История изменений

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). как минимум, разумеется, и создастся именно тот документ который хочет злоумышленник (MitM-агент), а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно это две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

всё что сдерживает MitM агента — это лишь только https. (то есть — вся безопасность только и держится на https... то есть ровно отдно и тоже как если бы и не было бы USB-брелка ... вёббраузер выполняет JS-код — безприкослвно)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). как минимум, разумеется, и создастся именно тот документ который хочет злоумышленник (MitM-агент), а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно это две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

всё что сдерживает MitM агента — это лишь только https. (то есть — вся безопасность только и держится на https... то есть ровно отдно и тоже как если бы и не было бы USB-брелка)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). как минимум, разумеется, и создастся именно тот документ который хочет злоумышленник (MitM-агент), а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно это две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

всё что сдерживает MitM агента — это лишь только https. (то есть — вся безопасность только и держится на https)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). как минимум, разумеется, и создастся именно тот документ который хочет злоумышленник (MitM-агент), а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

всё что сдерживает MitM агента — это лишь только https. (то есть — вся безопасность только и держится на https)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). как минимум, разумеется, и создастся именно тот документ который хочет злоумышленник (MitM-агент), а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? (наверняка в бэке будет создано несколько документов, но в итоге подписан только 1 из них). разумеется именно тот который хочет злоумышленник, а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? разумеется именно тот который хочет злоумышленник, а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. очевидно две разные сущности. (конкретный алгоритм — зависит от JS-кода который подсул клиенту MitM-агент)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? разумеется именно тот который хочет злоумышленник, а не тот который хочет пользователь-банка.

а затем документ показывается пользователю (для подписи). и вот тут интересный момент по поводу того что именно пользователю покажется на экран и что именно пользователь подпишет своим ключём. (зависит от JS-кода который подсул клиенту MitM-агент)

1. Документ создается на бэке, в системе.
2. На клиент приходит документ для подписи.
3. Токен осуществляет подписание своими аппаратными криптографическими средствами. Используется attached-подпись, PKCS10.
4. Подписанный документ также хранится в системе.

не верно.

алгоритм зависит от того какой JS-код тебе подсунул MitM-агент. прям начиная от того момента времени — какую операцию пользователь-банка хотел бы выполнить.

какой именно документ создасться в бэке? разумеется именно тот который хочет злоумышленник, а не тот который хочет пользователь-банка.