Betrifft nicht ElsterFormular, aber ElsterOnline:
Elster: Finanzverwaltung rückt von Java abWegen den Sicherheitsproblemen der letzten Wochen beim Java-Plugin suchen sie nun Möglichkeiten, das bei ElsterOnline eingesetzte Java-Applet zu ersetzen.
Wenn es dumm kommt, ersetzen sie es durch Flash.
Wenn es gut kommt, dann werden sie endlich einsichtig und machen es richtig, d.h. clientseitig beim Nutzer einfach nur einen Webbrowser mit SSL-Verbindung und dann werden serverseitig die ankommenden Daten geprüft und validiert. So wie es auf allen anderen Plattformen (auch beim Web-Banking) gang und gäbe und sinnvoll ist.
Die "Notwendigkeit" für solch ein Java-Applet liegt nämlich darin, dass hier die normale Funktionsweise auf den Kopf gestellt wird. Beim aktuellen ElsterOnline findet die komplette Prüfung/Validierung auf dem Client ab und wird dann nur noch auf dem Server entgegen genommen. Damit man nicht die Prüfung/Validierung umgehen kann, verpackt es das Java-Applet so, dass der Server prüfen kann, ob es von dem Applet kommt oder von einer anderen Stelle.
Normalerweise macht man es völlig anders. Man prüft/validiert im begrenztem Rahmen auf dem Client, um dem Benutzer zu helfen keine Fehleingaben zu machen. Aber auf dem Server wird immer davon ausgegangen, dass man ungeprüfte und evtl. absichtlich falsche Daten bekommt. Denn ob die Daten wirklich von den Seiten mit der clientseitigen Prüfung kommen, kann man nicht sicher stellen. D.h. die echte und ausschlaggebende Prüfung findet erst auf dem Server statt. Somit ist die Prüfung auch aus dem direkten Einfluss des (evtl. bösen) Benutzers raus. Er kann sie nicht umgehen.
So funktioniert es und ist es sinnvoll.
Das Finanzamt hat die Prüfung auf den Rechner des Nutzers verschoben und da der evtl. böse ist, muss die Prüfung und Übertragung extrem gekapselt und gesichert werden. Wie geschrieben. Völliger Unsinn.
"Auf die Schnelle" wird man das wohl nicht umgestellt bekommen. Das ist ein grundlegender Designfehler.
