LINUX.ORG.RU

[Безопасность] HTML5 vs Всякие java, eToken и т.д.

 


0

1

А готов ли HTML5 для того, чтобы заменить всякие Java-апплеты, iBank'и и так далее для банковских транзакций?

Можно ли выкинуть нафиг все эти надстройки и достигнуть такого же уровня безопасности. Или использовать те же самые RuToken'ы через HTML5?

★★★★★

А готов ли HTML5 для того, чтобы заменить всякие Java-апплеты, iBank'и и так далее для банковских транзакций?

Можно ли выкинуть нафиг все эти надстройки и достигнуть такого же уровня безопасности.

В теории - да. HTTPs по идее обеспечивает такой же уровень безопасноти. И теми же средствами. Версия HTML тут вообще без разницы, можно же сделать web 1.0 без яваскриптов и модных аяксов =).

Или использовать те же самые RuToken'ы через HTML5?

А вот конкретно с RuToken'ами всё сложнее. В них же, если я не ошибаюсь, реализованы ГОСТовские алгоритмы шифрования и генерации случайных данных. И я практически уверен, что там свой велосипедный протокол взаимодействия софта с собственно токенами.

Deleted
()

Теоретически, ничто не мешает для проверки подлинности клиента и защиты канала связи использовать сертификаты и https.

Практически, наше законодательство для подобных случаев требует сертификации, а этому «подвержены» в наших палестинах только ГОСТовские алгоритмы и системы на их базе.

hotaru
()
Ответ на: комментарий от Deleted

>А вот конкретно с RuToken'ами всё сложнее. В них же, если я не ошибаюсь, реализованы ГОСТовские алгоритмы шифрования и генерации случайных данных. И я практически уверен, что там свой велосипедный протокол взаимодействия софта с собственно токенами.

для винды - криптопровайдер, сертифицированный и реализующий гост встраивается средствами ms crypto api в винду, ставятся дрова на рутокен и вперед - https по госту есть, правда исключительно в IE (видимо остальные браузеры на ms crypto api не полагаются, а реализуют ssl сами).

для линуксов для поддержки ssl по сертифицированному госту приложением его в любом случае придется допиливать, потому как в каждом браузере своя реализация ssl (сколько из мейнстримных браузеров зависят от того же openssl? да по-моему ни один). как с токенами обстоит дело - не знаю.

maloi ★★★★★
()
Ответ на: комментарий от hotaru

>Теоретически, ничто не мешает для проверки подлинности клиента и защиты канала связи использовать сертификаты и https.

Дык утянуть эти сертификаты достаточно просто, или я ошибаюсь? Вот бы вариант, чтобы пользователь не заморачиваясь с импортом сертификата в браузер - просто хранил его на флешке и когда флешка подключена - зайти сможет, когда нет - тогда и нет.

Siado ★★★★★
() автор топика
Ответ на: комментарий от Siado

это если он на ФС хранится - тогда не проблема утянуть, а если на специально придуманном для хранения ключевой информации устройстве - уже проблема.

maloi ★★★★★
()
Ответ на: комментарий от maloi

Ну а есть ли такое устройство? )
Ну или хотя бы та же самая флешка, только как-то автоматом путь к директории с сертификатом прописывать в профиле регистранта и хранить на серваке

Siado ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.