История изменений
Исправление user_id_68054, (текущая версия) :
Скажем, пример из жизни - нужно интегрироваться с каким-нибудь EToken для подписания документов в системе.
абсолютно бесполезное решение.
это «пыль в глаза» вместо безопасности.
браузер полностью слушается того что скажет ему сервер. (в рамках разделения полномочий между этими серверами).
если сервер скажет браузеру что мол «подпиши этот документ», то браузер подчиниться и подпишет.
таким образом если в результате вдруг выявится инцидент что оказался подписанным такой документ, который пользователь НЕ ПОДПИСЫВАЛ по своей воле (как утверждает пользователь) — то в этом случае ни кто не сможешь доказать что на самом деле пользователь всё же якобы его подписывал.
другими словами — не возможно выяснить что именно подписывал пользователь, а что именно не подписывал. ведь браузер слушается в первую очередь тому что говорит сервер, а не тому что говорит пользователь!
на этом фоне — обычное https+пароль (или https + пароль + HOTP\TOTP) выглядет на много более эффективным решением. количество безопасности столько же, а удобства больше.
# P.S.: всегда помните, что при расчёте безопасности, — определяющим фактором является слабое звено в цепи всего стека.
Исправление user_id_68054, :
Скажем, пример из жизни - нужно интегрироваться с каким-нибудь EToken для подписания документов в системе.
абсолютно бесполезное решение.
это «пыль в глаза» вместо безопасности.
браузер полностью слушается того что скажет ему сервер. (в рамках разделения полномочий между этими серверами).
если сервер скажет браузеру что мол «подпиши этот документ», то браузер подчиниться и подпишет.
таким образом если в результате вдруг выявится инцидент что оказался подписанным такой документ, который пользователь НЕ ПОДПИСЫВАЛ по своей воле (как утверждает пользователь) — то в этом случае ни кто не сможешь доказать что на самом деле пользователь всё же якобы его подписывал.
другими словами — не возможно выяснить что именно подписывал пользователь, а что именно не подписывал. ведь браузер слушается в первую очередь тому что говорит сервер, а не тому что говорит пользователь!
на этом фоне — обычное https+пароль (или https + HOTP\TOTP) выглядет на много более эффективным решением. количество безопасности столько же, а удобства больше.
# P.S.: всегда помните, что при расчёте безопасности, — определяющим фактором является слабое звено в цепи всего стека.
Исправление user_id_68054, :
Скажем, пример из жизни - нужно интегрироваться с каким-нибудь EToken для подписания документов в системе.
абсолютно бесполезное решение.
это «пыль в глаза» вместо безопасности.
браузер полностью слушается того что скажет ему сервер. (в рамках разделения полномочий между этими серверами).
если сервер скажет браузеру что мол «подпиши этот документ», то браузер подчиниться и подпишет.
таким образом если в результате вдруг выявится инцидент что оказался подписанным такой документ, который пользователь НЕ ПОДПИСЫВАЛ по своей воле (как утверждает пользователь) — то в этом случае ни кто не сможешь доказать что на самом деле пользователь всё же якобы его подписывал.
другими словами — не возможно выяснить что именно подписывал пользователь, а что именно не подписывал. ведь браузер слушается в первую очередь тому что говорит сервер, а не тому что говорит пользователь!
на этом фоне — обычное https+пароль (или https + HOTP\TOTP) выглядет на много более эффективным решением. количество безопасности столько же, а удобства больше.
Исправление user_id_68054, :
Скажем, пример из жизни - нужно интегрироваться с каким-нибудь EToken для подписания документов в системе.
абсолютно бесполезное решение.
это «пыль в глаза» вместо безопасности.
браузер полностью слушается того что скажет ему сервер. (в рамках разделения полномочий между этими серверами).
если сервер скажет браузеру что мол «подпиши этот документ», то браузер подчиниться и подпишет.
таким образом если в результате вдруг выявится инцидент что оказался подписанным такой документ, который пользователь НЕ ПОДПИСЫВАЛ по своей воле (как утверждает пользователь) — то в этом случае ни кто не сможешь доказать что на самом деле пользователь всё же якобы его подписывал.
другими словами — не возможно выяснить что именно подписывал пользователь, а что именно не подписывал. ведь браузер слушается в первую очередь тому что говорит сервер, а не тому что говорит пользователь!
на этом фоне — обычное https+пароль (или https + HOTP\TOTP) выглядет на много более эффективным решением.
Исходная версия user_id_68054, :
Скажем, пример из жизни - нужно интегрироваться с каким-нибудь EToken для подписания документов в системе.
абсолютно бесполезное решение.
это «пыль в глаза» вместо безопасности.
браузер полностью слушается того что скажет ему сервер. (в рамках разделения полномочий между этими серверами).
если сервер скажет браузеру что мол «подпиши этот документ», то браузер подчиниться и подпишет.
таким образом если в результате вдруг выявится инцидент что оказался подписанным такой документ, который пользователь НЕ ПОДПИСЫВАЛ по своей воле (как утверждает пользователь) — то в этом случае ни кто не сможешь доказать что на самом деле пользователь всё же якобы его подписывал.
другими словами — не возможно выяснить что именно подписывал а что именно не подписывал пользователь. ведь браузер случается в первую очередь тому что говорит сервер, а не тому что говорит пользователь!
на этом фоне — обычное https+пароль (или https + HOTP\TOTP) выглядет на много более эффективным решением.