с сайта сбера - версия 12.17, при заходе в приложение просит 1 разрешение - его можно отклонить и залогиниться без проблем.

Да, конечно, когда попытаться зайти на карту/сканировать камерой кр-код, будут запросы разрешений. Доступ к контактам при переводе тоже необязателен. Но речь же про "обязательные" - и их можно отклонить при логине.

Я не удалял текущую версию. Она у меня последняя «предсанкционная» из маркета.
Возможно на сайте более новая.
Для теста я просто снял все разрешения и попробовал открыть приложение. Пока не согласился на телефон и хранилище, оно отказывалось открываться. Хотя, как уже написал выше, эти разрешения нужны встроенному антивирю, а его я тоже пробовал отключать.

Правда, если антивирь включить - он потребует эти разрешения.

По-умолчанию антивирус в новых версиях отключен => вот и разрешения не требуются.

А скажите, после такого "финта" приложение не заявляет, что оно "работает в упрощённом режиме" и фактически даёт только посмотреть на свои счета?

Нет, "упрощённого режима" уже нет сто лет (ну не сто, но несколько точно), даже если с рутованным телефоном открывать.

Почему отказывается? Не отказывается, просто будет спрашивать разрешение, если потребуется сканировать QR код или выбрать получателя платежа. Причем это достаточно давно так. Еще с каких-то древних версий андроида.

ну, удобно != нужно, я бы предпочел решать за себя сам. Если нужно, можно надать кнопку "разрешить". Но я нажимаю запретить, когда спрашивают о контактах, уж больно их любят собирать в альтернативных целях.

А я и утверждал обратного. Вы неправильно прочитали, как и некоторые другие минусаторы.
Я не писал, что «это разрешение нужно», я написал, «это разрешение нужно для того чтобы». Чувствуете разницу?

Человек вообще-то спрашивает, зачем вам приложение обёртка для сайта, когда есть закладки и ярлыки в браузере?

Извиняюсь, что под топом и что по-сути первый свой комментарий. Прав добавлять скриншоты у меня нет, поэтому текстом: при установленной версии Сбера 12.15 для андроида, у меня отключены все разрешения. И заходит в приложение. И всё работает.

Похоже, мы (те, кто выше писал про разрешения) привыкли к этому безобразию ещё на старых версиях и не заметили, что проблему уже исправили.

Есть подозрение, что приложение из play маркета обладало этим, в то время как с хуавеевского оно не требует

Хуже того, это приложение ещё и рут обнаруживает, отказываясь запускаться на рутованных устройствах. Сберовское приложение явно рассчитано исключительно на домохозяек, потому что кто ещё будет пользоваться нерутованным Android-девайсом? Сейчас же в любой прошивке куча мусора, который без рута не вычистить.

Вы хоть почитайте, прежде чем отвечать. Тут обсуждается тупая обёртка, отображающая сайт сбербанка. Да, теперь это тоже называется приложением.

То есть всё в разы хуже: люди не могут добавить сайт в закладки или ярлык на рабочий стол, они ставят приложение, которое открывает им сайт. Это те, кто каждый день заходят в гугл и набирают "яндекс" для поиска.

Вы хоть почитайте, прежде чем отвечать. Тут обсуждается тупая обёртка, отображающая сайт сбербанка

Вообще-то человек отвечал на

Не знаю, как обстоят дела на ios, но видели ли вы объем разрешений, который запрашивает мобильный сбер при установке на андроид?

, а не про обёртку из заголовка статьи.

Только вот он отвечал человеку, говорящему про обёртку. И статья про обёртку.

Тут на IT-портале народ не в курсе разрешений, которые запрашивает приложение? Сейчас посмторел, контакты и местоположение у сбербанка запрещены, камера во время использования для qr, уведомления. Да у большенства не рутованые смартфоны и у гугла вообще все разрешения без настройки.

Рут позволяет выйти за границы песочницы, вообще-то. И покопаться в памяти другого приложения, например. Отказ банковских приложений работать на рутованном телефоне можно сравнить с отказом женщины от секса без презерватива. Оно конечно и так еле встаёт и а ещё пока эту резинку натягиваешь — может обратно упасть ощущения не те, и давит, и ты точно знаешь, что не больной… Но требование — вполне обоснованное

Требование вполне обоснованное, но несколько странное с учётом того, что женщина резиновая.

Если уж оффтопить, то мне попадалась в интернете история про то, как вся бригада на вахте подхватила ЗППП через одну резиновую женщину. Не знаю уж, насколько она правдива…
При всей официальности данного софта ставить ЭТО на телефон никакого желания лично у меня нет. Это спекуляция на тему «зачем».


Попробуйте Shelter

При всей официальности данного софта ставить ЭТО на телефон никакого желания лично у меня нет.

Сбер уже какой, седьмой? год "разрабатывает" сбп для онлайн-банкинга.
А пока "разрабатывает" - "пользуйтесь приложением".

Так что вариантов то и нет особо, только с какого нибудь ненужного смартфона использовать.

Не пользоваться сбером, как вариант

Вариант, к сожалению в РФ куча мест где из доступных банкоматов - один только сбер.
Ну и он самый массовый.

У многих банков несколько снятий в месяц в чужих банкоматах без комиссии разрешено.

у сбера зачастую лимит на снятие для чужих карт — в районе 5000 за раз.
У меня в округе-7000.СПб.5 тоже встречается, но реже.Когда ещё нужны были быстрые межбанковские переводы в Сбер в ночь с пт на сб, то рядом был всего один банкомат, который позволял снять аж 30тыщ за раз (но не Сбер), а потом ногами на внесение в соседний Сберовский.
Лимит по карточке был 5снятий в месяц.И было очень весело, когда в командировке надо было за квартиру рассчитаться, а вокруг есть только Сбер и ты уже два раза снимал в этом месяце.Благо что контора по доброте душевной компенсировала такое

Не вариант, если застройщик открывает эксроу счёт лишь в Сбере.

То что запрещено в сторе - понятно. Никто не мешает модифицировать код через пару месяцев когда уже числ это загрузок перевалит за десятки тысяч

Не помню точно, есть ли в правилах запрет на "обертки". Но тут нарушены права на логотип, и название. Раньше эппл в первую очередь спрашивал о нарушении интеллектуальных прав при споре.

Пусть расскажет друзьям про функцию «Add to Home Screen» в Safari (добавляет иконку сайта на главный экран телефона)

кстати да, я чет не понял зачем это все было если функция точно такая же из коробки есть?

Друзья - это кто? Чем занимаются?

Как только это станет известно, то все встанет на свои места

НЛО прилетело и опубликовало эту надпись здесь

Технология быстрого запуска "обёртки" из сайта как нативного приложения в андроидах существует уже давно, и наконец, уже дышавшая на ладан, она нашла своё применение.

Мое приложение на Андроиде заблокировали потому, что оно представляло собой лишь обёртку для сайта.

Простой и понятный

Ну, не знаю. У меня есть вопросы.

  1. Что делает метод reload() ? Явная же закладка с целью вывода из строя аккумулятора :-)

  2. Зачем self объявлен UI делегатом от webView, хотя ничего не делегирует? Может там было что-то, что Саид удалил перед тем, как скриншотить?

  3. почему пропущен super.loadView() ? Злой умысел?

  4. Восклицания вроде myURL! это явный экстремизм. За такие восклицания в коммерческой разработке обрубают кисти рук. :-)

Восклицания вроде myURL! это явный экстремизм.

Очевидно он хотел захватить банк, раз объявил его своим.

Скорее всего, код получен путём удаления лишнего из какого-то другого приложения.

Поэтому reload() не вызывается, а WKUIViewDelegate упомянут, но не реализован.

При кастомном создании view, как здесь, super.loadView() вызывать как раз не надо, согласно рекомендациям Apple:

«Your custom implementation of this method should not call super

Отсюда: https://developer.apple.com/documentation/uikit/uiviewcontroller/1621454-loadview

Пункт 4, спасибо посмеялся. :)

Какой же вы милый и добрый человек. Кисти рук можно отрубить просто за неряшливое форматирование.

В сторах же можно было PWA (progressive web apps) публиковать, не?

Если разработчики собственный сайт в PWA оборачивают — это не тоже самое, что непонятно кто делает такую обертку для чужого популярного сервиса без согласования с собственником сервиса. Тем более, что речь о банке.
Например, браузерная версия не поддерживает локальный пароль на приложение. В итоге либо ваши финансовые данные доступны любому, кто возьмет в руки телефон, либо каждый раз вводить логин, пароль и 2FA-код по SMS.

В онлайн-банках очень короткое время авторизационной сессии, после 10 минут без активных действий большинство вас разлогинят. Так что тут скорее второй вариант.

ваши финансовые данные доступны любому, кто возьмет в руки телефон

сегодня по определению. Имея ваш телефон, можно получить доступ ко всем вашим счетам, не зная пароля. В этом самая большая беда современной российской банковской системы: у большинства банков нет никакого 2FA, пароль сбрасывается по смс. Симка — ключ ко всем вашим деньгам.

Приложение открывает ссылку браузерной версии в браузере. Там также нет никакого локального пароля.

Внимание, вопрос: а что мешает Сберу, ВТБ и другим банкам опубликовать свой исходный код для того, чтобы каждый желающий мог собрать себе из исходников банковское приложение?

  • api ключи для всяких сервисов внешних
  • антифрод клиентский можно смело выкидывать
  • нужно ж dev-аккаунт
  • что после этого помешает реальным мошенникам наделать спецверсий и распространять? особенно в текущей ситуации когда есть куча людей которые считают что имеют основания пакостить пользователям этих банков совсем не за деньги.
  • вполне может быть не выведенный в прод функционал который отключатся фичатоглами а тут юзеры ковыряться начнут. и удивляется что НЕ работает
  • журналисты увидят что-то что им покажется включением нового UI(который совсем даже не закончен) например, опубликуют статью и скриншоты и пойдет фидбэк от пользователей на тему как все плохо (а плохо потому что не закончено)

-здравствуйте, это служба безопасности ой-вэй банка. У вас пытались украсть деньги, но мы заблокировали эти транзакции. Возможно, у вас вирус, обновите ваше приложение на телефоне, для удобства вот ссылка и инструкция.

Напомнило, как во время блокировок телеграма, кто-то подсуетился и продавал «приложение обходящее блокировку телеграма», под которым был обычный vpn, поднятый на частном сервере)

Отраслевой эксперт Павел Гросс-Днепров

Сначала испугался, что это эксперт по Доке 2.

А внук, популярный Жока, еще жив?

В Google Play полно таких приложений, по факту являющихся обёрткой браузеров для отображения мобильных версий различных сервисов.

Саид, поджигай!..

А вот открыли бы сорцы оригинального приложения и сделали репу для f-droid.. Эх мечты мечты..

Лучшее, что могут сделать банки в этой ситуации, это сделать API с нормальной документацией, желательно, унифицированное для всех банков, чтобы кто-нибудь сторонний написал "единый клиент" с подгружаемыми настройками. Такой и под санкции попасть не сможет по формальным признакам.

Скорей наоборот, он залетит под санкции как только под них попадет любой из поддерживаемых банков.

Выложить на гитхаб и в f-droid? Универсальный ж клиент. Если его банить — надо банить и браузеры за то что они нагло с сайтами санкционных банков работают.

Внезапно некоторое движение в эту сторону есть - есть такая штука, как SBPay - в смысле, СБП Pay. Пока только для переводов по СБП. Докинуть туда отображение баланса - и в принципе для большой доли пользователей задачи финансового приложения на телефоне (т.е. повседневные небольшие транзакции) будут закрыты.

Большие штуки, типа раз в несколько месяцев продлить депозит, можно и на сайте делать.

т.е. мои данные по всем банкам будут ходить через кого-нибудь стороннего?

Как я понимаю речь про универсальный API. И (по желанию) открытый универсальный клиент. да — может быть посторонний клиент если вам оно надо. Можно руками собрать. можно от вашего банка сборку использовать (Чего бы банку не предоставить ее).
Ну да — подразумевается что аудит этого открытого клиента проводят.


Собственно УЖЕ есть ДзенМани например (и например budgetbakers.com) которые либо просят подключение по API если оно есть либо логин и пароль(или что там еще у банка) и грузят транзакции. Делать транзакции они не умеют в принципе — это средства для учета финансов. И да — стараются хорошо обосновать клиентам почему это — безопасно

Слишком много разных продуктов. И слишком разный функционал.
Простейшей пример: Есть у нас карта. Через приложение ее можно заблокировать (для разблокировки — в отделение) но можно заморозить (и потом сразу разморозить) но:


  • у банка А — именно так и реализовано, можно заморозить и разморозить. Любую карту. Подтверждений не надо.
  • у банка Б — можно, но нужно подтверждение по СМС для разморозки. Потому что безопасность. И нет, через пуш код получать в данном случае нельзя. Статус при этом меняется только на текущем и с задержкой.
  • у банка С — подтверждение по СМС нужно и для заморозки тоже. Ах да, работает только со старыми дебетовыми картами, с новыми дебетовыми и всеми кредитками — не работает. Потому что проблемы бэка но команда разработки отчиталась уже. Когда бэк поправят — включат и новые дебетовки а кредитки ну когда нибудь потом. При этом статус карты отображаемый сразу же меняется на все залогиненных в аккаунт устройствах включая текущее.

И как это в рамках унифицированного API сделать?


А вообще — банки с API — есть. Обычно это те банки что услуги для бизнеса. Даже у Тинькова в бизнес-версии оно есть. Да, подтверждение переводов — через API не сделать, только ручками. И функционала вида "заплатить(передав кучу показаний) УК НашКрутойСервис г. НижнеСибирска" там нет.

20 строк исходников - 400кб бинарник... жованый стыд..

ассеты скушали остальное =)

Мне кажется, в статье ещё нужен тег "безопасность".

Никогда не пользовался Сбером, у них что ли настолько плохое мобильное приложение, что люди хотят ходить на их сайт через эту обертку?

Приложения банков под санкциями удалены из сторов.

Никогда не пользовался приложением Сбера-мне сайта хватает для всего
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости