On Mon, 2006-04-03 at 10:00 +0200, Metod Kozelj wrote: > Morda lahko kdo bolj avtoritativno pove, kaj se pri podpisovanju v > resnici dogaja. Jaz si predstavljam to tako, da pač server pošlje en > challenge, uporabnik vkuca tisto kodo (ki jo na zaslon dobi v > grafično-skvarjeni obliki), potem pa tisti JS ali ActiveX koda stvari > malce preračuna in pošlje nazaj. Ne vidim razloga, da se tale del > (preračunavanje) ne bi naredilo na serverju... Prenos preko neta je > kriptiran (SSL), uporabnik je avtentificiran (SSL certifikat), tako da > kakšnih hudih varnostnih pomislekov ne bi smelo biti ... pha, gre bolj za to, da onemogočiš, da bi oddani dokument kasneje kdo spremenil in trdil, da si tako spremenjenega oddal ti.
kar pa se zgornjega tiče, si predstavljaš skoraj, pa ne čisto, popolnoma narobe. popisal si namreč, kako je videti identifikacija s pomočjo digitalnega podpisa: res, tisto "preračunavanje", ki ga omenjaš, je podpisovanje challengea, kar browser zna narediti zato, ker je to standardiziran postopek. v primeru e-dohodnine ne podpišeš nekega challengea, ki bi ga poslal strežnik, temveč podpišeš *dokument*, ki ga oddajaš. ponavadi se naredi izvleček celotnega dokumenta s primernim razprševalnim postopkom (SHA-?, MD-?, ipd.), ta izvleček pa se podpiše s tvojim zasebnim ključem. izvedeni postopek zagotovi, da boš lahko, če nekdo spremeni vrednosti v tvoji dohodninski napovedi, argumentirano trdil, da takšne napovedi ti nisi oddal. lpJ -- e-mail: [EMAIL PROTECTED] w3: http://fish.homeunix.org/people/jaka/ _______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
