Comments 51
Похоже на описание процесса мастурбации в гидрокостюме со связанными сзади руками.
Тоже не понял зачем автор столько времени потратил на решение, которое может пару раз кому - либо за все время нужно будет.
зато целая статья на хабре - без смысла, но с долгим пространным объяснение бесполезных действий... и плюс в карму :-)
Зачем всё это было нужно, написано в начале статьи. Если бы для интересующего меня товара были доступны и сработали другие способы оплаты (тот же qiwi), то использовал бы их. И тогда бы этой статьи не было :-)
интересная у тебя строка поиска )
Типа , заниматься сексом стоя в гамаке на лыжах)))
Но ведь зато как интересно!
Казалось бы очевидная вещь, что браузер и банк-клиент могут быть на одном устройстве, или что банк-клиент может быть в браузере... Но не продумали... Чем думали, спрашивается?
Предложенная методика - это перебор, конечно. Через POST-запрос нельзя код передать?
Целевой клиент банков имеет смарт с безлимитным интернетом.
Тиньков веб версию вообще выхолащивать стал, приоритет за мобильной.
И не только банков, ежурнал в школе подразумевает смарт с инетом с первого класса, потому, что учителям уже лень озвучивать вслух домашку.
Целевой клиент банка имеет деньги. Под остальное банк должен подстроитьтся сам.
Целевой клиент банка не имеет мозга.
Он свободно устанавливает приложение на тот же телефон, на который получает коды подтверждения.
Он спокойно сливает всю свою телефонную книгу со всеми заметками итп какому-нибудь приложению сбера.
Итд итп.
И да, разумеется, такой клиент банку выгоднее.
Он свободно устанавливает приложение на тот же телефон, на который получает коды подтверждения.
А если у таких клиентов это единственное устройство? Что в этом случае использовать как доп. фактор - TOTP, карту одноразовых кодов, биометрию?
> Он спокойно сливает всю свою телефонную книгу со всеми заметками итп
> какому-нибудь приложению сбера.
сбер использует эти данные как-то не по назначению?
А есть какой-то готовый POST запрос?
Во-первых разбор протокол взаимодействия онлайнбанка с веб-сервером может занять достаточно много времени, а во-вторых для этого все равно придется эмулировать камеру, чтобы получить пример успешного запроса.
Было бы интересно посмотреть разбор отправляемых HTTP запросов.
Телефоны у меня хоть и с камерой, но исключительно на j2me, и с банковскими приложениями не совместимы, что поначалу поставило меня в тупик.
Можно написать приложение, которое будет использовать камеру через MMAPI.
Можно. Но это пригодилось бы только в случае, если бы я вдруг решил портировать банковское приложение на j2me :-)
Хотя вот есть энтузиасты, которые сделали сбер-онлайн под symbian https://vk.com/wall-168202266_10117
Не смотрел это приложение, но другие приложения этого автора (клиенты Telegram и Vkontakte) работают не очень безопасным образом. Авторы подняли прокси с более простым (и незащищённым!) протоколом, который открывает безопасное соединение до настоящего сервера. Если и их сбер-онлайн сделан по тому же принципу, пользоваться им небезопасно.
Да, я тоже заметил, что у него proxy упоминается. Но пока не смотрел, зачем это нужно. Возможно в этих симбианах старая версия SSL (но почему нельзя тогда стороннюю реализацию нужной версии TLS поставлять вместе с приложением).
Но как минимум из наличия такого рода приложений можно сделать вывод, что это во-первых технически реализуемо, во-вторых кому-то нужно.
Во-первых, симбиан больше не обновляется, а корневые сертификаты зашиты в ROM.
Во-вторых, ViKa Mobile для J2ME, а там SSL в принципе устаревший (вроде как 2.0 с единственным методом шифрования DES с размером ключа 64 бит), серверы на сегодняшний день такое в принципе не поддерживают.
В J2ME-приложении QIWI использовался сторонний SSL от bouncycastle. Но он весит даже в обфусцированном виде столько, что не на каждом телефоне S40 приложение запустится.
А почему для тех же целей не воспользоваться эмулятором Андроида с мобильным приложением в нем? Там и камеру дают, и возможность сканирования QR у самых разных банков, а не только у избранных
Запуск банковского приложения на эмуляторе - это тоже вариант решения. Но у меня вообще нет опыта работы с эмуляторами Android, поэтому непонятно было, сколько это времени может занять.
Эмулятор может использовать картинку как источник изображения для камеры?
Запуск банковского приложения на эмуляторе может привести к моментальной блокировке личного кабинета онлайн, а для разблокировки прийдётся лично явиться на челобитную с паспортом в ближайшее отделение... по крайне мере в самом "популярном, и любимом" банке дела обстоят именно так.
Ну и ну 8-|
Это касается только эмуляторов в составе SDK? Или всяких Anbox, Android x86, genymotion.com тоже?
Полезная информация. Но, наверное, если ставить в эмулятор не само банковское приложение, а упомянутый тут ниже СБПэй, такой проблемы возникнуть не должно...
Да, эмулятор может использовать файл, как источник изображения для камеры. Ровно таким образом я как раз QR-код на вход и подавал. А по времени да, может получиться неоднозначно: там все тривиально, когда знаешь "какую кнопку нажимать". А не будучи мобильным разработчиком я поперву довольно долго Android Studio настраивал.
Одна из возможных причин — запуск мобильного клиента ВТБ на эмуляторе — к походу в банк по разблокировке УНК.
У меня в мобильном приложении МКБ банка есть оплата по QR и можно подсовывать файл из галереи.
Телефон на j2me, линукс на ПК... не поверю, что у такого зубра, как вы, не нашлось в "заветном ящике" (tm) веб-камеры с usb. :)
Надеюсь, что когда поддержка появится, будет предусмотрен штатный способ подгрузить картинку из файла, либо URL-строки.
Стандарты СБП для разработки предлагают использовать deep link. Т.е. при работе на одном устройстве - переход по ссылке. А ссылку (https://qr.nspk.ru) обрабатывает уже не браузер, а то приложение, которое умеет с ней работать. Банковское ДБО или СБПай
Кроме банковского приложения, оплату можно выполнять в приложении приложение СБПай. Банки обязаны поддерживать технологию СБПай как альтернативу своему ДБО приложению.
Увы. Никто не будет ради 3-4 гиков с нестандартными конфигурациями и железками создавать и поддерживать отдельную ветку ПО. Это никогда не окупится. Ориентируются всегда на массовые варианты.
Так online банк и есть банковское ДБО, т.е. должен уметь работать со ссылкой.
Конфигурация desktop/laptop как раз вполне стандартная, а вот требовать от такого покупателя что-то там фотографировать и ставить на смартфон, это перебор на мой взгляд.
У СБП C2B есть два основных сценария:
Оплата путем сканирования QRC в приложении ДБО банка или в приложении СБПай.
Переход по deep link в приложение ДБО банка или в приложении СБПай.
Собственно и все.
Так online банк и есть банковское ДБО, т.е. должен уметь работать со ссылкой.
Нет такого требования в стандарте СБП (ручное копирование ссылки). Поэтому делать/не делать определяет банк в своей браузерной реализации ДБО.
Похоже, что тут проблема даже не техническая, а скорее маркетинговая.
Есть две разные услуги: перевод по ID (C2C) и оплата по QR (C2B). Первая отлично работает через online банк, вторая - не очень. Но обе называются СБП (так на сайте продавца).
Отсюда путаница.
А вот в online банке оно обозначено именно как оплата по QR.
Есть еще третья. Просто перевод по реквизитам (на обычном счете рисуют QR-код с реквизитами, БИК и прочее, идет совсем не мгновенно). СБП это никто не называет но QR-код такой например на квитанциях за коммуналку обычно есть. И например у ВТБ точка входа при оплате по этому QR и про СБП-вариантах — та же.
А телефон с J2ME - трушный олдскульный? А то современные "звонилки" по начинке от дешёвых смартфонов не отличаются, просто подавляющее большинство функционала у них не торчит наружу.
https://www.gsmarena.com/sony_ericsson_t700-2481.php
А то современные "звонилки" по начинке от дешёвых смартфонов не отличаются, просто подавляющее большинство функционала у них не торчит наружу.
Не пользовался такими. Это хорошо или плохо?
Скажем так, использование реально древнего телефона я понимаю. Использование же современной "звонилки" имеет смысл только для людей, которые физически не могут освоить смартфон (по причине старости, например). Не зря такие "звонилки" называют "бабушкофонами"
В первую очередь меня не устраивают размеры устройств, представленных на рынке.
Есть ли что-то в аналогичных габаритах (104 x 48 x 10 mm плюс-минус 10 mm) и функционалом по приложениям (установка/разработка) не хуже, чем телефон по ссылке?
Большая автономность при вменяемых размерах (нет, есть Oukitel'ы — но все равно живет меньше + ими убить можно). И принципиальная НЕвозможность установки софта. Для получалки SMS-кодов это важно.
Ну правда на Philips Xenium E590 умудрилсь извратится конечно, аппарат ж этого десятилетия даже.
16 Gb макс размер карты памяти (причем больше видит но не работает)
Micro+Mini SIM слоты (а хоть два Micro никак? в Mini поди воткни даже если новая симка получена).
Мало бортовой памяти и при этом нет смски на карте памяти смотреть.
Заявленный в описании и НЕ работающий T9
Есть браузер который смог открыть главую гугла но нет хоть какого то способа синхронизировать контакты кроме как по одному через Bluetooth.
…
…
...
Когда скриншоты делаете, закрывайте фоновые окна. Хорошо там не ключи.
В некоторых мобильных приложениях оплатата через СБП выглядит так - на экран выводится QR, типа фоткай и оплачивай... Но приложения хотят камеру, и даже в зеркале с фронталки не отфоткаешь т.к. надо переключаться на приложение для оплаты, приходится скрин экрана на ПК пекресылать или экран с другой мобилки оплачивать 🤯
В комментариях к статье про ВТБ приложение об этой проблеме упоминали https://habr.com/ru/company/vtb/blog/694260/#comment_24853008
В комментариях выше (https://habr.com/ru/post/705504/#comment_25010454) @mmMike пишет, что deep link должен обрабатываться банковским приложением или SBPay. Т.е. по идее достаточно скриншот экрана распознать в текст ссылки (через отдельное приложение или веб-сайт типа https://qrcodescan.in/ и подобные), потом перейти по ней.
основной недостаток системы сбп - необходимость иметь смартфон с интернетом на стороне покупателя.
в большинстве случаев это не проблема, но иногда критично.
бассейны, пляжи, режимные объекты, сел - сломался телефон , закончился интернет и тд.
Интересно, а на настоящий момент не появилось "нативных" сервисов для оплаты по QR-линкам (типа https://qr.nspk.ru/*) другими способами?
Оплачиваем покупку через СБП без мобильных приложений