Я наверное не совсем ясно написал. Имелся в виду файл который находится на сервере. Не передается клиенту, немало, ребят передают на сторону клиента, хеш файла. И подписывают именно этот хеш, инода даже md5. В итоге подписывается «хеш-хеша» )
Мои пять копеек:
1. В 2008х годах когда дали указание срочно «популяризировать» девушки ходили с дисками на которых записаны ЭЦП, и массово раздавали по гос и около-гос конторам. У меня на столе оставили диск, просто потому что коллеги сказали TOLK сидит там, пришлось срочно отзывать ключ.
2. До прошлого года ставили всем пароль 123456, в исключительных случаях дату рождения.
3. Люди до сих пор не осознают, и как только не работает что-то с радостью передают ключи оператору ТП, у наших были до 150чужих ключей на оператора.
4. Самый из распространенных сайтов Госзакуп, где использовался ЭЦП, на заре становления, номинально принадлежит не госконторе. Минфин ни сном ни духом, о БД, о ПО.
5. Не понятно почему NCALAyer вдруг «виноват», хотя к нему немало других претензии, мы и раньше гипотетический могли с попощью апплета, вырвать и ключ и пароль.
6. Сейчас чтобы было удобно и честно, мы путь храним в кукисах пользюка, для быстрого выбора.
7. <зануда моде он :) > NCALayer не передает сайтам пароль, это сайт дергает API NCALayer и передает ему пароль введенный пользователем.
8. Есть немало проблем с НПА, например до сих пор нет, четкого ответа какое преобразование файла(например base64, файлов PDF) допустимо.
9. Из-за проблем со скоростью подписывался и до сих пор некоторые подписывают хеш большого файла а не сам файл.
10. Некоректные подписи есть даже на гос сайтах.
11. Если Вы не знаете не надо говорить о том что частные конторы не используют ЭЦП, у нас только есть десяток порталов(закуп, аукционы, е-документ, и пр), с сотней тысячи пользователей, не говоря уже о конкурентах.
12. Открыто заявлять о уязвимости никто не будет, рынок маленький, завтра кислород перекроют и все.
13. Вроде не было еще ни одного прецендента с разбором подписи. И главное здесь в суде не будут вызывать экспертов, будет прав тот кто прав. Менталитет у нашего народа такой, вся система достойна народа своего.
Не касающееся ЭЦП, СМС дейтвительно стоит около 6тенге, не считая «подписи»(типа просто INFO KAZ вместо имени вашей компании), но при больших оборотах снижается до 4тенге. Но даже 6тенге на одного пользователя это же копейки, 100тыщ пользователей 1800$.
Если я бы был зловредом (с учетом моих скудных познаний в зловредстве):
заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…
Или например хоть в блокноте набрать добротно-маркетингово «Типа Сбер закрывается переходите в банк Бла-Бла»… можно двум банкам насолить )
У каждого свои тараканы, для параноиков это правило Параноиданды :):
«Вы имеете право не голосовать. Всё, что вы выберете, может и будет использовано против Вас при анализе данных.»
Посмотрел ваши комменты, чтобы изучить что Вам нравится — неунылое. Кажется, что пишутся они специально, чтобы обратить внимание на поле «откуда».
Зомбоящик рулит?
PS. если что, я вообще в «другой стороне света» живу ), просто взгляд со стороны…
Мир вам (скорее всего мой единоверец). Пусть Бог ниспошлет Вам характер, который будет примером для других, а не способом наживать врагов нашей религии на ровном месте.
Горько но, иногда, некоторые единоверцы делают такие вещи, которые не один враг(Ислама) не смог бы придумать.
Помнится когда только настраивался e-gov, мы c коллегой решили просто протестировать сайт, зашли и попали в админку IBM WebSphere, вместо стандартного пользовательского контента ) Было воскресенье, счетчик показывал двух пользователей, скорее всего сайтом только мы и интересовались )
1. В 2008х годах когда дали указание срочно «популяризировать» девушки ходили с дисками на которых записаны ЭЦП, и массово раздавали по гос и около-гос конторам. У меня на столе оставили диск, просто потому что коллеги сказали TOLK сидит там, пришлось срочно отзывать ключ.
2. До прошлого года ставили всем пароль 123456, в исключительных случаях дату рождения.
3. Люди до сих пор не осознают, и как только не работает что-то с радостью передают ключи оператору ТП, у наших были до 150чужих ключей на оператора.
4. Самый из распространенных сайтов Госзакуп, где использовался ЭЦП, на заре становления, номинально принадлежит не госконторе. Минфин ни сном ни духом, о БД, о ПО.
5. Не понятно почему NCALAyer вдруг «виноват», хотя к нему немало других претензии, мы и раньше гипотетический могли с попощью апплета, вырвать и ключ и пароль.
6. Сейчас чтобы было удобно и честно, мы путь храним в кукисах пользюка, для быстрого выбора.
7. <зануда моде он :) > NCALayer не передает сайтам пароль, это сайт дергает API NCALayer и передает ему пароль введенный пользователем.
8. Есть немало проблем с НПА, например до сих пор нет, четкого ответа какое преобразование файла(например base64, файлов PDF) допустимо.
9. Из-за проблем со скоростью подписывался и до сих пор некоторые подписывают хеш большого файла а не сам файл.
10. Некоректные подписи есть даже на гос сайтах.
11. Если Вы не знаете не надо говорить о том что частные конторы не используют ЭЦП, у нас только есть десяток порталов(закуп, аукционы, е-документ, и пр), с сотней тысячи пользователей, не говоря уже о конкурентах.
12. Открыто заявлять о уязвимости никто не будет, рынок маленький, завтра кислород перекроют и все.
13. Вроде не было еще ни одного прецендента с разбором подписи. И главное здесь в суде не будут вызывать экспертов, будет прав тот кто прав. Менталитет у нашего народа такой, вся система достойна народа своего.
Не касающееся ЭЦП, СМС дейтвительно стоит около 6тенге, не считая «подписи»(типа просто INFO KAZ вместо имени вашей компании), но при больших оборотах снижается до 4тенге. Но даже 6тенге на одного пользователя это же копейки, 100тыщ пользователей 1800$.
Фанатизм это всегда плохо. Есть вот религиозный, который так глаза затмевает, что страдают все, даже «единоверцы».
заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…
Или например хоть в блокноте набрать добротно-маркетингово «Типа Сбер закрывается переходите в банк Бла-Бла»… можно двум банкам насолить )
крылья, ноги… главное
хвостс полом определиться :)«Вы имеете право не голосовать. Всё, что вы выберете, может и будет использовано против Вас при анализе данных.»
Зомбоящик рулит?
PS. если что, я вообще в «другой стороне света» живу ), просто взгляд со стороны…
Горько но, иногда, некоторые единоверцы делают такие вещи, которые не один враг(Ислама) не смог бы придумать.
Родственница жила на селе, несла кипяток, случился припадок — ожоги страшные.