Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

46 Страницы«<2829303132>»
Опции
К последнему сообщению К первому непрочитанному
Offline Новожилова Елена  
#291 Оставлено : 28 января 2013 г. 15:37:35(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Цитата:
Версия плагина последняя, браузер Хром. Что я делаю не так?


В chrome (и других браузерах, кроме IE) вы используете объекты КриптоПро ЭЦП Browser plug-in. В IE - объекты CAdESCOM (COM-интерфейс).
Так вот подпись (и другие данные) в бинарном виде можно получить только из COM-интерфейса, а получить ее без ошибок и иметь возможность сделать с ней что-то осмысленное только при вызове не из браузера (например из .Net).

Причина в том, что не существует простого и надежного способа передачи бинарных данных из браузера в плагин и обратно.

Поэтому в плагине доступна только кодировка BASE64. Если вам нужна подпись в бинарном виде - вы можете декодировать ее из BASE64 в DER после получения.

Кстати, значение параметра EncodingType по умолчанию установлено в CAPICOM_ENCODE_BASE64. Таким образом, в плагине этот параметр можно вообще не задавать.
Offline dmishin  
#292 Оставлено : 13 февраля 2013 г. 10:07:47(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Новожилова Елена Перейти к цитате
e.ochkurov написал:
Появится ли в обозримом будущем возможность подписывать готовый хэш через данный плагин? Т.к. гонять увесистые документы, расположенные на сервере, по "узкой" сети для подписания на стороне клиента очень затратно по времени.


Нет, такая возможность пока не планируется.

В частности потому, что такой подход не гарантирует пользователю, что сервер предоставил хэш именно того документа, который пользователь собирается подписать. Большой простор для мошенничества.


К сожалению не нашел другой информации. Последний ответ был о том, что плагин не поддерживает подпсиывание хеша.

Так и не смог понять почему подписывание всего документа более открыто для пользователя чем подписывание хеша?
Все равно пользователь нажимает кнопку подписать, а само подписывание остается за кадром. Или вы предполагаете что можно отобразить бинарное содержимое перед подписыванием и таким образом пользователь будет уверен что это именно то что он и собирался подписать?

Добавлю, что дополнительный диалог с возможностью предпросмотра подписываемых данных действительно мог бы исключить подмену документа в момент подписывания. А в случае подписывания хеша уведомлять пользователя о том, что он может подписать его если источник данных является доверенным.

Отредактировано пользователем 13 февраля 2013 г. 10:15:07(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#293 Оставлено : 13 февраля 2013 г. 10:21:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,331
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2209 раз в 1724 постах
Автор: dmishin Перейти к цитате
Автор: Новожилова Елена Перейти к цитате
e.ochkurov написал:
Появится ли в обозримом будущем возможность подписывать готовый хэш через данный плагин? Т.к. гонять увесистые документы, расположенные на сервере, по "узкой" сети для подписания на стороне клиента очень затратно по времени.


Нет, такая возможность пока не планируется.

В частности потому, что такой подход не гарантирует пользователю, что сервер предоставил хэш именно того документа, который пользователь собирается подписать. Большой простор для мошенничества.


К сожалению не нашел другой информации. Последний ответ был о том, что плагин не поддерживает подпсиывание хеша.

Так и не смог понять почему подписывание всего документа более открыто для пользователя чем подписывание хеша?
Все равно пользователь нажимает кнопку подписать, а само подписывание остается за кадром. Или вы предполагаете что можно отобразить бинарное содержимое перед подписыванием и таким образом пользователь будет уверен что это именно то что он и собирался подписать?

Добавлю, что дополнительный диалог с возможностью предпросмотра подписываемых данных действительно мог бы исключить подмену документа в момент подписывания. А в случае подписывания хеша уведомлять пользователя о том, что он может подписать его если источник данных является доверенным.


Бумажный вариант:
Вы бы подписали лист бумаги, где есть только слово: Договор или Доверенность без текста?




Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#294 Оставлено : 13 февраля 2013 г. 10:32:53(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?
Offline Андрей Писарев  
#295 Оставлено : 13 февраля 2013 г. 10:46:51(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,331
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2209 раз в 1724 постах
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.
Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#296 Оставлено : 13 февраля 2013 г. 10:53:12(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.


Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.
Offline Андрей Писарев  
#297 Оставлено : 13 февраля 2013 г. 10:56:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,331
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2209 раз в 1724 постах
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.


Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.


И что?
Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#298 Оставлено : 13 февраля 2013 г. 11:00:15(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.


Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.


И что?


Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным.
Offline Андрей Писарев  
#299 Оставлено : 13 февраля 2013 г. 11:13:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,331
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2209 раз в 1724 постах
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.


Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.


И что?


Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным.


Не нужно ссылаться на неграмотность пользователя.
Подписывается и так хеш, только вычисленный локально. Что делает ваше ПО (подменяет данные) - уже ваши проблемы и ваших пользователей.

Сколько было у меня клиентов - никто не согласен подписывать что-то, не ознакомившись.




Техническую поддержку оказываем тут
Наша база знаний
Offline dmishin  
#300 Оставлено : 13 февраля 2013 г. 11:18:12(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Автор: Андрей * Перейти к цитате
Автор: dmishin Перейти к цитате
Бумажный вариант:
Вам предлагают ознакомитсья с договором, но подписать его отвернувшись.
Это надежней?


Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать.


Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.


И что?


Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным.


Не нужно ссылаться на неграмотность пользователя.
Подписывается и так хеш, только вычисленный локально. Что делает ваше ПО (подменяет данные) - уже ваши проблемы и ваших пользователей.

Сколько было у меня клиентов - никто не согласен подписывать что-то, не ознакомившись.


Я не говорю о неграмотности пользователя, я говорю о том, что на безопасность такая возможность никак не влияет.


И попутно вопрос по использованию - есть ли возможность в ЭЦП Browser Plugin проверить установлен ли CSP поддерживающий ГОСТ?

Отредактировано пользователем 13 февраля 2013 г. 11:50:20(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
46 Страницы«<2829303132>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.