On Thu, 27 May 2010 16:19:12 +0700 Dmitry Fedorov <dm.fedo...@gmail.com> wrote:
> 2010/5/27 Oleksandr Gavenko: > > > > Без ЭЦП будем иметь вышеописанную ситуацию. > > В JavaScript ЭЦП не всунуть. > > И не надо. > > > Песочница JavaScript дырявая во всех браузерах. > > > > Можете посмотреть что творит дополнение Greasemonkey в FF. > > > > Потому безопасным может быть либо нативный клиент, > > либо интерпретируемый на Java/.Net > > Никаких Java и никаких .net. Можно и без javascript. > Простой и тупой html по https + одноразовые коды с карты кодов, > выданной банком. > > > И не забываем что для получения юридической значимости подписи по > > крайней мере в Росии/Украине требуется регистрация открытого ключа. > > Договор на аналог собственноручной подписи > и никаких ключей. > > > Без явления в банк для заверения ключа ничего не получится. > > Заявление в офисе - обязательно. > > > Всякие SMS-валидации, одноразовые пароли, PCI DSS - херня и профанация. > > SMS - да. > Одноразовые коды рулят, при соблюдении банком соответствующих процедур. > > И никакого доверия ЭЦП и удостоверяющим центрам! Почему? Я вот от них потребовал бумажку с печатью банка что вот этот вот сертификат они выпустили а не третьи лица. Дали, как ни странно -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100527173514.4f3eb...@gmail.com
