подписывание html страниц, статическое, без Web сервера
Давайте обсудим возможность сабжа, и его целесообразность.
Теоретически, ssl не гарантирует сохранность данных в виду возможности компроментации технического обеспечения. Поэтому, не лучше ли подписывать не транзакции данных, а сами данные?
Практически, это возможно благодаря способу формирования данных с помощью Ajax. Ясное дело, что в таком случае атакующий будет атаковать не html а данные формируемые Ajax, или как вариант, SQL данные.
В виду этого, нет ли модели обеспечения подписи данных, например, подпись хранится у автора данных (клиента, администратора сервера, стороннего поставщика). Соответсвенно, проверка подписи осуществляется при просмотре данных, все SQL данные могут быть подписаны.
Или это и есть пресловутая цифровая подпись некоторых участников форума?
Ничего не понял. :) Что вы подразумеваете под "техническим обеспечением", "транзакцией данных"?
Автор скорее всего подразумевает, что SSL гарантирует аутентификацию сервера (что мы соединились именно с тем сервером, с каким нужно). Но если сервер взломан, то наличие изменений в размещённых на нём файлах по SSL определить никак нельзя. Для этого используются электронные подписи, создаваемые вне сервера.
Да, здесь как раз и создание и проверка подписи происходит в полной мере только на клиентской стороне. Надись "подпись (не) верна" со стороны движка сайта в форуме сама по себе не даёт гарантий без окончательной проверки пользователем на своей стороне.
И поэтому её не надо показывать, потому что она создаёт ложное чувство защищённости. :)
Или писать что-то типа "похоже, что подпись верна", чтобы побудить пользователя удостовериться самому :)
Если она начнёт расходится с результатом проверки подписи на стороне клиента, то она будет показывать, что с сайтом произошло что-то не то. Или с клиентом.