Użytkownik "nightwatch77" napisał w wiadomości grup
dyskusyjnych:f61a4934-81bc-4ac8-b362-d6437842572a@p1
0g2000yqi.googlegroups.com...

>Dzizas, chłopaki, ale kombinujecie. Czy w ogole jest wymagany podpis
>kryptograficzny? Nie widzialem tu takiego wymagania i nie sądzę że

A tak z ciekawości - ile kosztuje certyfikowany zgodny z PN e-podpis? Czy
naprawdę firmy nie stać na taki podpis dla Pana Kierownika - zwłaszcza, że
przydałby się pewnie i do innych rzeczy niż podpisywanie Bardzo Ważnych
Wewnętrznych Papierków?

>historii - pokazać kierownikowi okienko decyzji i niech wybierze
>odpowiednią opcję. Uwierzytelnieniem tego jest sama aplikacja ktora

Bardzo szybko okaże się, że:

1. Zamiast kierownika klika jego sekretarka (za wiedzą lub bez).
2. Zamiast kierownika klika jego nad-kierownik (bo skoro jest szefem szefa
to czemu nie?)
3. Administrator systemu może wszystkich wyręczyć w dowolnym czasie i nawet
z antydatowaniem.

>autentykacji, czy to domena czy cokolwiek innego. Zakładamy że tylko
>kierownik zna swoje hasło do aplikacji i że każdy pracuje na swoim
>koncie - ale to chyba normalne?

Zapominasz o administratorze/informatyku.



Po podjęciu decyzji można kierownikowi wysłać potwierdzenie mailem
albo smsem, żeby mógł zweryfikować czy się nie pomylił albo czy ktoś
się pod niego podszył - no i będzie miał ślad gdyby np ktoś zmienił
jego decyzję grzebiąc bezpośrednio w bazie.
Co do dodatkowych zabezpieczeń przed grzebaniem w bazach aplikacji -
pomysł z md5 jest chyba wystarczający, ale wg mnie to i tak za daleko
idące zabezpieczenie. Jeśli ktoś może grzebać w bazie to pwnie może
też np zmienić hasło domenowe i podszyć się pod innego użytkownika tak
że nikt tego nie wykryje. No ale jeśli firma nie ufa swoim adminom to
ma problem kadrowy a nie kryptograficzny.
R