Статус: Новичок
Группы: Участники
Зарегистрирован: 25.11.2010(UTC)
Сообщений: 6
Откуда: Ульяновск
|
Здравствуйте!
Вопрос скорее теоретический, чем технический. Применяю CryptoPro CSP на сайте. Пользователь подписывает веб-форму. Сомневаюсь в том, какие данные подписывать. Допустим, необходимо подписать регистрацию нового пользователя для компании. То есть в hidden-поле формирую строку данных пользователя, но при этом у пользователя есть id компании. На уровне базы данных, компании и пользователи хранятся в разных таблицах. Но подписывать данные пользователя надо ведь не просто с id компании, он ведь не несет в себе никакой конкретной информации. Я рассуждаю так, что при необходимой расшифровке подписи, видны будут данные пользователя, но однозначно нельзя будет сказать к какой компании он привязан, ведь id компании - это скорее технические данные базы данных и для пользователя никакой информации он не несет. Тем более, он может быть изменен (мало ли). Получается вопрос будет ли такая подпись вообще иметь какую-либо юридическую силу, ведь появляется неопределенность данных. То есть получается в hidden-поле надо также загонять данные компании и подписывать все вместе. Правильно я рассуждаю? (ситуация с пользователями-компаниями приведена для примера)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Легче всего понять, что надо подписывать, проведя аналогию с тем же бизнес-процессом, но в чисто бумажном документообороте. Представьте, что пользователь лично пришел к Вам и заполняет заявление на регистрацию - какие поля и данные Вы туда включите, чтоб он заверил их своей подписью? Вот их и надо будет подписывать в веб-форме. Отредактировано пользователем 26 ноября 2010 г. 16:21:49(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.11.2010(UTC)
Сообщений: 6
Откуда: Ульяновск
|
Я примерно так и пытался рассуждать. Здесь как раз все очевидно на первый взгляд. В бумажном эквиваленте пользователь не стал бы подписывать документ, на котором указаны не данные его компании, а некий абстрактный код. Если бы это еще был какой-либо единый государственный код (инн например), но это просто поле в базе данных. Тогда становится понятным, что надо вносить все данные в подпись. Но это повлечет загрузку лишней информации, то есть увеличит объем трафика. Тем более в некоторых случаях мне придется тянуть за собой много информации, помимо информации о компании. Но я не совсем уверен, правильно ли я рассуждаю. Может я что-либо упустил? Отредактировано пользователем 26 ноября 2010 г. 16:13:46(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Лишнюю информацию, т.е ту, которую можно свободно отбросить, а затем однозначно получить из остальных переданных данных (например, пользователь указывает дату рождения, тогда возраст будет лишней информацией) конечно не стоит подписывать, передавать и хранить. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.11.2010(UTC)
Сообщений: 6
Откуда: Ульяновск
|
Kirill Sobolev, спасибо за ответы! Что касается ссылок на дополнительные данные по id в бд, я так понял надо подписывать не id, а именно сами данные, конечно, с учетом того, чтобы не было лишней информации.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
