Liebes comdirect Forum-Team,
ich hätte eine Frage bezüglich der OAuth-Zugriffsberechtigungen für die comdirect API und die Sicherheit von Anwendungen, die diese nutzen.
Ist es mittelfristig geplant, einen feingranularen Zugriff für OAuth-Token zu ermöglichen? Konkret meine ich damit, dass das generierte Token nur für bestimmte Aktionen wie beispielsweise das Abfragen von Mitteilungen aus der Postbox verwendet werden kann, ohne die Möglichkeit, andere Aktionen wie das Platzieren von Orders auszuführen. Diese Funktion wäre sehr hilfreich, um sicherzustellen, dass eine Anwendung, die ausschließlich dazu dient, Nachrichten automatisch abzurufen, keine weiteren sensiblen Aktionen ausführen kann.
Aktuell ist mir aufgefallen, dass selbst für harmlose Aktionen eine TAN benötigt wird (2.2 - 2.5 in der PDF Doku). Das führt dazu, dass die Strategie "Solange ich keine TAN eingebe, kann nichts passieren" leider nicht anwendbar ist, da auch für nicht-finanzielle Aktionen eine TAN erforderlich ist.
Mir ist noch aufgefallen, dass die API sowohl den Benutzernamen als auch das Passwort benötigt, zusammen mit Client-ID und Client-Secret. Wären Client-ID und Client-Secret nicht ausreichend? So müsste der Benutzer einer Anwendung (die möglicherweise von einem Dritten erstellt wurde) seine Online-Banking-Anmeldeinformationen preisgeben. Ist die Idee von OAuth nicht eigentlich, dass Benutzername und Passwort nur auf der offiziellen Website von comdirect eingegeben werden und die Anwendung am Ende ein Token mit bestimmten Berechtigungen erhält? Das aktuelle Verfahren widerspricht nach meinem Verständnis diesem Sicherheitskonzept. Oder habe ich hier etwas falsch verstanden?
Viele Grüße
Nick
