Наша взаимовыгодная связь https://banwar.org/
Інтернет-банкінг для багатьох українських користувачів - вже скоріше справа звички, ніж новаторська послуга банку. Куди простіше оплатити комуналку або оформити платіж за пару кліків, ніж стояти чергу. Правда, іноді банки попереджають, що краще б користувачеві відкривати клієнт в одному браузері, а не в іншому, або взагалі зводять вибір до єдиного варіанту. Редакція AIN.UA розібралася, звідки в українському інтернет-банкінгу взялося обмеження по браузерам і чи буде воно існувати вічно.
Хто винен
Це, на перший погляд, дивне обмеження не пов'язано з технічними особливостями роботи онлайн-банкінгу якогось одного банку. Банківський софт зав'язаний на технологіях, яким потрібна підтримка плагінів NPAPI (API, яке вперше було реалізовано ще для браузера Netscape Navigator в 90-х роках), зокрема, плагінів Java.
Нові версії популярних браузерів відмовляються від підтримки таких плагінів з міркувань безпеки. Наприклад, 52-я версія Firefox, яка вийшла в цьому березні, більше не підтримує NPAPI-плагіни, в тому числі - Silverlight, Java, Acrobat. Інші браузери, на кшталт Chrome, припинили цю підтримку ще раніше.
З цими обмеженнями доводиться стикатися не фізособам-користувачам інтернет-банкінгу, а ФОП і юрособам.
Наприклад, щоб оформити банківську електронний підпис в «ПриватБанку», потрібно качати програму, спеціально розроблену банком - CryptoPlugin. Його запустили ще в 2015 році, для вирішення «частих проблем з підтримкою браузерами аплетів Java». Правда, в банку обіцяють, що скоро софт клієнт-банку оновиться, щоб з ЕЦП можна було працювати без установки плагінів, а криптографія буде реалізована на JavaScript.
Інший приклад: інтернет-банкінг «ОТП Банк» для користувачів працює у всіх браузерах. Але корпоративна версія недавно розіслала клієнтам попередження про те, що після оновлення Firefox до 52-ї версії єдиним браузером, в якому клієнт-банк буде працювати коректно, залишиться Internet Explorer версії 9 і вище.
У самому банку підтверджують, що це пояснюється припиненням підтримки NPAPI. «Під час підписання документів важливе дотримання цілісності процесу перевірки і накладення ЕЦП на документи. Цим обумовлено використання Java-аплетів в веб-версії системи клієнт-банк. У браузерах, які не підтримують NPAPI-плагіни, використання ЕЦП неможливо », - пояснили в прес-службі банку. Якщо ж клієнт не хоче переходити на IE, йому рекомендують використовувати portable-збірку Firefox або відкотитися до більш ранньої версії. У банку говорять, що вже є домовленості розробника з виробниками бібліотек шифруванні про надання технології роботи з сертифікатами без використання Java-плагінів.
В інших банках ситуація схожа. За словами Юрія Симоненко, заступник директора департаменту електронного бізнесу ПАТ «Кредобанк», система для юросіб залежить від Java-аплетів, а на сьогодні їх підтримують тільки Internet Explorer 9 і Firefox до 51-ї версії включно (користувачеві рекомендується вимкнути автоматичне оновлення браузера). «Укрсоцбанк» навіть завів онлайн-таблицю по браузерам, варіант для юросіб - нижче.
Інтернет-сервіс для фізосіб «Альфа-Банку» працює з усіма браузерами, але в сервісі для юросіб, якщо мова про підтвердження ЕЦП, гарантується робота тільки в IE і Safari. У самому банку заявляють, що працюють над вирішенням цієї проблеми. «В даний час всі активні учасники банківського ринку здивовані цим питанням», - повідомили редакції в прес-службі банку.
Що робити?
Ні Java, ні браузери, в цій проблемі не винні, вважає Павло Сиделев, CTO SDK.Finance: це особливість життєвого циклу банківського ПЗ. Експерт наводить приклад: припустимо, 10 років тому банк вирішив, що йому потрібен інтернет-банкінг. Його можна купити як готове рішення, або ж написати самостійно. Якщо купувати готове у постачальника - будь-яка зміна в продукті означає для банку додаткові витрати.
«Один рік для програмного продукту - чималий вік, 10 років - це ціла епоха», - каже Сиделев. Згодом навіть сам Oracle, власник технології Java перестала підтримувати Java-аплети, про що і попередила клієнтів.
Якщо 10 років тому Java-аплети добре вирішували завдання «завантажити потрібний софт в браузер клієнта, не змушуючи його ставити окремий клієнт». Але з часом виявлялися критичні уразливості в самій Java Applet, ними зацікавилися хакери. Після ряду зломів браузери почали згортати підтримку Java Applet, а потім відключили її.
«З кожним роком для банку підтримка застарілих технологій стає дорожче, як і міграція на іншу технологію. Попередні рішення відмовляються підтримувати самі виробники браузерів, вартість поновлення варто «поганих» грошей, на власну розробку чи ні грошей, або команди, яка впорається із завданням. Банківські ПО - це непросто », - каже Сиделев.
Іншими словами, проблема з сумісністю - це проблема легаси-коду (застарілий код або ж код від сторонніх розробників, зі старих версій).
З цим згоден і Дмитро Дубілет, колишній IT-директор «ПриватБанку»: «Це все - Легасі. Щоб від нього позбавлятися, треба, по-перше, мати пристрасне бажання, по-друге, компетенцію, по-третє, бюджети ... Писати під браузери модулі роботи з ЕЦП - не так просто. По-перше, біда з кросбраузерну. По-друге, багато аспектів, пов'язаних з безпекою. Адже в браузери користувачі можуть додавати «ліві» плагіни ». За його словами, той же CryptoPlugin свого часу став компромісом між безпекою та зручністю.
Що банки можуть зробити? На думку Сиделева, можна реалізувати middleware - середній шар ПО, яке дозволяє приєднати до back-end-частини банківського софта будь-який графічний інтерфейс, що працює на всіх платформах. Це вимагає вкладень, але не таких, як оновлення всієї інфраструктури банку. «На даний момент розробникам доступна маса нових фреймворків, які дозволять вирішити цю задачу малою кров'ю», - говорить він. Ціна питання починається від $ 20 000 і вище. За часом - реально вкластися в 3-6 місяців для того, щоб видати назовні API, до яких можна «прикрутити» будь-який модний UI-движок.
Замість висновків згадаємо невелику історію. У Північному Техасі живе 75-річний Білл Хіншоу, дідусь 36 онуків і правнуків. Він - експерт в COBOL, і заснував цілу фірму, яка заробляє, допомагаючи банкам у випадках, якщо потрібно пофиксить софт, що залежить від цього древнього мови. Для кого-то легаси-код у фінансовій сфері - проблема, а для кого-то - можливості.
Ольга Карпенко
Що робити?Що банки можуть зробити?
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
