> > Vsekakor nam do takrat ne ostane nic drugega kot to, da za svoje > > mlincke skrbimo po najboljsih moceh. > > Ja in prav tukaj jaz vidim problem. Drzava nam je podturila svoj applet za > varnost katerega bomo morali skrbeti mi, "oni" gredo pa zdaj lahko mirno > na dopust ;)
Stvar je še bolj katastrofalna... komponento, ki nam bo zadevo podpisovala nam postrežejo kar preko navadnega http protokola in na isti nekriptirani strani povedo se SHA-1 hash... http://edavki.durs.si/OpenPortal/Pages/Faq/FaqPreview.aspx?id=45 (vsaj na tej strani so navodila in navadni http linki - pa tudi ko si ze enkrat na https to po javo in jce pošljejo na navadni http!) man-in-the-middle napadalec lahko datoteko in SHA na strani brez problema zamenja! torej efektivno rešitev ni nič bolj varna, kot če bi uporabljali navadno SSL konekcijo in nobenih client-side podpisovanj. ŠE VEČ: rešitev je _NEVARNEJŠA_ od golega zaupanja SSL konekciji, saj te prisili, da postaneš ranljiv za man-in-the-middle attack, saj te prisilijo namestiti software, ki mu daš vse varnostne privilegije! ta software pa dobiš preko nevarovane poti... genijalno! To sem šele zdajle doumel in se mi zdi v bistvu zelo nevarno. čao andraž _______________________________________________ lugos-list mailing list [email protected] http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
