On 08/29/2011 09:59 AM, nightwatch77 wrote:
> Dzizas, chłopaki, ale kombinujecie. Czy w ogole jest wymagany podpis
> kryptograficzny? Nie widzialem tu takiego wymagania i nie sądzę że
> jest do czegoś potrzebne. W biurowym workflow zwykle wystarczy
> informacja o decyzji kierownika zapisana gdzieś w dokumencie lub jego
> historii - pokazać kierownikowi okienko decyzji i niech wybierze
> odpowiednią opcję. Uwierzytelnieniem tego jest sama aplikacja ktora
> zna id zalogowanego użytkownika - firma ufa swojej własnej
> autentykacji, czy to domena czy cokolwiek innego. Zakładamy że tylko
> kierownik zna swoje hasło do aplikacji i że każdy pracuje na swoim
> koncie - ale to chyba normalne?
> Po podjęciu decyzji można kierownikowi wysłać potwierdzenie mailem
> albo smsem, żeby mógł zweryfikować czy się nie pomylił albo czy ktoś
> się pod niego podszył - no i będzie miał ślad gdyby np ktoś zmienił
> jego decyzję grzebiąc bezpośrednio w bazie.
> Co do dodatkowych zabezpieczeń przed grzebaniem w bazach aplikacji -
> pomysł z md5 jest chyba wystarczający, ale wg mnie to i tak za daleko
> idące zabezpieczenie. Jeśli ktoś może grzebać w bazie to pwnie może
> też np zmienić hasło domenowe i podszyć się pod innego użytkownika tak
> że nikt tego nie wykryje. No ale jeśli firma nie ufa swoim adminom to
> ma problem kadrowy a nie kryptograficzny.
> R

"pomysł z md5" to jak coś pomiędzy Diffie Hellman a Rijndaelem zgodnie
z wolą ludu do osiągnięcia prostego kompromisu i nie musi koniecznie
działać, to ostatnie ktoś w wątku już zauważył.

Co do reszty ogólnie masz rację, ale każdy system wokflow ma
logowanie się, więc w ogóle nie ma tematu.

Edek