Integration von Widgets unter iOS 14

Hey! Ich w√ľrde es sehr begr√ľ√üen, wenn Tomorrow die neuen Widgets unter iOS 14 nutzt. Man k√∂nnte ein kleines Widget einblenden, welches den Kontostand anzeigt und ein gr√∂√üeres, welches zus√§tzlich die letzten Abbuchungen anzeigt.

5 Like

geht sowas √ľberhaupt? oder muss da nicht immer das gesicht gescannt werden bzw. der finger abdruck

Klar geht das. Man k√∂nnte zum Beispiel die Widgets per Setting in der App aktivieren und dort darauf hinweisen, dass dadurch der Kontostand wenn man das Widget hinzuf√ľgt auf dem Home Bildschirm sichtbar ist. Das Widget muss man ja nicht verwenden, wenn man es nicht will, jedoch finde ich es super f√ľr Leute wie mich, die es verwenden wollen w√ľrden.

Das wird so vermutlich nicht funktionieren. Nicht umsonst sperrt die App einen nach 2 Min. oder so wieder aus und man muss sich erneut √ľber Passwort oder Touch/Face ID authentifizieren. Ein Widget wird vermutlich ein ‚ÄěDauerhaft eingeloggt‚Äú brauchen, damit es die Daten abgreifen und aktuell halten kann. Die Hintergrundaktualisierung von Apps wird da nicht ausreichen.

2 Like

Bei N26 funktioniert das Widget einwandfrei.

5 Like

Bei anderen Banken auch. Ich glaube, f√ľr die reine Anzeige gelten andere Regeln als f√ľr die Interaktion mit dem Konto.

1 Like

Meines Wissens ist die Darstellung auch abhängig davon, ob das iPhone entsperrt ist oder nicht. Ggf. zeigen Widgets keine Infos, wenn das Telefon ohne Sperrcode konfiguriert ist?

Wie die Interaktion mit dem Konto ist entscheidet letztendlich der Entwickler einer App. FaceID wird abgefragt, weil die Entwickler bei Tomorrow es beim √∂ffnen der App so programmiert haben. Ich kann beispielsweise auch eine iPhone App entwickeln, die deine FaceID abfragt, sobald du einen Button anklickst. Wenn der Scan erfolgreich ist w√ľrde man dann wo anders hingebracht werden, als wenn der Scan fehlschl√§gt.
Das integrieren von solchen Widgets stellt also technisch gesehen kein Problem dar und muss nur programmiertechnisch so umgesetzt werden.

Die PSD2 verlangt einen zweiten Faktor beim Kontozugriff, ein Widget mit Kontostandsanzeige könnte unter die 90 Tage Ausnahme fallen.

Genau das meinte ich mit anderen Regeln, danke f√ľrs pr√§zisere beschreiben :slight_smile:

Durch die Ger√§tebindung wird das aber fast unsichtbar. ein Widget w√ľrde funktionieren k√∂nnen, solange jemand die App 1 x in 90 Tagen √∂ffnet.

Die 90 Tage Frist der PSD2 muss hier aber nicht angewendet werden. Diese gibt nur f√ľr Drittanbieter. Wenn Tomorrow es in seine App integriert, hat es nichts mit dieser Drittanbieter Regel zutun.

Es hängt davon ab wie Tomorrow die Zugangsdaten abgelegt hat.

Findet bei jeder √Ėffnung der App ein Login mit EMail + Passwort statt, dann wird Tomorrow die Zugangsdaten im Secure Element vom iPhone gespeichert haben und durch Face ID werden die Daten freigegeben. Die App hat also keine Session persistent gespeichert. Dann kann ein Widget nat√ľrlich nicht √ľber die API den Kontostand abfragen. Werden die Zugangsdaten oder eine Session persistent in der App gespeichert und Face ID Wird nur genutzt um die App zu sch√ľtzen, dann kann auch ein Widget im Hintergrund Daten laden, da die notwendigen Zugangsdaten f√ľr die API der App ohne Fave ID zur Verf√ľgung steht.

Das stimmt so meines Wissens nicht.

Zugriff auf das Online-Konto: Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber f√ľr das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Ums√§tze der letzten 90 Tage ansehen will. Damit der m√∂gliche Missbrauch eines ausgesp√§hten Online-Banking-Passworts nicht unbegrenzt fortgef√ľhrt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchf√ľhren.

Quelle: Bafin

1 Like

Danke f√ľr den Hinweis. Aber scheinbar ist es nicht von allen so umgesetzt und kann auch nicht bei allen so umgesetzt werden. Starke Autorisierung bedeutet ja Username+Passwort + 2 Faktor. Bei N26 w√§re dies zum Beispiel garnicht m√∂glich, da 2 Faktor √ľber die selbe App l√§uft und auch nur zur Verf√ľgung steht wenn ich in der App angemeldet bin. Ich kann also nicht alle 90 Tage das 2 Faktor Verfahren nutzen um mich in der App anzumelden.

Das ist √ľber Ger√§tebindung realisiert wie bei Tomorrow auch.

Faktor 1 - Wissen: Passwort / Log-In
Faktor 2 - Besitz: Zugriff √ľber Ger√§t, dass vorher als im Besitz des Nutzers verifiziert wurde.

1 Like