Thema "Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung" in Website & Apps

Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

_Nick_ — Wed, 06 Mar 2024 23:11:00 GMT

Liebes comdirect Forum-Team,

ich hätte eine Frage bezüglich der OAuth-Zugriffsberechtigungen für die comdirect API und die Sicherheit von Anwendungen, die diese nutzen.

Ist es mittelfristig geplant, einen feingranularen Zugriff für OAuth-Token zu ermöglichen? Konkret meine ich damit, dass das generierte Token nur für bestimmte Aktionen wie beispielsweise das Abfragen von Mitteilungen aus der Postbox verwendet werden kann, ohne die Möglichkeit, andere Aktionen wie das Platzieren von Orders auszuführen. Diese Funktion wäre sehr hilfreich, um sicherzustellen, dass eine Anwendung, die ausschließlich dazu dient, Nachrichten automatisch abzurufen, keine weiteren sensiblen Aktionen ausführen kann.

Aktuell ist mir aufgefallen, dass selbst für harmlose Aktionen eine TAN benötigt wird (2.2 - 2.5 in der PDF Doku). Das führt dazu, dass die Strategie "Solange ich keine TAN eingebe, kann nichts passieren" leider nicht anwendbar ist, da auch für nicht-finanzielle Aktionen eine TAN erforderlich ist.

Mir ist noch aufgefallen, dass die API sowohl den Benutzernamen als auch das Passwort benötigt, zusammen mit Client-ID und Client-Secret. Wären Client-ID und Client-Secret nicht ausreichend? So müsste der Benutzer einer Anwendung (die möglicherweise von einem Dritten erstellt wurde) seine Online-Banking-Anmeldeinformationen preisgeben. Ist die Idee von OAuth nicht eigentlich, dass Benutzername und Passwort nur auf der offiziellen Website von comdirect eingegeben werden und die Anwendung am Ende ein Token mit bestimmten Berechtigungen erhält? Das aktuelle Verfahren widerspricht nach meinem Verständnis diesem Sicherheitskonzept. Oder habe ich hier etwas falsch verstanden?

Viele Grüße

Nick

Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

Thorsten_ — Thu, 07 Mar 2024 11:51:03 GMT

@_Nick_ schrieb:
Liebes comdirect Forum-Team,
...

Dass die Kollegen es mitbekommen, rufen wir sie mal herbei: @SMTcomdirect

Re: Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

SMT_Chris — Thu, 07 Mar 2024 11:58:11 GMT

Hallo @_Nick_

simsalabim, und da bin ich auch schon. Ich habe deine Frage mal an die spezialisierten Kollegen weitergeleitet. Sobald ich eine Info bekommen, gebt ich sie an dich weiter.

Viele Grüße

Christoph

Re: Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

SMT_Chris — Fri, 08 Mar 2024 09:33:28 GMT

Hallo @_Nick_

und hier die Anwtorten auf deine Fragen:

Der O-Auth-Token beinhaltet bereits einen Satz an Scopes, welcher den Zugriff auf Bereiche der API gewährt. Dieser soll in Zukunft nicht reduziert werden.

Die Eingabe der TAN zum Start der Session erleichtert dem User die Aufrufe der APIs während der Session. Ursprünglich war die REST API für das Brokerage vorgesehen, weitere UseCases wurde später ergänzt. Aber selbst der Abruf der Postbox erfordert im Web und in der API die TAN-Eingabe.

Die O-Auth-Anmeldung erfordert Client-ID und Client-Secret sowie Zugangsnummer und PIN. Es dürfen niemals Anwendungen von Dritten verwendet werden, in die man sein Entwicklerzugangsdaten eintragen muss.

Wenn unsere Partner (z.B. stock3) aus ihren Anwendungen heraus für einen Kunden eine Verbindung per OAuth zur comdirect öffnen, wird eine Login-Seite der comdirect aufgerufen, in die Kunden ihre Zugangsnummer und PIN eintragen. Diese Partner sind bei uns registriert und haben eine URL hinterlegt, an die wir den temporären Zugangstoken für diese Kundenverbindung zurücksenden, so dass unsere Kunden in der Partneranwendung auf ihre Daten zugreifen können.

Dieses Verfahren wird beim Entwicklerzugang nicht eingesetzt.

Mit diesen unterschiedlichen Verfahren halten wir uns an die entsprechenden Sicherheitskonzepte.

Ich hoffe, damit konnten wir alle deine Fragen beantworten.

Viele Grüße

Christoph

Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

andym0815 — Fri, 06 Mar 2026 20:32:06 GMT

Guten Abend zusammen,

ich hätte gerne der API nur Zugriff auf ein Musterdepot gegeben um verschiedene Strategien zu testen.

Ist das möglich?

Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

dg2210 — Sat, 07 Mar 2026 12:50:53 GMT

@andym0815 schrieb:
Guten Abend zusammen,

ich hätte gerne der API nur Zugriff auf ein Musterdepot gegeben um verschiedene Strategien zu testen.

Ist das möglich?

Ist das sinnvoll? Das Musterdepot ist ganz ohne Authorisierungsaufwand 'offen' erreichbar.

Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

andym0815 — Sat, 07 Mar 2026 18:55:59 GMT

Bist du dir da sicher? Ohne Login kann ich kein Musterdepot anlegen und irgendwohin muss der die Daten des Depots ja speichern..

Betreff: Feingranularität von OAuth-Zugriff und Sicherheit bei der Anwendung

dg2210 — Sat, 07 Mar 2026 20:59:12 GMT