id: Гость   вход   регистрация
текущее время 17:28 28/03/2024
Автор темы: Мухтар, тема открыта 25/01/2010 00:45 Печать
Категории: криптография, политика, законодательство, протоколы, эцп, атаки, человек посередине
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ПодписываниеHtmlСтраницСтатическоеБезWebСервера
создать
просмотр
ссылки

подписывание html страниц, статическое, без Web сервера


Давайте обсудим возможность сабжа, и его целесообразность.


Теоретически, ssl не гарантирует сохранность данных в виду возможности компроментации технического обеспечения. Поэтому, не лучше ли подписывать не транзакции данных, а сами данные?


Практически, это возможно благодаря способу формирования данных с помощью Ajax. Ясное дело, что в таком случае атакующий будет атаковать не html а данные формируемые Ajax, или как вариант, SQL данные.


В виду этого, нет ли модели обеспечения подписи данных, например, подпись хранится у автора данных (клиента, администратора сервера, стороннего поставщика). Соответсвенно, проверка подписи осуществляется при просмотре данных, все SQL данные могут быть подписаны.


Или это и есть пресловутая цифровая подпись некоторых участников форума?


 
Комментарии
— poptalk (26/02/2010 14:13)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Теоретически, ssl не гарантирует сохранность данных в виду возможности компроментации технического обеспечения. Поэтому, не лучше ли подписывать не транзакции данных, а сами данные?

Ничего не понял. :) Что вы подразумеваете под "техническим обеспечением", "транзакцией данных"?
— unknown (26/02/2010 15:23)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Автор скорее всего подразумевает, что SSL гарантирует аутентификацию сервера (что мы соединились именно с тем сервером, с каким нужно). Но если сервер взломан, то наличие изменений в размещённых на нём файлах по SSL определить никак нельзя. Для этого используются электронные подписи, создаваемые вне сервера.


Да, здесь как раз и создание и проверка подписи происходит в полной мере только на клиентской стороне. Надись "подпись (не) верна" со стороны движка сайта в форуме сама по себе не даёт гарантий без окончательной проверки пользователем на своей стороне.
— poptalk (26/02/2010 15:55)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Надись "подпись (не) верна" со стороны движка сайта в форуме сама по себе не даёт гарантий без окончательной проверки пользователем на своей стороне.

И поэтому её не надо показывать, потому что она создаёт ложное чувство защищённости. :)
— Гость (26/02/2010 16:26)   <#>
Или писать что-то типа "похоже, что подпись верна", чтобы побудить пользователя удостовериться самому :)
— unknown (26/02/2010 16:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
И поэтому её не надо показывать, потому что она создаёт ложное чувство защищённости. :)

Если она начнёт расходится с результатом проверки подписи на стороне клиента, то она будет показывать, что с сайтом произошло что-то не то. Или с клиентом.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3