Re: Интернет-банкинг
On 2010.05.27 12:19, Dmitry Fedorov wrote:
2010/5/27 Oleksandr Gavenko:
Без ЭЦП будем иметь вышеописанную ситуацию.
В JavaScript ЭЦП не всунуть.
И не надо.
Песочница JavaScript дырявая во всех браузерах.
Можете посмотреть что творит дополнение Greasemonkey в FF.
Потому безопасным может быть либо нативный клиент,
либо интерпретируемый на Java/.Net
Никаких Java и никаких .net. Можно и без javascript.
Простой и тупой html по https + одноразовые коды с карты кодов,
выданной банком.
Я же привел пример с уровнем хищений для Visa для того что бы
такого не писали (негодование по поводу возможности обеспечить
безопасность).
И не забываем что для получения юридической значимости подписи по
крайней мере в Росии/Украине требуется регистрация открытого ключа.
Договор на аналог собственноручной подписи
и никаких ключей.
Основанием для которого является
"ВРЕМЕННОЕ ПОЛОЖЕНИЕ О ПОРЯДКЕ ПРИЕМА К ИСПОЛНЕНИЮ ПОРУЧЕНИЙ
ВЛАДЕЛЬЦЕВ СЧЕТОВ, ПОДПИСАННЫХ АНАЛОГАМИ
СОБСТВЕННОРУЧНОЙ ПОДПИСИ, ПРИ ПРОВЕДЕНИИ БЕЗНАЛИЧНЫХ
РАСЧЕТОВ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ"
Очень полохое с юридической точки зрения.
Интересно - кто либо в банке печатает платежные поручения
после их обработки согласно:
2.9. Платежный документ, подписанный АСП, должен воспроизводиться на
бумажном носителе с сохранением всех реквизитов платежного документа.
Всякие SMS-валидации, одноразовые пароли, PCI DSS - херня и профанация.
SMS - да.
Одноразовые коды рулят, при соблюдении банком соответствующих процедур.
И никакого доверия ЭЦП и удостоверяющим центрам!
Просто электронный документооборот почему то
плохо проработан юридически.
И почему считается что без ЭЦП проще?
Потому что можно с мобильника или с недоверенного компа в интернет-кафе
оплачивать?
--
С уважением, Александр Гавенко.
Reply to: