2010/5/27 Oleksandr Gavenko: > > Без ЭЦП будем иметь вышеописанную ситуацию. > В JavaScript ЭЦП не всунуть.
И не надо. > Песочница JavaScript дырявая во всех браузерах. > > Можете посмотреть что творит дополнение Greasemonkey в FF. > > Потому безопасным может быть либо нативный клиент, > либо интерпретируемый на Java/.Net Никаких Java и никаких .net. Можно и без javascript. Простой и тупой html по https + одноразовые коды с карты кодов, выданной банком. > И не забываем что для получения юридической значимости подписи по > крайней мере в Росии/Украине требуется регистрация открытого ключа. Договор на аналог собственноручной подписи и никаких ключей. > Без явления в банк для заверения ключа ничего не получится. Заявление в офисе - обязательно. > Всякие SMS-валидации, одноразовые пароли, PCI DSS - херня и профанация. SMS - да. Одноразовые коды рулят, при соблюдении банком соответствующих процедур. И никакого доверия ЭЦП и удостоверяющим центрам!
