-
Data: 2009-01-21 13:04:13
Temat: Re: podpis elektroniczny danych z okna przeglądarki
Od: "Stachu 'Dozzie' K." <d...@d...im.pwr.wroc.pl.nospam> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 21.01.2009, porneL <n...@p...net> wrote:
> On Wed, 21 Jan 2009 10:45:24 -0000, Wiktor Zychla <u...@n...com.eu> wrote:
>
>> chciałbym upewnić się, że nie ma innych możliwości niż te wskazane
>> przeze mnie poniżej (w sensie "tak to się właśnie robi").
>>
>> scenariusz: strona uruchomiona w przeglądarce, w której użytkownik
>> cośtam w formanty html sobie powpisywał. skądinąd użytkownik ma w
>> systemie (przeglądarce) zainstalowany certyfikat do podpisu
>> elektronicznego i nieistotne jest skąd ma ten certyfikat ani czy jest on
>> kwalifikowany.
>
> Po pierwsze *musisz* użyć SSL (https). Nie da się tego zastąpić żadnymi JSami,
Flashami, ani Javą/ActiveX o ile nie wyedukujesz użytkowników, że muszą koniecznie
weryfikować certyfikaty Javy/AX.
I mówi to nie-ekspert (<o...@a...local>).
> Bez https można przeprowadzić atak MITM i zanim strona dotrze do twoich
użytkowników, całkowicie usunąć z niej wszelką kryptografię albo dodać skrypty, które
wysyłają atakującemu niezaszyfrowaną kopię, podmieniają dane przed podpisaniem, etc.
I co to da, jeśli serwer oczekuje podpisanych danych albo wręcz samego
podpisu i weryfikuje czy dostał co trzeba? A jeśli dane nie są wrażliwe
na ujawnienie i mogą iść bez SSL (bo jeśli by były wrażliwe, to SSL tak
czy siak by był zaprzęgnięty dla szyfrowania transmisji), to jaką
wartość będzie miało niepotrzebne zabezpieczenie szyfrowaniem?
> Jeśli chesz uwierzytelnianie klientów za pomocą certyfikatów, to SSL w obecnych
przeglądarkach to obsługuje standardowo.
Skąd pomysł że Wiktor potrzebuje uwierzytelniać klienta? Jak Wiktora
znam, to przemyślał sprawę i jeśli potrzebny mu podpis cyfrowy, to
certyfikat kliencki dla SSL *nie wystarczy* i *musi być* podpis cyfrowy.
A tak na marginesie, łamałbyś wiersze przy jakiejś przyzwoitej długości,
na przykład 72 znaków.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 21.01.09 13:35 Rafal\(sxat\)
- 21.01.09 13:35 porneL
- 21.01.09 14:26 Wiktor Zychla
- 22.01.09 08:40 Rafal\(sxat\)
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-05-26 O co chodzi?
- 2024-05-26 PJ autobus-tramwaj
- 2024-05-26 Renault Trafic i lampka z czerwonym STOP
- 2024-05-26 cena pięciocyfrowa
- 2024-05-26 Re: Jak dobra KE "okrada" złą Rosję "dla Ukrainy"
- 2024-05-25 supercap
- 2024-05-25 Sulzbach => Technischer Rollouter (d/m/w) <=
- 2024-05-25 Warszawa => Senior Account Manager <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Interactive/Experience Designer <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Re: znów ten wrocław