Update der API

[Christoph Bergmann]

Die API von Bitcoin.de hat zwei neue Features:

1.) Man kann bestimmte IPs whitelisten, was ein Wunsch war, um Crypto-Auszahlungen per API zu handhaben

2.) Man kann den obligatorischen Notaus-Link deaktivieren, der per E-Mail versendet wird. Das wurde von Usern der Outbank-App gewünscht und könnte für manche API-Nutzer auch angenehm sein. Aber bitte beachtet, dass der Link ein Sicherheitsfeature ist, das ihr damit deaktiviert.

 

 

[Serpens66]

vor 2 Stunden schrieb Christoph Bergmann:

Die API von Bitcoin.de hat zwei neue Features:

1.) Man kann bestimmte IPs whitelisten, was ein Wunsch war, um Crypto-Auszahlungen per API zu handhaben

2.) Man kann den obligatorischen Notaus-Link deaktivieren, der per E-Mail versendet wird. Das wurde von Usern der Outbank-App gewünscht und könnte für manche API-Nutzer auch angenehm sein. Aber bitte beachtet, dass der Link ein Sicherheitsfeature ist, das ihr damit deaktiviert.

super, danke.
Wenn wir schon beim whitelisten von IPs sind, warum dann nicht die Notausstieg links ebenfalls mithilfe einer IP whitelist kombinieren? Ich bekomme gefühlt hundertausend Notausstieg Emails täglich. Egal ob sie aktiv oder abgeschaltet ist, einen Fremdzugriff würde ich niemals bemerken. Das Beste wäre also diese Mail nur dann zu bekommen, wenn eine unbekannte IP nen API Call macht (alternativ natürlich auch ganz abschaltbar machen so wies jetzt umgesetzt ist)

Bearbeitet 4. Juni 2019 von Serpens66

[Jokin]

vor 7 Minuten schrieb Serpens66:

Das Beste wäre also diese Mail nur dann zu bekommen, wenn eine unbekannte IP nen API Call macht

Ich finde die Idee super!

 

[Christoph Bergmann]

Klingt gut, kann ich auch nachvollziehen.

[Christoph Bergmann]

Also ... es gibt hier einen Denkfehler, den ich auch gemacht habe:

Wenn man IP-Adressen whitelistet, kann man ja auch den Notaus-Link deaktivieren, da ja nur über die korrekte IP-Adresse zugegriffen wird. In dem Fall braucht man den Notaus-Link gar nicht.

Wenn Whitelisting nicht funktioniert, weil man etwa über verschiedene, wechselnde IP-Adressen (z. B. mobile user) darauf zugreift - dann kann man auch den Notaus-Link nicht whitelisten.

Daher verstehe ich den Anwendungsfall nicht ganz.

[Jokin]

Es gibt zwei verschiede Arten von Usern:

a) die Bot-Trader, die das Orderbuch brav füllen und Order bedienen
=> die greifen in der Regel mit derselben IP-Adresse zu, erhalten jedoch immer mal wieder den Notaus-Link weil ihr Bot eine Weile nix gemacht hat.

b) die App-User, die mit ihren Smartphones mit unterschiedlichen eMail-Adressen zugreifen
=> die bekommen dann leider immer wieder die Notaus-eMail.

Ich habe eine neue Idee:

Wie wäre es, wenn Ihr das Konzept von Binance übernehmt? ... wird über die API mit einem neuen Gerät zugegriffen, dann wird dies beim Erstzugriff abgelehnt. Der Account-Inhaber erhält eine eMail mit dem Whitelisting-Link und kann dann das Gerät bestätigen.

Damit würden beide Fälle a) und b) keine Notauslink-eMails mehr erhalten bei gleichzeitiger Sicherheit vor unbefugtem Zugriff (mal von Spoofing und so abgesehen)

[fox42]

Gerade gesehen:

Trades - markTradeAsPaid
Trades - markTradeAsPaymentReceived
Trades - addTradeRating

Sehr schön! Ein wichtiger Schritt für die SEPA Händler unter uns

[Serpens66]

vor 4 Stunden schrieb fox42:

Gerade gesehen:

Trades - markTradeAsPaid
Trades - markTradeAsPaymentReceived
Trades - addTradeRating

Sehr schön! Ein wichtiger Schritt für die SEPA Händler unter uns

interessant
Jetzt muss man nur noch die Fidor API nutzen können, weißt du da mehr? als ich das vor einigen Jahren mal geprüft hab, wollten die noch 15€/Monat für deren api nutzung haben und/oder das Angebot galt nur für gewerbliche Nutzung... weiß es grad nicht mehr genau... der support meinte vor vielen Jahren aber mal, dass ein kostenloses Angebot für private Nutzer bald veröffentlicht wird, würde mich aber bei fidor nicht wundern, wenn daraus nie was geworden ist
Aktuell finde ich nur

Zitat

You only pay for API usage once you submit your application for approval and it goes live.

https://api-docs.fidor.de/v1/introduction/getting-started-text

https://www.fidor.com/solutions/developer
Also wie gesagt nur für eine application/gewerblich...

Mehr find ich gerade nicht und ich erwarte nicht dass der Fidor Support hier eine Hilfe sein wird

Aber auch falls/sobald wir sowas finden/haben, muss man dennoch höllisch aufpassen. Fidor ist nicht gerade für ihre Bugfreiheit bekannt und selbst bitcoin.de hatte ja diverse Probleme zu Beginn des Expresshandels.  Sinnvoll wäre es natürlich, wenn bitcoin.de selbst ihre Sicherheitsmaßnahmen im Umgang mit der Fidor API öffentlich machen könnten, also auf welche Meldungen man wie reagieren sollte und wann man besser alles pausiert und wie man sicherstellt, dass Geld nicht doppelt überwiesen wird usw. @Christoph Bergmann

edit:
hier eine Community Gruppe für die API (mit sehr wenig Inhalt, aber ein bisschen was. Der Link in der Dokumentation zu dieser Gruppe funzt nicht mehr)
https://community.fidor.de/groups/fidor-banking-api/68
Im Januar (allerdings steht bei keinem Beitrag das Jahr, kann also länger her sein :D) hatte sich da also zuletzt jemand beklagt, dass es für den privaten Zugriff aufs eigene Konto keine kostenlose Version gibt und ein Prozessmanager antwortete, dass er das mal weitergibt (wie gesagt hatte ich so eine Antwort schon 2016 oder früher bekommen :D)

Bearbeitet 18. Juli 2019 von Serpens66

[Christoph Bergmann]

vor 5 Stunden schrieb Serpens66:

Aber auch falls/sobald wir sowas finden/haben, muss man dennoch höllisch aufpassen. Fidor ist nicht gerade für ihre Bugfreiheit bekannt und selbst bitcoin.de hatte ja diverse Probleme zu Beginn des Expresshandels.  Sinnvoll wäre es natürlich, wenn bitcoin.de selbst ihre Sicherheitsmaßnahmen im Umgang mit der Fidor API öffentlich machen könnten, also auf welche Meldungen man wie reagieren sollte und wann man besser alles pausiert und wie man sicherstellt, dass Geld nicht doppelt überwiesen wird usw. @Christoph Bergmann

 

 

Interessanter Vorschlag. Ich denke, Sicherheitsmaßnahmen öffentlich zu machen wird bei Bitcoin.de nicht gerade auf Begeisterung stoßen --

Aber es wäre sicherlich denkbar, dass es gewisse Richtlinien gibt, wie welche Meldungen einzuschätzen sind. Das könnte natürlich rechtlich schwierig sein, wenn Bitcoin.de handelsrelevante Empfehlungen gäbe, wie auf API-Meldungen einer dritten Partei zu reagieren ist.

Habt ihr denn eine Art Liste von Meldungen, die im Zusammenhang mit der Fidor-API auftreten? Eventuell kommen wir so weiter.

 

 

[Serpens66]

vor 18 Minuten schrieb Christoph Bergmann:

Interessanter Vorschlag. Ich denke, Sicherheitsmaßnahmen öffentlich zu machen wird bei Bitcoin.de nicht gerade auf Begeisterung stoßen --

Aber es wäre sicherlich denkbar, dass es gewisse Richtlinien gibt, wie welche Meldungen einzuschätzen sind. Das könnte natürlich rechtlich schwierig sein, wenn Bitcoin.de handelsrelevante Empfehlungen gäbe, wie auf API-Meldungen einer dritten Partei zu reagieren ist.

Habt ihr denn eine Art Liste von Meldungen, die im Zusammenhang mit der Fidor-API auftreten? Eventuell kommen wir so weiter.

wie aus meinem Post ersichtlich, haben wir aktuell keinen Privatzugang zu der API, weshalb die Erfahrung und daher eine "Liste mit Meldungen der API" eher rar sein dürfte.
Vllt nochmal zur Erklärung was ich meine:
Ich hab selbst viel Erfahrung mit diversen Kryptoexchanges und deren API und weiß zb dass ein "ja" bei exchange xy auch "vielleicht" heißen kann und man da aufpassen muss (etwas obstruses beispiel :D). Bzw. extrem viele Feinheiten stehen nichteinmal in der Dokumenation von diversen APIs, sodass man das meiste erst durch try/fail rausbekommt. Und die Doku von fidor soll, wie ich einem community Beitrag entnehme, "unter aller Sau" sein, weshalb es hier sehr hilfreich wäre, die Erfahrungen von jemanden zu bekommen, der schon sehr lange damit arbeitet.
Bei Fidor fallen mir im speziellen jetzt diverse Sonderfälle ein, bei denen bitcoin.de den Expresshandel aussetzt. Oder wenn bei einem Trade auf bitcoin.de die Meldung kommt "Es gab ein Problem bei der automatischen Zahlung, es wird in 5 Minuten erneut versucht". Woher weiß bitcoin.de dass es ein Problem gab (wie sehen Fehlermeldungen seitens Fidor aus), bzw wie können sie sicher sein, dass die Überweisung nicht doch und dadurch dann evlt doppelt befohlen wird.

Der erste Schritt von bitcoin.de müsste aber natürlich nach Einführung der von fox42 erwähnten API Calls sein, Fidor dazu zu bringen einen kostenlosen Privatzugang zu der API fürs eigene Konto zu öffnen.
 

Bearbeitet 18. Juli 2019 von Serpens66

[fox42]

Die Formulierung habe ich auch noch im Kopf. Momentan sieht das aber so aus, als könnte jeder Apps bauen und entweder für sich oder für alle verfügbar machen. Dann wäre nur die Frage für mich, ob mir 15€ im Monat und die Arbeit der Integration und das Monitoring der Komfort dann wert sind.. Achja.. und dann sind da die Gefahren durch Bugs

[matthias.linden]

Wenn die API nicht hilft, kann man immer noch crawlen, habe ich mir sagen lassen. Es soll ja Nutzer geben, die sowohl bitcoin.de als auch die Website der fidorBank automatisiert  zur Bestätigung von Zahlungseingängen abgrasen. Ob das jeweils im Interesse der Seiten-Betreiber steht ist eine andere Frage.

Den API-Zuwachs bei bitcoin.de finde ich jedenfalls großartig. Und notfalls wechselt man halt zu ner Bank, die das gute alte HBCI unterstützt.