Re: Интернет-банкинг
2010/5/27 Oleksandr Gavenko:
>
> Без ЭЦП будем иметь вышеописанную ситуацию.
> В JavaScript ЭЦП не всунуть.
И не надо.
> Песочница JavaScript дырявая во всех браузерах.
>
> Можете посмотреть что творит дополнение Greasemonkey в FF.
>
> Потому безопасным может быть либо нативный клиент,
> либо интерпретируемый на Java/.Net
Никаких Java и никаких .net. Можно и без javascript.
Простой и тупой html по https + одноразовые коды с карты кодов,
выданной банком.
> И не забываем что для получения юридической значимости подписи по
> крайней мере в Росии/Украине требуется регистрация открытого ключа.
Договор на аналог собственноручной подписи
и никаких ключей.
> Без явления в банк для заверения ключа ничего не получится.
Заявление в офисе - обязательно.
> Всякие SMS-валидации, одноразовые пароли, PCI DSS - херня и профанация.
SMS - да.
Одноразовые коды рулят, при соблюдении банком соответствующих процедур.
И никакого доверия ЭЦП и удостоверяющим центрам!
Reply to: