Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Цитата:Версия плагина последняя, браузер Хром. Что я делаю не так? В chrome (и других браузерах, кроме IE) вы используете объекты КриптоПро ЭЦП Browser plug-in. В IE - объекты CAdESCOM (COM-интерфейс). Так вот подпись (и другие данные) в бинарном виде можно получить только из COM-интерфейса, а получить ее без ошибок и иметь возможность сделать с ней что-то осмысленное только при вызове не из браузера (например из .Net). Причина в том, что не существует простого и надежного способа передачи бинарных данных из браузера в плагин и обратно. Поэтому в плагине доступна только кодировка BASE64. Если вам нужна подпись в бинарном виде - вы можете декодировать ее из BASE64 в DER после получения. Кстати, значение параметра EncodingType по умолчанию установлено в CAPICOM_ENCODE_BASE64. Таким образом, в плагине этот параметр можно вообще не задавать.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.08.2012(UTC) Сообщений: 123
Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах
|
Автор: Новожилова Елена e.ochkurov написал:Появится ли в обозримом будущем возможность подписывать готовый хэш через данный плагин? Т.к. гонять увесистые документы, расположенные на сервере, по "узкой" сети для подписания на стороне клиента очень затратно по времени. Нет, такая возможность пока не планируется. В частности потому, что такой подход не гарантирует пользователю, что сервер предоставил хэш именно того документа, который пользователь собирается подписать. Большой простор для мошенничества. К сожалению не нашел другой информации. Последний ответ был о том, что плагин не поддерживает подпсиывание хеша. Так и не смог понять почему подписывание всего документа более открыто для пользователя чем подписывание хеша? Все равно пользователь нажимает кнопку подписать, а само подписывание остается за кадром. Или вы предполагаете что можно отобразить бинарное содержимое перед подписыванием и таким образом пользователь будет уверен что это именно то что он и собирался подписать? Добавлю, что дополнительный диалог с возможностью предпросмотра подписываемых данных действительно мог бы исключить подмену документа в момент подписывания. А в случае подписывания хеша уведомлять пользователя о том, что он может подписать его если источник данных является доверенным. Отредактировано пользователем 13 февраля 2013 г. 10:15:07(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,331 Сказал «Спасибо»: 550 раз Поблагодарили: 2209 раз в 1724 постах
|
Автор: dmishin Автор: Новожилова Елена e.ochkurov написал:Появится ли в обозримом будущем возможность подписывать готовый хэш через данный плагин? Т.к. гонять увесистые документы, расположенные на сервере, по "узкой" сети для подписания на стороне клиента очень затратно по времени. Нет, такая возможность пока не планируется. В частности потому, что такой подход не гарантирует пользователю, что сервер предоставил хэш именно того документа, который пользователь собирается подписать. Большой простор для мошенничества. К сожалению не нашел другой информации. Последний ответ был о том, что плагин не поддерживает подпсиывание хеша. Так и не смог понять почему подписывание всего документа более открыто для пользователя чем подписывание хеша? Все равно пользователь нажимает кнопку подписать, а само подписывание остается за кадром. Или вы предполагаете что можно отобразить бинарное содержимое перед подписыванием и таким образом пользователь будет уверен что это именно то что он и собирался подписать? Добавлю, что дополнительный диалог с возможностью предпросмотра подписываемых данных действительно мог бы исключить подмену документа в момент подписывания. А в случае подписывания хеша уведомлять пользователя о том, что он может подписать его если источник данных является доверенным. Бумажный вариант: Вы бы подписали лист бумаги, где есть только слово: Договор или Доверенность без текста? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.08.2012(UTC) Сообщений: 123
Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах
|
Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,331 Сказал «Спасибо»: 550 раз Поблагодарили: 2209 раз в 1724 постах
|
Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.08.2012(UTC) Сообщений: 123
Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах
|
Автор: Андрей * Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,331 Сказал «Спасибо»: 550 раз Поблагодарили: 2209 раз в 1724 постах
|
Автор: dmishin Автор: Андрей * Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали. И что? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.08.2012(UTC) Сообщений: 123
Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах
|
Автор: Андрей * Автор: dmishin Автор: Андрей * Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали. И что? Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,331 Сказал «Спасибо»: 550 раз Поблагодарили: 2209 раз в 1724 постах
|
Автор: dmishin Автор: Андрей * Автор: dmishin Автор: Андрей * Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали. И что? Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным. Не нужно ссылаться на неграмотность пользователя. Подписывается и так хеш, только вычисленный локально. Что делает ваше ПО (подменяет данные) - уже ваши проблемы и ваших пользователей. Сколько было у меня клиентов - никто не согласен подписывать что-то, не ознакомившись. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 07.08.2012(UTC) Сообщений: 123
Сказал(а) «Спасибо»: 4 раз Поблагодарили: 6 раз в 6 постах
|
Автор: Андрей * Автор: dmishin Автор: Андрей * Автор: dmishin Автор: Андрей * Автор: dmishin Бумажный вариант: Вам предлагают ознакомитсья с договором, но подписать его отвернувшись. Это надежней? Конечно, если я не согласен с договором (ознакомился) - я уже не буду, отвернувшись, его подписывать. Я про тот случай, когда вы согласны с договором и хотите его подписать. Но на стороне javascript всегда есть возможность изменить данные которые вы хотите подписать. И в итоге вы подпишете не совсем то что читали. И что? Так почему бы не добавить возможность подписывать хеш, чтобы не заставлять пользователя скачивать документ. Все равно процесс подписания остается для пользователя непрозрачным. Не нужно ссылаться на неграмотность пользователя. Подписывается и так хеш, только вычисленный локально. Что делает ваше ПО (подменяет данные) - уже ваши проблемы и ваших пользователей. Сколько было у меня клиентов - никто не согласен подписывать что-то, не ознакомившись. Я не говорю о неграмотности пользователя, я говорю о том, что на безопасность такая возможность никак не влияет. И попутно вопрос по использованию - есть ли возможность в ЭЦП Browser Plugin проверить установлен ли CSP поддерживающий ГОСТ? Отредактировано пользователем 13 февраля 2013 г. 11:50:20(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close