Re: Интернет-банкинг
On Thu, 27 May 2010 16:19:12 +0700
Dmitry Fedorov <dm.fedorov@gmail.com> wrote:
> 2010/5/27 Oleksandr Gavenko:
> >
> > Без ЭЦП будем иметь вышеописанную ситуацию.
> > В JavaScript ЭЦП не всунуть.
>
> И не надо.
>
> > Песочница JavaScript дырявая во всех браузерах.
> >
> > Можете посмотреть что творит дополнение Greasemonkey в FF.
> >
> > Потому безопасным может быть либо нативный клиент,
> > либо интерпретируемый на Java/.Net
>
> Никаких Java и никаких .net. Можно и без javascript.
> Простой и тупой html по https + одноразовые коды с карты кодов,
> выданной банком.
>
> > И не забываем что для получения юридической значимости подписи по
> > крайней мере в Росии/Украине требуется регистрация открытого ключа.
>
> Договор на аналог собственноручной подписи
> и никаких ключей.
>
> > Без явления в банк для заверения ключа ничего не получится.
>
> Заявление в офисе - обязательно.
>
> > Всякие SMS-валидации, одноразовые пароли, PCI DSS - херня и профанация.
>
> SMS - да.
> Одноразовые коды рулят, при соблюдении банком соответствующих процедур.
>
> И никакого доверия ЭЦП и удостоверяющим центрам!
Почему? Я вот от них потребовал бумажку с печатью банка что вот этот вот сертификат они выпустили а не третьи лица. Дали, как ни странно
Reply to: