据我了解,您必须在 Mint 中输入您所有的用户名和密码,因此我假设他们实际上是在登录您的银行帐户并抓取结果屏幕以将这些数据放入 Mint 和其他人使用的表格中。
他们如何实际模拟按键和鼠标点击?我认为银行在这样做时不喜欢它 - 他们的刮板如何避免被发现?
问问题
4913 次
3 回答
4
我很确定他们不会模拟点击等。最后,任何最终出现在用户页面上的数据都会作为对请求的响应进行传输。如果你能弄清楚如何构造一个有效的请求,然后如何解析响应,你就会得到你想要的数据。
据我在使用 Yodlee 一段时间后收集到的信息,他们以两种主要方式处理网站:与他们有官方协议的网站和与他们没有官方协议的网站。对于第一类网站,他们通常已就获取数据的 API 达成一致。对于第二类网站,他们对第 7 层通信协议和数据结构(又名屏幕/html 抓取)进行逆向工程。
于 2010-11-29T18:00:23.560 回答
2
据我了解,Yodlee 使用 OFX 规范来访问银行的财务信息。
对于不实施 OFX 的银行,他们使用自定义屏幕抓取工具,当银行更改其网站上显示的信息时,必须不断更新。
于 2011-08-10T23:37:44.297 回答
0
我不认识 Yodlee,所以我只是假设它就像“sofortüberweisung.de”,您将您的银行登录数据提供给第 3 方(取决于您所做的甚至是有效的 TAN),因此相信他们不会滥用它并另外破坏您银行的安全规定(“永远不要提供您的 PIN/TAN”)。
他们最有可能模拟浏览器会做什么。由于基于 Web 的银行界面通常只是 HTML/JavaScript,因此每个人都可以查看客户端代码并使用自定义程序执行任何操作。由于这些操作不是以恶意方式完成的,因此需要解决例如 TAN 或 CAPTCHA 的操作可以简单地转发给合法用户,然后他们将输入必要的 TAN 或解决 CAPTCHA。
尽管如此,使用这样的服务真的很糟糕。虽然他们很可能不会做任何坏事,但您无法确定。如果您被此类服务骗了,如果他们不向您退还任何费用,您的银行就是该死的。
另一个完全安全的解决方案(只要您不担心第三方知道您的财务状况等)将是 yodlee 公司与主要银行签订合同,允许他们在您授权后访问您的数据通过以某种方式(你已经可以在 Twitter 等页面上做到这一点 - 虽然我永远不会为 bankign 这样做,但从技术上讲,实现这样的事情并不难)。这将是干净和安全的,因为它不会涉及“屏幕抓取”或客户在银行网站以外的任何地方输入他们的银行登录数据。但我相信没有一家银行会这样做,我认为这很好,因为有太多太值得信赖的人,而且我们都知道他们在 Facebook & Co 上提供了多少信息。现在想象一个 facebook<->bank 整合...... M.Zuck. 的梦想永远不会成为现实......即使它不是 Facebook.. 总会有公司想要人们的个人数据和足够的人把它们分发出去;特别是如果它很简单而且看起来很安全(“我必须在 MY BANK 的页面上确认它。所以它必须是安全的 - 它由 MY BANK 支持”)。
于 2010-11-28T02:49:44.277 回答