[Vermon]

Tekkis siis ükspäev selline mõte, et äkki on võimalik jäljendada kõiki Eestis kasutuses olevaid pangalinkide testkeskkondi puhtalt brauseris jooksvas Javascriptis.
Kas sellest on ka mingi reaalne kasu selgub hiljem aga siiani olen juba midagi valmis saanud ja kood on githubis:
https://github.com/v3rm0n/client-banklink
Muidugi kliendipoolne JS seab mõned piirangud nagu GET päringute kasutamine kuna POST'i näeb ainult serveris.
Töö käigus siis on tekkinud küsimused:
1) Kas sellisel asjal on üldse reaalselt mingisugune mõte?
2) Kas kellelegi paistab kohe silma mõni kitsaskoht, mida ma ei ole märkanud?

Kui keegi mõtleb selle peale, et kas ei piisaks pankade enda poolt pakutavatest testkeskkondadest, siis vastus on ei (kasutajad nimega Jaan Jalgratas või Test Test ei aita eriti kui probleemid on encodingus. Kellel on nimes täpitähed need teavad ).

[19Mart94]

https://www.pangalink.net

[Renka]

[Vermon]

pangalink.net on väga lahe asi aga tal on paar puudust:
1) Ei toeta autentimist
2) Pead tooma sisse välise sõltuvuse, mis isegi testkeskkonnas ei ole väga lubatud suurtes ettevõtetes

Minu plaan on siis, et kas kasutad otse githubist seda või tirid alla ja kasutad oma masinast, et ei oleks välist sõltuvust. Implementeerin kõik maksmise ja autentimise päringud.
Kuna enamjaolt vist ikka tehakse POST'i (ei tea aga tundub loogilisem) siis ei tea kui kasulik see testkeskkond on aga harjutamise mõttes võib ikka teha vast.

Tegelikult see täpitähtede teema tuli mängu just Nordeas. Nüüd olen Nordea panga liige kuna oli vaja lives testida

EDIT: Mõningate bugidega juba töötab.
Testleht asub: http://v3rm0n.github.com/client-banklink/index.html
Autent asub: http://v3rm0n.github.com/client-banklink/auth/swed.html
Makse asub: http://v3rm0n.github.com/client-banklink/payment/swed.html

[andresv]

ei viitsi hetkel koodi vaadata, kuid kui asi on puhtalt javascripti põhine, siis peab ka kaupmehe privaatvõti avalikult kättesaadav olema, mis tähendab, et suva inimene saab selle kätte ja võib seda kasutada.
Mõne petuskeemi kindlasti leiutab, kui selle võtme kätte saab,

[Vermon]

Täpselt nii. Mismoodi need petuskeemid testkeskkondades käivad?

Näed siin failis asuvad kõik privaatsed võtmed ja serdid: https://github.com/v3rm0n/client-banklink/blob/master/js/scripts.js

[andresv]

Esiteks võid proovida, kas suvalisele kontole saad makset teha (Teenus 1002).
Võiks eeldada, et lepinguga fikseeritakse üks konto ja ainult sinna saab laekumisi teha aga kas ka kõikides pankades nii on seda ei tea.

Tean, et mõnel firmal on kindlasti kahele kontole võimalik pangalingiga maksta aga võimalik et on ka kaks lepingut (privaat võtit).
Saaja nime ja konto vastavust kontrollitakse minuteada alles teatud summast alates.


Ning kui ei saa teisele kontole ülekannet teha, siis saab summa ära muuta (ja hiljem paluda üleliigne raha oma kontole kanda).

Kui kui kellelgi vaja isikut autendai, siis saab ta võtta selle sinu võtme ning kasutada seda ning ei pea pangale maksma teenustasu (kui seda on)
See viimane vist pigem piraatulus, kui petmine.


Vist oli ka pangalingi lepingus keelatud seda privaatvõtit kolmdatele osapooltele jagada.


Ning kui suudad sinna lehele oma javascripti kuidagi pookida (juhtumeid vist piisavalt olnud) siis võid ju oma sertifikaati kasutad ja lastagi oma kontole raha kanda.
Võimalusi on rohkem kui siin välja suudan mõelda.

Jälgede peitmine on juba teine teema.

Lisaks on sul seal failis BANK_PRIVATE_KEY, et mille jaoks seda sul vaja seal on?
Selline võti ei tohiks kuidagi lahtisena ühestki pangast välja jõuda ning sul ei peaks seda ka kusagil vaja minema.

[Vermon]

Ma ikka ei saa aru mismoodi kõik see seostub teskeskkonnaga. Kas kellelgi on testkeskkond live baaside peal? Kas keegi kasutab testkeskkondades live võtmeid?
Kui jah kummalegi küsimusele siis tuleks probleemi otsida arvuti ja tooli vahelt

Aga mismoodi minu panga emulaator siis vastust signeerib kui mul ei ole privaatvõtit?

[andresv]

Nu kui asi kontseptsiooni testimisest edasi ei jõua, siis kõik ok. Aga kui mõni võtabki sinu koodi ja paneb oma päris lehele ülesse?

[Vermon]

Ma võin sinna muidugi suurelt puust ja punasest kirjutada ka, et "Tegu ei ole pangaga" aga ma ei usu, et keegi tõesti mõtleb, et minu emulaatoril ja päris pangal on mingi otsene seos.

Toon ühe lihtsa kasutusjuhu, et emulaatori mõte välja tuleks paremini: oletame, et mul on veebis iseteenindus kuhu kasutajad logivad sisse panga kaudu või maksavad pangast, mida ma soovin arenduse käigus testida. Pankadel on õnneks olemas testkeskkonnad, mida saab edukalt kasutada aga neil on mõned piirangud:
1) Ma ei saa sisse logida suvalise isikukoodiga/nimega (tahan testida nt kasutajaga kellel on ettemaksu ja kellel ei ole jms.)
2) Ma pean otsima mingisuguseid koode jms. kuigi mul ei ole vaja testida panga kasutust vaid ainult sinna saadetavat ning vastutulevat paketti.

Pangalink.net on väga hea lahendus maksmise jaoks ja kui tulevikus sinna autentimine ka jõuab siis veel parem, aga minu koodi saaks igaüks ise endale paigaldada oma masinasse ja vajadusel sertifikaadid/võtmed oma käe järgi ära muuta. Lisaks veel pole sõltuvust nt. zone serveritest.

[andresv]

[Vermon]

[andris9]

Kodeeringute jaoks vaata seda projekti - https://github.com/ashtuchkin/iconv-lite/ tegu on küll Node.JS mooduliga, aga kuna see on "puhtas" javascriptis, siis ilmselt mõninga pusimisega saaks ka brauseris tööle. Buffer objekte brauseris kahjuks pole, aga neid saab enam-vähem emuleerida massiividega.

Üldiselt peaks olema brauseris võimalik kõiki asju teha, va. peamine deal breaker - POST puudumine. Kahjuks on POST päringuid võimalik kätte saada vaid brauseri extensioni õigustes, kuid mitte "tavalise" javascriptiga.

Mida pead silmas pangalink.net puuduva autentimise all, ma ei saanud sellest päris hästi aru?
Hetkel kasutavad pangalink.net teenust mitmedki suured ja tuntud ettevõtted, nii et vähemalt neid see väline provideri nõue ei sega. Hetkel on refereite järgi kasutajate statistika selline: Nordea emulaatorit kasutab 33 aadressi, Pankade Kaardikeskust 24, üldist emulaatorit 42, Krediidipanka 15, Sampot 34, SEB'd 83, Sedbanki 145, Swedbank Läti 4 ja Swedbank Leedu 2. Kuna kõige rohkem päringuid tuleb localhost domeenilt, siis tõenäoliselt on erinevaid kasutajaid veelgi enam.

Üldiselt saan ma muidugi aru ettevõtte enda kontrolli all oleva testserveri vajadusest, olgu selleks siis brauseris jooksev või pangalink.net laadne serverisse installitav, sest kohati võib tegu olla üsnagi sensitiivse infoga - näiteks tehakse mingit salajast projekti, mille kohta ei taheta infot välja lekitada vmt, aga välise mooduli linkimine annab väga palju infot paraku ära (nii referer url'i kaudu kui ka maksevormi sisu läbi).

[Vermon]

Tänud! Uurin seda projekti.
Autentimise all mõtlesin http://www.nordea.ee/Teenused+ärikliendile/E-lahendused/E-identifitseerimine/1562152.html
Seepärast ise tegingi kuna ei suutnud leida antud funktsionaalsust pangalink.net lehelt

[andris9]

Selge, sain aru - ma ei ole autentimisteenuseid lisanud, kuna keegi pole neid kunagi küsinud, algselt oli muidu plaanis küll.

[Vermon]

Pane kindlasti juurde, tean paari suurfirmat kes tahaks ikka täiskomplekti saada enne kui üldse mõtleks sellise teenuse kasutamise peale.
Ei tohiks raske olla kuna süsteem ju pmselt sama. Kunagi sai LDAPiga isikukoodi järgi nime ka leida

[andris9]