comdirect

Zargoras · ‎30.01.2018

Endlich mal eine vollwertige App die man auch mit „testen“ darf 😉

Vorweg möchte ich klarstellen, das ich den Schritt zur veröffentlichung mehr als positiv sehe! Und die App wirkt verhältnismäßig auch recht gut.

Auch wenn der Name annehmen lässt die zentrale Anlaufstelle für alle comdirect bezogenen Dinge zu sein, wurde interessanterweise das gesamte UI auf Überweisungen ausgelegt, was in meinen Augen UI Änderungen bei Funktionserweiterungen erzwingt anstelle von Ergänzungen.

Zwei dinge die in meinen Augen Garnicht gehen, erstens, das nach einem Logout das Info Fenster (Automatischer logout nach 3 min.) aktiv weg geklickt werden muss, und nicht wenigstens wie bei anderen apps zusätzlich im Start Screen angezeigt wird. Das sollte jeder Wissen/Erahnen/hinnehmen, das man nicht unbeschränkt eingeloggt bleibt, zugunsten der Sicherheit.

Zweitens, finde ich die Bedienung unintuitiv z.B. Würde ich aufgrund der Animationen erwarten, das ich aus der Überweisungsmaske raus komme indem ich von oben nach unten swipe (siehe Appstore > today> jede beliebige „Story“)

Zudem ist es bedauerlich, das die einzelnen Kontostände so „versteckt“ sind.

Ganz nach eurem Wunsch:

„Denn mit ihrer Hilfe können wir unsere Finanz-App Schritt für Schritt weiterentwickeln.“

Möchte ich hier meine top 5 Wünsche äußern:

Postbox zugriff (diese muss ja eh Grundlegend überarbeitet werden)
Chat funktion (wie bei der Commerzbank wo auch aufträge/Verwaltungssachen freigegeben werden können z.B. möchte ich mein Tagesgeldplus Konto löschen aber im Kontaktformular finde ich nichts entsprechendes)
Karten Verwaltung (also sperren einzelner Funktionen wie z.B. Auslandseinsatz, NFC oder gleich die ganze Karte)
QR-Code Scanner (für Überweisungsträger, habe ich jetzt einmal verwendet und ist sehr komfortabel, kein minutenlanger vergleich ob eine Zahlenfolge im Verwendungszweck korrekt ist, oder ob es bei OCR einen Zahlendreher gab)
Push Benachrichtigungen (auf Wunsch auch mit anzeige des Betrags z.B. Wird beim iPhone x der Inhalt nur bei entsperrten Handy angezeigt, und andere machen es sowieso)

Also alles in allem ein solider Start, und erinnert durchaus an die MoBox App, die Chat Überweisung ist ganz nett gerade für Konten zwischen denen man mal häufiger umbucht, allerdings finde ich es zu unintuitive, mein erster Versuch ist gescheitert hatte einen Betrag unter 25€ umbuchen wollen, hatte erwartet, das es nach absenden des Betrages erledigt sei, vielleicht solltet ihr beim ersten verwenden ein (ich werde diese Aussage sicherlich bereuen) tutorial einblenden.

P.s. bitte nur pro, contra oder ergänzend zu meinen Punkten sein, ein sei doch froh das... bringt keinem etwas 😉

P.P.S. Hat nichts mit der App zu tun, aber für modernes Banking sind neartime/realtime banking essentiell und eben auch Vormerkungen, aber das soll ja dieses Jahr kommen 😉

stkr · ‎05.12.2024

Aber technisch ist es so, dass wir die App ja nicht auf eigenen Server hosten, sondern sie lediglich in den App-Store zu Verfügung stellen. Auf dieser "letzten Mail" haben wir keinen Einfluss mehr auf die technischen Integrität. Daher können wir keinen anderen rechtlichen Passus anbieten. Vor dieser Herausforderung stehen alle Anbieter.

Dem stimme ich nur halb zu.

Ironischerweise ist für APKs nämlich bereits eine technische Maßnahme für genau dieses Problem implementiert: Signaturen

$ apksigner verify --verbose --print-certs comdirect_11.0.0_APKPure.apk
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: OU=Rostock Mobile, O=comdirect bank AG, L=Quickborn, ST=Schleswig-Holstein, C=DE
Signer #1 certificate SHA-256 digest: 4c9ceae29d6d8ee06f37da06085c3f940e15a74a61656d99a452a93ff134e952
Signer #1 certificate SHA-1 digest: 0f3a377f7b48e8c48076568c1c1e2f277a11da70
Signer #1 certificate MD5 digest: 7d963c727f793cd60e2c1b697e235b65
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: c90d2fff9c5906ba7bc3d5f9cb65e43187306090d71f7a043e2b9eb56d2041fb
Signer #1 public key SHA-1 digest: 6884ba2c27156344e2852661a1ac1ae297b26a3f
Signer #1 public key MD5 digest: aa70387e5a1ca55fe84267ed3ae3cc58

Alles, was man seitens comdirect tun müsste, ist, über einen geeigneten, sicheren Kommunikationskanal (z.B. über einen kleinen ausklappbaren Textblock auf https://www.comdirect.de/cms/comdirectapp.html unter den App-Store-Links "für Experten") zu bestätigen, dass die Key-Hashes tatsächlich zu einem comdirect-Entwickler gehören. Dadurch würde man zugleich die Authentizität bestätigen und Benutzern die Möglichkeit (!= Anleitung / Verpflichtung zur Hilfestellung) geben, sich vor manipulierten (älteren) APKs aus alternativen Downloadquellen zu schützen (die Motivation, solche zu nutzen, sei mal dahingestellt). Der Key hat sich seit mindestens einem halben Jahr (= Release der v6.0.0) nicht verändert. Aufwand/Nutzen-Verhältnis könnte also akzeptabel sein.

Das schließt natürlich nicht aus, dass Google als signierende Instanz was anderes paketiert als comdirect in the Play Store hochlädt oder Schadsoftware vor dem Upload in die App gelangt. Während ich bzgl. letzterem auf die Entwicklungsprozesse vertrauen möchte, wäre (zusätzlich) selbst hosten aber auch kein Problem mehr seit dem Digital Markets Act, falls comdirect Google in der Hinsicht nicht vertraut, und für eine Banking-App durchaus angemessen.

Idealerweise wird die App demnächst Open Source, aber bleiben wir mal realistisch. 😉

comdirect

comdirect‘s neue „comdirect“ App