The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Работа с web-клиентом альфабанка (ibank) в Linux
Краткое руководство для тех, кому в банке упорно твердят "наша система работает
только под windows".
На примере альфабанка для юридических лиц (с etoken) и Ubuntu 8.04.

Данное руководство подойдет для всех систем на основе ibank и систем, которые используют IAIK для 
"расширенной" связки между JAVA и PKCS11.

Итак, порядок действий.

1. Ставим драйверы etoken
-------------------------

Проблемы если и будут, то только с ними. Если драйверы заработают - все
остальное будет в порядке. Претензии - в Aladdin.

Берем на сайте http://aladdin.ru любую версию, которая больше нравится. 
Возможные проблемы: на самых последних сборках убунты (9.04) драйверы отказались работать. 
Когда выйдут версии под новое ядро - никому не известно. При желании, выкрутиться можно как-то так.

В аладдине проблему подтвердили, но ничем не обрадовали. Поэтому на тестовой
виртуальной машине для чистоты эксперимента использовал Ubuntu 8.04 LTS

(!!!) Перед тем как двигаться дальше, убедитесь, что у вас полностью работает
поддержка eToken от аладдина.
Если PKI Client не показывает содержимого ключа - продолжать нет смысла.

Теперь настраиваем то, чего не хватило альфабанку

Так как цифровые подписи там реализованы при участии Java, то любопытные могут
открыть java-консоль,
включить лог ошибок, и все посмотреть. После каждого шага можно пытаться
залогиниться в "центр сертификации",
и наблюдать за новыми ошибками.


2. Ставим Java
--------------

(!) Обратите внимание, что софт wrapper-а PKCS11, который используется в альфабанке, 
заточен под Java от Sun, поэтому ставить IceTea и прочие альтернативы НЕ НАДО. 
Наверное, можно попробовать пересобрать исходники под другую жабу, но я этого не пробовал.

Java ставится стандартным способом, из репозиториев, комментировать здесь нечего.


3. Ставим wrapper для IAIK (первая часть, pkcs11wrapper)
--------------------------------------------------------

IAIK - это библиотека для доступа к PKCS11 из Java-апплетов.

Любопытные могут прочитать тут (http://ideelabor.ee/opensource/wiki/IdKaardiTarkvara/DigiallkiriVeebisLinuxiga),
хотя файлы там старые (не поддерживают проброс нескольких функций, которые использует альфабанк). 
Свежую версию я скачал на сайте разработчиков http://jce.iaik.tugraz.at/download/ . 

На убунте я скопировал .so-библиотеку в каталог /usr/lib , чтобы при обновлении
java ничего не переставлять.

После этого в консоли пропали ошибки, что врапер не найден, и появилась ошибка,
что не удается инициализировать модуль eTpkcs11.


4. Создаем symlink на модуль pkcs11 для eToken.
-----------------------------------------------

Название модулей eToken различается под Windows и Линукс. Лечится просто.

  идем в каталог /usr/lib
  создаем там ссылку "eTpkcs11" на файл "libeTPkcs11.so" (это симлинк, в том же каталоге)

(!!!) Обратите внимание, что буквы Р в разном регистре. 

Теперь веб-клиент начинает понимать пин-код, и показывает сертификаты. Но при попытке залогиниться 
или авторизоваться, в джава-консоли выдается ошибка, что не найден какой-то метод в классе IAIK.


5. Ставим остатки IAIK (часть 2, java)
--------------------------------------

Берем jar-файл из архива, и копируем туда, где java его будет нормально видеть.
На убунте у меня получился такой путь:

   /usr/lib/jvm/java-6-sun/jre/lib/ext

По идее этого должно быть достаточно, но почему-то у меня в консоли полезли
ошибки вида "Access Denied".

Как временное решение - создал в домашней папке файл .java.policy и написал там

   grant {
      permission java.security.AllPermission;
   };

Вообще такие политики создавать категорически нельзя. Но я совершенно не
разбираюсь в линуксовой Java,
поэтому пока сделал так и пошел искать более опытных товарищей.
Естественно, можно перекрутить все конфигурационные файлы, но мне больше
нравится, когда работают пакеты,
поставленные из репозитория, без изменений. Как только кто-нибудь умный скажет
мне более правильный способ - сразу поменяю.

Все!

Теоретически etoken работает со свободными драйверами OpenCT/OpenSC, и
проприетарщину можно было бы выкинуть, но есть 2 проблемы:

1. У них другой формат хранения данных. Точнее, это драйверы aladdin не
соответствуют спецификации PKCS15 (хранение сертификатов).
На страничке разработчиков OpenCT написано, что Aladdin появился на рынке до
того, как возник стандарт PKCS15,
поэтому к проблеме надо относиться с пониманием. Правильный метод - записать
сертификат в ключ средствами OpenCT/OpenSC.

2. Альфабанк соглашается работать только с etoken. Получить сертификат в чистом виде, 
чтобы самостоятельно записать в ключ, у них нельзя. Они еще для полного счастья делают жесткую 
привязку серийного номера ключа к логину.

Поэтому в данном конкретном случае остается использовать проприетарные драйверы.
 
24.04.2009 , Автор: Vitaly , Источник: http://forum.rcdesign.ru/blogs/349/...
Ключи: bank, linux, ubuntu, java, crypt, cert / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, pavlinux (ok), 23:18, 23/04/2009 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    1. Я Послал Альфа-Банк на куй, после того как они автоматом, без моего разрешения,
    сняли бабло с ВАЛЮТНОГО счёта, в счёт оплаты ежегодного обслуживания РУБЛЁВОГО счёта.

    А если бы хранил в безналичном золоте, что блин 2 грамма отрезали бы ... уроды

    Юзайте ВТБ24, Промсвязьбанк, Росбанк, Уралсиб...

     
     
  • 2.8, id (?), 07:45, 24/04/2009 [^] [ответить]    [к модератору]
  • +/
    ты забыл уточнить за какой год должок то был а то злостных не платителей любят не везде
     
     
  • 3.17, pavlinux (ok), 17:55, 24/04/2009 [^] [ответить]    [к модератору]
  • +/
    За тякущий, и крядитов там не было!

    Да и если бы были, спрашивать надо,  "- хочу ли я обменять по курсу, или мы любезно подождём недельку..."

     
  • 2.12, щ (??), 09:42, 24/04/2009 [^] [ответить]    [к модератору]
  • +/
    В росбанке вирусы в банкоматах.
    ВТБ наебало на ипо да плюс они сообщили, что их
    карты не везде за кардоном принимают.

    Сам я клиент ВТБ и Сбера.

     
     
  • 3.35, ggg (??), 11:22, 29/04/2009 [^] [ответить]    [к модератору]
  • +/
    что есть "ипо"?
     
  • 2.36, нео (?), 11:48, 29/04/2009 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за инфу, такого хамства и невежества со стороны альфы не ожидал. Все таки не зря я избегаю иметь с ними дела!
     
  • 1.2, User294 (??), 23:25, 23/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да, эпический однако трах.Где там цыркач iZEN рассказывающий про то как круто когда используется жава?А я вот пользуюсь ситибанком, их онлайн банк - обычный html+js поверх HTTPS.И геморроя с ними ровно ноль - лишь бы браузер нормальный был в системе, а что за система дело десятое.Поэтому попользоваться онлайн-сервисом ситибанка из большей части систем можно сразу после установки ОС.Вот так это и должно работать.Может сити и не идеальный банк, но приятно когда смотришь на такой трах и радуешься: "как хорошо что этот геморрой на ровном месте - не у меня".В гробу я видел счастье перекомпилировать жава-хрень, ставить какие-то там горбатые дрова токенов от алладина и особо-хитрожопый вариант PKCS-что-то-там :)
     
     
  • 2.3, iZEN (ok), 00:25, 24/04/2009 [^] [ответить]    [к модератору]  
  • +/
    Акстись.
    Некоторые банки работают только c web-клиентом через IE6.

    Мне что, из-за этого ставить FreeBSD i386 и WINE (а потом IE6 из MSI накатывать)? Или покупать лицензионную Windows XP?
    Спасибо -- не надо.
    Уж лучше пусть будет Java -- она везде одинаковая.

     
     
  • 3.4, User294 (??), 01:03, 24/04/2009 [^] [ответить]     [к модератору]  
  • +/
    Не лишняя мысль прикинув что может перепасть вот такая вот порция траха на ровн... весь текст скрыт [показать]
     
     
  • 4.9, iZEN (ok), 08:37, 24/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Тем более - у корпоративщиков например зачастую удавлено
    >все кроме HTTP и SSL на порт 443.В данном случае -
    >если клиент юзает HTTP(S) - так имхо нефиг вы%$ываться, пусть юзают
    >нормальный веб-интерфейс и не трахают мозги юзерам.В остальных случаях - а
    >что, бизнес-клиентам предлагается пососать болт?Вот это мне не понятно :)

    Java ходит и на HTTPS и через SSL.

    >Да, из приведенных советов это особенно заметно.

    Потому что в Ubuntu опять забыли положить очередной микропакетитик? :))
    Вон, в Debian на это мастера -- делить целостную платформу Java на отдельные составляющие и предлагать каждую часть ставить "по желанию" == "рекомендуемые зависимости". Работая с Debian/Ubuntu не знаешь точно, что  в их сборке Sun Java есть, а чего нету.

    >Когда никакие альтернативные варианты жавы не
    >катят.А если сан (или кто там еще) под энную платформу свою
    >жаву не собрал - то что предлагается?Сосать болт?А чем это лучше
    >IE6 и MSI?

    А если Web-клиент только под IE6 и специфику евонного движка JS заточен, и, не приведи бох, использует ActiveX-компоненты, тогда что? )!(опа?

     
     
  • 5.21, Vitaly (??), 01:37, 25/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Потому что в Ubuntu опять забыли положить очередной микропакетитик? :))
    >Вон, в Debian на это мастера -- делить целостную платформу Java на
    >отдельные составляющие и предлагать каждую часть ставить "по желанию" == "рекомендуемые
    >зависимости". Работая с Debian/Ubuntu не знаешь точно, что  в их
    >сборке Sun Java есть, а чего нету.

    Вы путаете. IAIK не входит в состав жабы. Это отдельный фреймворк. В жабе есть встроенный провайдер PKCS11 от сана, но он очень базовый и не позволяет задействовать все возможности. Поэтому для всяких там хитровыпуклых подписываний часто используют IAIK.

    Вроде бы во фряхе этот враппер есть в портах, а в других дистрибутивах нема. Видимо, еще никого сильно не припекало.

     
  • 5.22, User294 (ok), 17:52, 25/04/2009 [^] [ответить]     [к модератору]  
  • +/
    Вот только если уж HTTPS пользоваться - жаба становится излишня Как минимум со с... весь текст скрыт [показать]
     
  • 3.11, devcoder (ok), 09:07, 24/04/2009 [^] [ответить]    [к модератору]  
  • +/
    > Некоторые банки работают только c web-клиентом через IE6.

    Точно. Вот, например, faktura.ru . Куча банков её софт используют.
    Одно из обяз. требований - использование самой безопасной программы в мире,
    редкой гадости с названием IE.
    И только IE, т.е. без альтернатив.

     
  • 2.10, Аноним (-), 09:00, 24/04/2009 [^] [ответить]     [к модератору]  
  • +/
    Вы путаете интернет-банк удаленный доступ к управлению счетами через WWW и бан... весь текст скрыт [показать]
     
     
  • 3.14, И анон (?), 14:11, 24/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >У того же "Сбербанка", несмотря на обещания, интернет-банка для физ. лиц так
    >и нет.
    >Более того, введенные ими в прошлом году OTP (одноразовые пароли) для "3D
    >secure", без которых во многих местах (сайты с поддержкой "3D Secure")
    >не совершить транзакцию, ни в одном банкомате Мурманской области (площадь которой
    >больше многих государств Европы), Ленинградской области (тоже не маленькая), согласно сайту,
    > не выдаются.

    По этой причине использую банк "Возрождение" с их проектом VISA Virtuon.
    В Сбербанке что-то будет, но пока ничего не понятно, как именно они хотят обслуживать физических лиц.

     
     
  • 4.23, Аноним (-), 17:56, 25/04/2009 [^] [ответить]     [к модератору]  
  • +/
    О нет, спасибо Пользовал Их интернет-банк - это самописная страница с возмож... весь текст скрыт [показать]
     
  • 3.20, Vitaly (??), 01:29, 25/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Вы путаете интернет-банк (удаленный доступ к управлению счетами через WWW) и банк-клиент
    >(стационарное приложение).
    >Интернет-банк в "Альфа-Банке" зовется "Альфа-Клик" и чудесно работает в любом браузере с
    >поддержкой SSL и JS. Я им только из Linux/Firefox и пользуюсь,
    >иногда - с мобильного телефона.
    >

    У альфа-банка уже нет стационарного приложения. Альфа-Клик - для физиков, Ibank - для юриков. Я писал исключительно о втором, первый у меня и так работает без бубнов.

     
  • 3.24, User294 (ok), 20:20, 25/04/2009 [^] [ответить]     [к модератору]  
  • +/
    Я путаю Простите, и то и другое в конечном итоге занимается одним и тем же проп... весь текст скрыт [показать]
     
     
  • 4.32, _umka_ (??), 20:06, 28/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    >
    >И даже работает? :)
    >
    >>У того же "Сбербанка", несмотря на обещания, интернет-банка для физ. лиц так
    >>и нет.
    >
    >Хаха, что вы хотите то от совкового банка?Совок же - все для
    >НЕудобства клиента :).Так, по опыту общения с этим банком.Нынче я могу
    >себе позволить пользоваться более приличными банками к счастью.Мне в сбере ни-че-го
    >не нужно и моя жизнь без них стала намного проще :)

    Совок в первую очередь в ващей голове.

    >
    >>транзакции с PayPal для Visa Classic и выше - якобы, "для
    >>безопасности". Сколько об этом было сказано, написано, но...
    >
    >Сити в подобных случаях просто звонят на контактный телефон и просят подтвердить
    >транзакцию.Несколько геморнее и дольше зато кардерам приятный такой подарок :)

    Угу.. находясь в штатах выполнив транзакцию - они перезвонят и посадят вас на бабки.. учитывая что роуминг не дешевое удовольствие, или откажут в транзакции на основании того что абонент не доступен.
    Вот это уже точно нафик с пляжа - ПриватБанк таким баловался, после того как на таких звонках осталось около 500 баксов, счета были переведены в более вменяемый банк.


     
     
  • 5.33, User294 (??), 20:29, 28/04/2009 [^] [ответить]     [к модератору]  
  • +/
    Когда нет внятных аргументов - остаются наезды на оппонента Так это боян, данная... весь текст скрыт [показать]
     
  • 1.5, Глобалист (?), 06:08, 24/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А вы еще вспомните про сбербанк...
    Там надо ставить параноидальную программу, которую заставить работать даже под wine нет никакой возможности.
     
     
  • 2.6, User294 (??), 06:18, 24/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >А вы еще вспомните про сбербанк...

    Вы еще вспомните про хамоватых операторов смотрящих свысока на посетителей и иной раз аж орущих на клиентов, очереди из старых клюшек и т.п. прелести.Ну а в современном мире - они понаставили банкоматов, ага.Самых плохо обслуживаемых из всех.Угадайте у какого банка больше всего повисших банкоматов и банкоматов у которых отлипла сеть?Правильно - трупики - зеленые, с характерным таким круглым лого :)

    Совок он и в африке совок.Наивно ожидать что совковый уровень сервиса не доберется и до его вебсайта.Хотя впрочем какой там вебсайт, просто порно-программа какая-то.

     
  • 1.7, Alexander (??), 07:38, 24/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кстати о конкурентах, тут вроде прозвучало название Росбанка?

    Так вот, их услуга "Интернет Банк" для физ.лиц (вход осуществляется у них на сайте) тоже может работать под линуксом после некоторых танцев:

    1) jre нужно установить обязательно sun'овское, с открытым есть проблемы;

    2) нужно сгеренировать локаль ru_RU.CP1251 запускать бразуер как LANG=ru_RU.CP1251 firefox &
    (если системная локаль UTF8, то не будут приниматься коды АСП, при KOI8-R коды приниматься будут и операции пройдут, но назначение платежа в формируемых платежках будет нечитаемым).

     
  • 1.13, sionus (?), 13:02, 24/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я так понимаю вы говорите про российский вариант ibank
    Я писал его украинскую версию, насколько я знаю они стали различаться не так давно.
    Так вот украинская версия тестируется и под линуксом. Не так тщательно как для винды но вполне работоспособна.
     
     
  • 2.18, Vitaly (??), 01:15, 25/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Я так понимаю вы говорите про российский вариант ibank

    Видимо да. К сожалению, не разбираюсь в разновидностях. Давайте я вам лучше пальцем покажу: https://ibank.alfabank.ru/

    >Я писал его украинскую версию, насколько я знаю они стали различаться не
    >так давно.
    >Так вот украинская версия тестируется и под линуксом. Не так тщательно как
    >для винды но вполне работоспособна.

    Приятно слышать хорошие новости от разработчиков подобных систем.

    В самой платформе ibank проблем нет. Проблема - в суппорте альфабанка и отсутствии внятной документации. Ну что людям стоило слепить deb/rpm пакеты IAIK и написать хотя бы неофициальную инструкцию, пусть и без поддержки?

    А так я как дурак 12 часов мудился с консолью java-консолью браузера и гуглом, разбираясь в ошибках.

    В общем, у "монополистов" свои причуды. Постарался что можно исправить собственными силами и поделиться с общественностью. Если кто-нибудь найдет силы забацать в репозитории пакеты враппера IAIK для PKCS11 - буду очень бесконечно признателен.

     
  • 2.37, Аноним (-), 12:15, 07/05/2009 [^] [ответить]    [к модератору]  
  • +/
    и не стыдно за такую работу ?
    специально приходится идти к компу с виндой чтоб подписать документы.
    позор.
     
  • 1.16, pavlinux (ok), 17:54, 24/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Промсвязьбанк - работаем под lynx - https://retail.payment.ru/Online/Title/Login.aspx
     
     
  • 2.19, cognize (?), 01:22, 25/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Промсвязьбанк - работаем под lynx - https://retail.payment.ru/Online/Title/Login.aspx

    Сочувтсвую Вашим сотрудникам -)

     
     
  • 3.26, Valery (??), 10:44, 26/04/2009 [^] [ответить]    [к модератору]  
  • +/
    Человек, по всей видимости, хотел сказать "даже под lynx" :)
    А на самом деле клиенты Промсвязьбанка, что юрики, что физики могут работать и работают из-под любого браузера и любой платформы. Лишь бы sun-java была установлена.
     
  • 2.30, User294 (??), 22:24, 27/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >Промсвязьбанк - работаем под lynx - https://retail.payment.ru/Online/Title/Login.aspx

    А aspx - это у вас что?:) На lynx не очень похоже.Больше похоже на микрософтовское добрецо.Доверять бабло банку который сайт на винде держит?Спасиб, я уже всякого добра из виндов повычищал и насмотрелся на то как виндовые конторы содержат интранеты.Чтоб я в такие деньги понес?Нюню :)

     
  • 1.25, Андрей (??), 21:39, 25/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    binbank с нормальным java клиентом. официально работает под Linux (и неофициально тоже :) )
     
  • 1.27, oleg (??), 12:00, 26/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вроде же есть доступ через любой браузер https://click.alfabank.ru/ ? для чего эта программа нужна?
     
     
  • 2.28, Vitaly (??), 21:03, 27/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >вроде же есть доступ через любой браузер https://click.alfabank.ru/ ? для чего эта
    >программа нужна?

    Это для физиков. Для юрлиц там совсем другой клиент, https://ibank.alfabank.ru

     
  • 1.29, butsan (?), 21:38, 27/04/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У Алладина не очень актуальные драйвера. Месяца 3 назад пытался завести токен под Убунту 8.10, но драйвера на тот момент были только для 8.04
     
     
  • 2.34, Vitaly (??), 22:07, 28/04/2009 [^] [ответить]    [к модератору]  
  • +/
    >У Алладина не очень актуальные драйвера. Месяца 3 назад пытался завести токен
    >под Убунту 8.10, но драйвера на тот момент были только для
    >8.04

    http://forum.rcdesign.ru/blogs/349/blog6457.html

    Работают. Но нужен напильник. В оригинале статьи есть ссылка прямо в тексте. Здесь, когда перерабали, она потерялась.

     
  • 1.31, Аноним (-), 18:12, 28/04/2009 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Говорю исключительно с позиции юриков В Приморье с этим очень плохо, ни один ба... весь текст скрыт [показать]
     
     
  • 2.38, Андрей (??), 19:47, 20/05/2009 [^] [ответить]    [к модератору]  
  • +/
    >Минусы
    >Сбербанк - редкое убожество, даже под виндой. очень паранаидальное, при изменении аппаратной
    >конфигурации не работает, периодически файл журнала платежек повреждается, с виртуальными дискетами
    >с ключами не работает, через Радмин виснет. Про линукс даже не

    ^^^^^^ работает :)
    >заикаюсь, радуюсь что хотя бы под виндой работает. Из УСБ торчит
    >мутотень с логотипом сбера. Сбербанк вообще чокнутые параноики.
    >
    >ВТБ - Виндовое приложение, работает с базой в формате mdb. Просто убожество,
    >юзабилити нулевой. Под вайном работать отказался.

    Подтверждаю. :)

    >Плюсы
    >ВТБ - Переустанавливать одно удовольствие - быстро и без гемора.

    ^^^ А Криптпро обновить пробовали? :S (была необходимость).

    >Росбанк - Так как работает через ie, его вообще переустанавливать не надо,
    >просто подсунуть папку с ключами. Очень удобно.

    ^^^^^^ВТБ24 примерно так же.

     
  • 1.39, ононим (?), 17:10, 07/06/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Авангард сделал интернет-банк, работающий под любым современным браузером. требует наличия JRE.

    Работаю с ним через firefox+linux. Юридическое лицо.

    PS: новый интернет-банк пришел на место старой подделки на делфи под винду.

     
  • 1.40, Ltybc (?), 20:53, 06/08/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Привет. Я полностью согласен об АНТИКЛИЕНТСКОЙ политики этих служащих. Просто хочется объединить таких людей на одном сайте antialfa.ru и там рассказывать о таких косяках более адресно.

    Всем кому не нравится обслуживание в альфе. Всем кого обидели иил кого разозлили пишите сюда prourodov [@] antialfa.ru

    устроим антирейтинг офисов и сотрудников и другого

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor