[Java lista] Dig. alairas kliens browser-bol

[Marai Laszlo]

On Wed, 7 May 2008 10:30:54 +0200
Kristof Jozsa <dyn at ond.vein.hu> wrote:

  Hali!

> tudom keson szallok be a topicba, de FYI (es AFAIK) a jogszabalyi
> megfeleloseghez az adatokat *fizikailag* le kell toltened a kliens
> gepere es ott kell megszuletni az alairasnak, pont azert hogy ne
> kelljen megbizni a szerverben. (persze a szerverrol letoltott
> kliensprogramban tovabbra is meg kell biznod szoval f*sag az egesz de
> ez van, igy kell csinalni..)

Annyi ertelme van a dolognak, hogy a szerver uzemeltetojeben/biztonsagos
uzemel(tet)eseben nem kell megbizni, vagyis egy betoro nem fog tudni
hamis adatokat felrogziteni. Ehhez persze normalisan alairt applet kell,
meg az, hogy a juzer ne nyomjon OK-t, amikor jon a figyelmeztetes mert a
tamado lecserelte azt a sajat verziojara. (Vagy hogy a tamado ne vegyen
alairokulcsot egy dodo nevere...)

Igazan ertelmes vedekezes ez ellen plusz eszkozok bevetese nelkul a
telepitett kliens program, ahol biztosra lehet menni, hogy mas nem tud
ervenyes alairo kulcsot szerezni (nyilvan a kliens programnak is tudnia
kell frissitenie magat). Esetleg browser extension (amit szinten nem
szabad engedni, hogy a bongeszo maganak frissitsen).

Ha be lehet vonni plusz eszkozt, akkor secure tokennel kell gyartatni az
alairasokat. Jo megoldas lehet az is, ha hw token helyett mondjuk a
mobiltelefont hasznaljak erre a celra (foleg akkor, ha sok felhasznalo
van, es nehezkes vagy draga nekik egyenkent kiadogatni a tokent, de itt
gondolom nem ez a helyzet).

  atleta