GreaseMonkey скрипт за сайта на ПИБ
Макар да съм голям фен на GreaseMonkey, не бих препоръчала на никой да разрешава на написан от непознат JavaScript код върху сайта за електронно банкиране! Естествено говоря за нашумелия скрипт на любителския сайт e-fibank.org (това НЕ Е сайта на ПИБ!!). Като опре до софтуер, работещ с пари, не бих рискувала в никакъв случай. Аз самата си харесах парчето код от скрипта, което премахва ограничението за максимални 15 транзакции в справката за движения по сметка. Но дори аз сама не бих си позволила да модифицирам сайта на ПИБ. Просто защото не знам какво може да счупя. И ще съм виновна аз. Не искам да давам на банката си възможност да бяга от отговорност ако стане някоя беля!
Не ми допадна и сходността в адресите на любителския сайт за електронното банкиране и самото истинско банкиране – в първия момент се зачудих дали този скрипт не е писан от програмисти в ПИБ! Все пак разликата е само “bg” -> “org”. Това спокойно може дори да се приеме като опит за измама – според мен създателите на сайта рискуват излишно. Най-малкото, домейнът можеше да бъде e-fibank-fans.com например – ясно да се разграничава от истинския.
Нямам какво повече да допълня, освен да насоча вниманието ви към статията : Greasemonkey тук, Greasemonkey там. Аз лично ползвам Firefox постоянно, но за банкирането на ПИБ ползвам само IE – преди години само то се поддържаше. Не знам как е сега банкирането им под Firefox, но понеже имам доста добавки към лисицата, някак не ми харесва идеята да ползвам през него банкирането. А и съм се убедила, че поддръжката за IE си остава фокус за много фирми.
Редакция :
Ето и официално изявление на ПИБ : “Любителски сайт за интерфейса на ПИБ”
Използването на скриптове за е-банкиране не е много удачно. Замисълът на Greasemonkey е да улесни работата с популярни сайтове като yahoo.com и google.com, а не https.
Comment by xotspot — 14/6/2008 @ 12:24 pm
Ще ми се две неща да отбележа – на сайта изрично пише какво представлява съдържанието му. Скриптът е публично достъпен, а авторът му си е застанал зад името. Всяка негова манипулация е наказуема. Фактът е, че скриптът си върши работата и не прави нищо нередно. Другото – и преди година, и преди две, и преди три… и въобще откак ползвам електронно банкиране в ПИБ, системата им работеше с абсолютно всички браузъри. Проблем имаха ОББ, чието банкиране гъмжеше от ActiveX.
Comment by Валери Дачев — 15/6/2008 @ 2:49 pm
@Валери,
когато се опитах да се регистрирам преди няколко години в електронното банкиране на ПИБ, Firefox не се справи със стъпката по създаване на сертификат на моята машина. Ако не се лъжа беше някакъв client-side VBscript, който се изпълняваше само под IE.
Колкото до това, че авторът застава зад делото си – това не прави скрипта му легален. Не знам софтуер със затворен код, който да стимулира reverse engineering-a. А едва ли може да се нарече друго яче това, че променяш заявките до сървъра, а от там и процедурите, които се изпълняват server-side.
Comment by Izida — 15/6/2008 @ 10:26 pm
Има два проблема. Първо ипей може по всяко време да си променят приложението и начина на комуникация със клиента. Второ скриптовете на маймуната са тръстед и нищо не им пречи да ти вземат файла със сертификататите и да го постнат някъде, за IE това не става толкова лесно.
Comment by Ivaylo — 16/6/2008 @ 9:34 am
@Izida: Client-side генерирането на сертификат е проблем доколкото се използва ActiveX компонент, който го прави и наистина е по-удачно това да се прави с Internet Explorer. След това обаче работата с какъвто и да е браузър винаги е била безпроблемна.
Скриптът достъпен на посочения на сайта адрес си е обикновен JavaScript. Нищо затворено няма в него. Не виждам и нищо нередно в съдържанието му… Не виждам и заявките да се подменят, а само отговорите им…
Comment by Валери Дачев — 17/6/2008 @ 7:11 pm
@Валери,
един бърз поглед :
//fix the limited number of results in reports
$( 'select[name=fldnbrrecords]' ).append( $( '' ) ).append( $( '' ) );
Това си е модификация на заявката.
Иначе не ме разбирай погрешно – аз съм си фен на GreaseMonkey и скрипта, признавам си, ме кефи рџ™‚ Просто смятам, че не е редно да го ползваш върху приложение за уеб банкиране. А още по-малко да приканваш и други да го ползват като го пуснеш в Инет…
Comment by Izida — 18/6/2008 @ 9:45 am
Не става съвсем така. Достъпа до ПИБ е през ел.подпис (има ли още чист, сертификатен достъп?). А ел.подпис не можеш да го прочетеш и размножиш с какъвто и да е скрипт. Има технологии, но не са точно софтуерни.
Comment by Дончо — 21/6/2008 @ 12:19 pm
Прав си ако става само с ел.подпис. Аз имам VISA при тях, но я използвам вместо “change”, т.е. доларите в брой ги харча през картата (сметката ми е в $), така че никога не ме е интересувало ел. разплащане, особено пък след като флопито се задръсти само от $400, които така и не ги видях в сметката рџ™‚
Comment by Ivaylo — 21/6/2008 @ 3:46 pm