Zu "Studienzwecken"? Wieso denn genau bei dieser Anwendung?

Ich war drei Jahre als PC-Techniker bei einer Grossbank, genau in jener Abteilung, welche das Online-Banking entwickelte und laufend pflegte.
Ein paar tiefere Einblicke konnte ich schon gewinnen, und die laufende Entwicklung auch verfolgen bei den internen Tests, wo (natürlich) auch unsere interne Abteilung mit eingebunden wurde.

Die entsprechenden Sicherheits-Vorkehrungen aber wurden von einem ganz kleinen Team entwickelt, welches sogar den PC-Support und den täglichen Backup in einer voll geschlossenen Umgebung machen konnte/musste.

Das heisst für mich also, dass man nur mit grösseren Schwierigkeiten an diese Details kommt, wenn überhaupt.
Währenddem zu den Anfangszeiten des Internet-Banking die Applikation noch auf dem lokalen PC lief, monatliche Updates waren die Regel, wurde schon bald aber alles in den Browser ausgelagert, damit konnte auf die regelmässigen Updates verzichtet werden, und die Funktionen konnten besser geschützt werden gegen aussen.

PC-John

Was aber nur in den einfachen Fällen ein Ersatz ist. Jede Firma mit häufigen Kontenbewegungen (z.B. Onlinehändler) werden "Browserbanking" verfluchen. Die meisten haben ja nicht mal Listenexporte. Services wie Sammellastschriften lassen sich bis heute meist nur mit den proprietären HBCI-Programmen der jeweiligen Bank realisieren. Da geht weder mit dem Browser noch mit Standard-HBCI etwas.

Sorry, aber das ist naiv. Eine Browser-Lösung ist mitnichten sicherer als eine native Anwendung für Windows/MacOS. Es ist sogar so das es eigentlich viel einfacher ist hier die Schwächen der Implementierung zu suchen und Angriffe zu entwickeln. Die Debuggen-Möglichkeiten eines Modernen Browsers sind hier viel besser als wenn man auf Assembler-Ebene mit entsprechenden Debuggern gegen eine Win32-Exe arbeiten muss.
Eine gute Sicherheitslösung sollte es egal sein ob es über Browser ober native Apps läuft. Die API die bereit gestellt wird muss sicher sein und keine Buffer-Overflows oder ähnliches beinhalten.