Yodlee是如何工作的？

Question

根據我的理解，您必須將所有用戶名和密碼輸入到Mint中，因此我假設他們實際上正在登錄到您的銀行帳戶，並將結果屏幕截取以將這些數據放入Mint和其他人使用的表單中。

他們如何真正模擬按鍵和鼠標點擊？我認爲銀行在這樣做時不喜歡它們 - 他們的刮板如何避免被發現？

Answer 1

我很確定他們不會模擬點擊等。最後，任何結束於用戶頁面的數據都會在對請求的響應中傳輸。如果你能弄清楚如何構建一個有效的請求，然後如何解析這個響應，你將得到你想要的數據。

據我所知，在使用Yodlee很長一段時間後，他們通過兩種主要方式處理網站：他們與官方簽訂協議的網站以及他們沒有達成正式協議的網站。對於第一類網站，他們通常會就API獲取數據達成一致。對於第二類網站，他們對第7層通信協議和數據結構進行逆向工程（a.k.a.screen/html scraping）。

Answer 2

我不知道Yodlee，所以我簡單地假設它就像「sofortüberweisung.de」，您向第三方提供了您的銀行登錄數據（並取決於您甚至做了有效的TAN），從而相信他們不會濫用它還會破壞您銀行的安全規定（「絕不會給您的PIN/TAN」）。

他們很可能模擬瀏覽器會做什麼。由於基於網絡的銀行界面通常只是HTML/JavaScript，所以每個人都可以查看客戶端代碼，並執行任何自定義程序。由於這些行爲不是以惡意的方式進行的，因此需要例如要解決的TAN或CAPTCHA可以簡單地轉發給合法用戶，然後他們將進入必要的TAN或解開CAPTCHA。

儘管如此，使用這樣的服務真的很糟糕。雖然他們很可能不會做任何壞事，但你肯定無法知道。而且，如果您的銀行如果遭到此類服務的欺騙，他們不會退還任何款項，那麼您的銀行就是該死的。

另一種完全安全的解決方案（只要您不關心第三方知道您的財務狀況等）就是Yodlee公司與各大銀行簽訂合同，允許他們在您訪問數據後訪問您的數據，已經通過某種方式授權了它（你可以在Twitter這樣的頁面上做到這一點 - 雖然我從來沒有這樣做過銀行業務，但從技術上講，實現這樣的事情並不難）。這將是乾淨和安全的，因爲它不會涉及「屏幕抓取」或客戶在其銀行網站上的任何地方輸入其銀行登錄數據。但我相信沒有銀行做這樣的事情，在我看來這很好，因爲有太多人太可靠，我們都知道他們在Facebook上發佈了多少信息& Co.現在想象一下facebook < - >銀行整合... M.Zuck。的夢想有希望永遠不會成爲現實......即使它不是Facebook ..總會有公司希望人們的個人數據和足夠多的人將它們發佈出去;特別是如果它很容易且看起來很安全（「我必須在MY BANK的頁面上確認它，所以它必須是安全的 - 它由MY BANK支持」）。

Answer 3

我的理解是，Yodlee使用OFX規範來訪問銀行的財務信息。

http://www.ofx.net/

對於不執行OFX銀行，他們使用自定義屏幕刮削器，當銀行改變在隨即出現在其網站上的信息，它必須不斷更新。