<div dir="ltr"><div dir="ltr">On Sat, Oct 8, 2022 at 11:37 PM Jack via KMyMoney-devel <<a href="mailto:kmymoney-devel@kde.org">kmymoney-devel@kde.org</a>> wrote:</div><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
> That's exactly how these "Open" APIs work. That's not the problem,  <br>
> actually, we could totally use those APIs instead of Direct Connect.  <br>
> The problem is the added requirement of being a pre-authorized entity  <br>
> via on-purpose-issued certificates, as opposed to a regular TLS  <br>
> encryption.<br>
<br>
That's not my understanding.  I've seen mention of a one time  <br>
authorization for the bank to give your data to Intuit (and I'm still  <br>
not sure where Yodlee fits in.)  </blockquote><div><br></div><div>OK, I see where the confusion is. What I was describing is how the process looks in authorizing the business behind the application/service (think: FinTech) with the Bank itself. </div><div><br></div><div>From a user's perspective, you need to authorize that very application/service to use your *actual* account. For that, the application/service will contact the bank, present you with a pop-up window that the *bank* provides, which will ask you to perform the 2 Factor Authentication — be it with a code sent to your phone, or, increasingly, directly in your bank's Andoid/iOS app. Once this is done, they would present you with information over what kind of permissions would that app/service have and let you you decide which of your account(s) you would want them have that access to. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">It sounds to me that when you request data in Quicken, it talks to Intuit. </blockquote><div><br></div><div>I can't tell. Technically speaking, Quicken as a standalone app could be talking directly to the banks using their APIs. In which case you would be the only person in possession of your financial data, outside of the bank. Whether they do it like this, or they pass that information through Intuit's intermediary servers, that can probably be inferred from Quicken's T&Cs. Chances are that Intuit being Intuit, same company behind Mint, which makes money off of user's data, would likely find it too hard to pass on that revenue avenue.</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"> That purpose-issued certificate you mention is used to secure the connection between Intuit and the  <br>
bank, but it means your data does flow through Intuit. </blockquote><div><br></div><div>Certificates can be used directly by the application itself, there doesn't have to be some inherent intermediary. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"> (I don't really trust Intuit much more than I trust Yodlee.) </blockquote><div><br></div><div>Yodlee is an aggregator. They provide services to other FinTech companies if they don't want to be dealing with each bank individually. Quicken/Intuit used to use them before Open Banking API was a thing, but nowadays, AFIK, they deal with banks directly. Other software, like Banktivity, resorts to said aggregators, because they don't have enough resources to maintain legal and technical aspects of maintaining direct connection with all the many banks out there. </div><div> </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"> Even if KDE/KMM could become such a pre-authorized entity, I don't think we want to become  <br>
that type of middle-man.  </blockquote><div><br></div><div>As explained above, there's no middle-man in such a scenario, just like there already isn't for the clientele of German/Swiss/Austrian FinTS banks that KMyMoney is authorized for already — althgouth that doesn't actually involve certificates.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">I'm sure I"m missing something, and I'd love to see a more detailed  <br>
description of how it all actually works.<br></blockquote><div><br></div><div>Hopefully I was able to help. </div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Best Regards,<div>Dawid Wrobel</div></div></div></div>