Обновить

Комментарии 18

НЛО прилетело и опубликовало эту надпись здесь

надо ещё как-то проверять валидность этого самого NCALayer'а

не надо.

достаточно проверять валидность подписи, и валидность сертификата(-ов), включая полномочия.

НЛО прилетело и опубликовало эту надпись здесь

вы сейчас про работу приложения на устройстве пользователя, к аутентификации на удаленном сервисе это никакого отношения не имеет.

в общем случае, да, было бы хорошо контролировать целостность софта на устройстве пользователя. но задача, опять же в общем случае, нерешаема, т.к. устройство контролирует только сам пользователь. нет никаких надежных способов ограничивать доступ к устройству. sony ps и iphone ломают несмотря на серьезные усилия производителей.

НЛО прилетело и опубликовало эту надпись здесь

Достаточно минимально контролировать целостность и докладывать об этом на сайт, на котором происходит авторизация.

Расскажите, какие есть способы контроля целостности ПО на устройстве пользователя, которым может доверять удаленный сервис?

НЛО прилетело и опубликовало эту надпись здесь

Я так понимаю репозитории с fcalayer на гитхаб доступен не будет?

Будет, чуть позже

Премного благодарны. Надеюсь Ваш пост и проделанная работа, окажут положительное влияние на ситуацию.

и могу лишь предполагать о причинах таких проблем с реализацией работы с ЭЦП

причина

Зачем нужен прибитый гвоздями к определенной ОС ASN.1 Editor, когда сто лет есть https://lapo.it/asn1js/

Затем, что в нем можно редактировать данные.

Это что.... ;)))

Встречал реализации, где для аутентификации вместо подписи отправлялся сертификат.

Т.е. аутентификация осуществлялась по предъявлению сертификата ;)))

зы

еще встречал реализации подписи файла, где подписывалось уникальное имя файла, а не содержимое файла. и авторы такого подхода утверждали, что все ок, т.к. имя файла уникально и секретно, а-ля хеш файла ;))

Мне вообще не нравится идея использовать эти сертификаты. Их записывают на флешку, которую используют дома, на работе, в общественных терминалах. На сами сертификаты ставят банальные пароли в стиле 123 или просто кладут пароль в текстовый файл. Все что остаётся злоумышленнику скопировать файлы и та дааа) Жертва догадываться не будет, т.к. портал не будет предупреждать о сессии с другого устройства или геолокации

НЛО прилетело и опубликовало эту надпись здесь

Я как-то попросил сотрудников "Правительства для граждан" записать ключи на удостоверение личности. Они ответили, что могут только на флешку...

НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации