On Wed, 21 Jan 2009 10:45:24 -0000, Wiktor Zychla <u...@n...com.eu> wrote:

> chciałbym upewnić się, że nie ma innych możliwości niż te wskazane
> przeze mnie poniżej (w sensie "tak to się właśnie robi").
>
> scenariusz: strona uruchomiona w przeglądarce, w której użytkownik
> cośtam w formanty html sobie powpisywał. skądinąd użytkownik ma w
> systemie (przeglądarce) zainstalowany certyfikat do podpisu
> elektronicznego i nieistotne jest skąd ma ten certyfikat ani czy jest on
> kwalifikowany.

Po pierwsze *musisz* użyć SSL (https). Nie da się tego zastąpić żadnymi JSami,
Flashami, ani Javą/ActiveX o ile nie wyedukujesz użytkowników, że muszą koniecznie
weryfikować certyfikaty Javy/AX.

Bez https można przeprowadzić atak MITM i zanim strona dotrze do twoich użytkowników,
całkowicie usunąć z niej wszelką kryptografię albo dodać skrypty, które wysyłają
atakującemu niezaszyfrowaną kopię, podmieniają dane przed podpisaniem, etc.

Jeśli chesz uwierzytelnianie klientów za pomocą certyfikatów, to SSL w obecnych
przeglądarkach to obsługuje standardowo. Nawet możesz wygenerować i zainstalować nowy
certyfikat u klientów tagiem <keygen>:

http://lists.whatwg.org/pipermail/whatwg-whatwg.org/
attachments/20080714/07ea5534/attachment.txt

myopenid.net używa tego w praktyce.

--
this.author = new Geek("porneL");