On pet, 2006-04-07 at 10:06 +0200, Gregor Berginc wrote: > Zivjo, > > On 06/04/06, Matej Spiller-Muys <[EMAIL PROTECTED]> wrote: > > > V resnici ti to čisto nič ne pomaga, pred tem, da bi nek zlobni program > > > v trenutku pred podpisom ne spremenil podpisljivih podatkov, tebi pa > > > prikazal na zaslonu 'staro' različico ... in v vseh naslednjih trenutkih > > > enako. > > Khm... Ceprav sem nekaj casa pomagal drugemu Hermesu (Plus) pri > izvedbi komponente za podpis, mislim, da na to moznost nismo nikdar > niti pomislili.
To me res čudi in skrbi. > Uporabnik vzpostavi SSL sejo s streznikom in izpolni obrazec. Pred > podpisom se zgenerira celotna vsebina in prikaze uporabniku (vse preko > ssl-a). Uporabnik se odloci zadevo podpisati, nakar se mora aktivirati > nek programcek, ki dokument precita iz streznika (tudi to mora biti > preko ssl-a!) in podpise z uporabnikovim privatnim kljucem. > > Zal ne razumem, kje naj bi se nekdo naselil in uporabniku vsili drugo > vsebino v podpis. Ali to pomeni, da tudi SSL-u ne smemo vec zaupati? > Nadalje, ce shranis povratnico jo pregledas in primerjas s tem, kar > vidis na zaslonu, saj gre za navaden xml dokument... Predstavljaj si program, ki preprosto prevzame nadzor nad uporabnikovim računalnikom. Uporabniku prikaže v potrditev čisto nekaj drugega kot se v ozadju res podpisuje in izmenjuje preko SSL - zlobni program pač lahko na zaslonu prikaže natanko kar hoče, kadar hoče. Ne glede na to kakšne one time pade vpisuje uporabnik in ne glede na to, ali uporabnik uporablja pametno kartico. Vsaj dokler ne bomo imeli treacherous computinga, strojne izolacije procesov in 'zavarovane zaslonske poti'. Zato je trditev, da sta Klik ali e-dohodnina varna proti takem napadu popoln pesek v oči. bye andraž _______________________________________________ lugos-list mailing list lugos-list@lugos.si http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
