On Tue, Aug 06, 2019 at 10:17:37AM +0300, artiom wrote: > > Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата, > > то владелец сайта мог бы запрограммировать дополнительные проверки на то, > > что браузер получил именно тот сертификат, который принадлежит его сайту. > >> Теоретически любую такую проверку можно обойти, но практически > государству > > легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели > > бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :) > > > > Да всё я понял. > Не будет государство ничего ломать. > Когда есть рычаг давления, позволяющий внедрить чужой сертификат, > можно обязать браузер возвращать JS коду владельца поля его > сертификата, даже если он подписан "вражеским" и есть госмитм. > Вариантов, как сделать подобное, - множество. > Эта проблема не решается технически.
О, как интересно. Расскажите подробнее. Вот браузер ПолярнаяЛиса, который юзер себе поставил с плеймаркета, вот сертификат от ГБ, который ему пришлось поставить, чтобы выйти в интернет (без него чекисты не выпускают), вот код на JS, который читает поля сертификата и проверяет, скажем, фингерпринт. Как ГБ может заставить чужой браузер ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у интересного юзеру сайта, а не тот, который в подсунутом чекистами сертификате? > >>>Я пока не вижу иного выхода для > >>> владельца сайта, кроме как выдавать пользователям клиентские > >>> сертификаты и требовать их для доступа к ценным данным. > >> > >>Так уже есть токены. > > > > Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат. > > Независимо от того, как клиент хранит свой ключ, в файле или в тукене. > > > > Когда вам отдают токен, вы можете быть уверены, что там ключ именно > того, кто его передаёт (считаем, что механизмы передачи надёжны). Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему центру. А токен, переданный третьей стороной, может быть этой же стороной слит в ГБ по требованию госорганов. Им это намного легче сделать, чем добыть ключ, который никогда не покидал хозяина. -- Eugene Berdnikov