-
Data: 2009-01-21 13:35:42
Temat: Re: podpis elektroniczny danych z okna przeglądarki
Od: porneL <n...@p...net> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On Wed, 21 Jan 2009 13:04:13 -0000, Stachu 'Dozzie' K.
<d...@d...im.pwr.wroc.pl.nospam> wrote:
>> Bez https można przeprowadzić atak MITM i zanim strona dotrze do twoich
>> użytkowników, całkowicie usunąć z niej wszelką kryptografię albo dodać
>> skrypty, które wysyłają atakującemu niezaszyfrowaną kopię, podmieniają
>> dane przed podpisaniem, etc.
>
> I co to da, jeśli serwer oczekuje podpisanych danych albo wręcz samego
> podpisu i weryfikuje czy dostał co trzeba?
> A jeśli dane nie są wrażliwe
> na ujawnienie i mogą iść bez SSL (bo jeśli by były wrażliwe, to SSL tak
> czy siak by był zaprzęgnięty dla szyfrowania transmisji), to jaką
> wartość będzie miało niepotrzebne zabezpieczenie szyfrowaniem?
Nie szyfrowaniem, a sprawdzeniem, że strona przyszła z oczekiwanego źródła bez
modyfikacji.
Inaczej da się do strony idącej po http-bez-s doczepić kawałek Javascript, który
zmodyfikuje stronę tak, żeby applet/activex podpisujący dane nie widział prawdziwych
danych z formularza, a ich przetworzoną wersję. Wtedy można wrobić ofiarę w
podpisanie czegokolwiek.
Oczywiście nie będzie problemu, jeżeli applet będzie sam się pytał o dane (bez
polegania na stronie http), applet będzie podpisany i użytkownik sprawdzi kto go
podpisał.
> A tak na marginesie, łamałbyś wiersze przy jakiejś przyzwoitej długości,
> na przykład 72 znaków.
Faktycznie - sorry (bug czytnika).
--
this.author = new Geek("porneL");
Następne wpisy z tego wątku
- 21.01.09 14:26 Wiktor Zychla
- 22.01.09 08:40 Rafal\(sxat\)
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-05-26 O co chodzi?
- 2024-05-26 PJ autobus-tramwaj
- 2024-05-26 Renault Trafic i lampka z czerwonym STOP
- 2024-05-26 cena pięciocyfrowa
- 2024-05-26 Re: Jak dobra KE "okrada" złą Rosję "dla Ukrainy"
- 2024-05-25 supercap
- 2024-05-25 Sulzbach => Technischer Rollouter (d/m/w) <=
- 2024-05-25 Warszawa => Senior Account Manager <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Mid PHP Developer (Laravel) <=
- 2024-05-25 Warszawa => Interactive/Experience Designer <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Warszawa => SAP WM Consultant / Execution <=
- 2024-05-25 Warszawa => Key Account Manager <=
- 2024-05-25 Re: znów ten wrocław