On Wed, 21 Jan 2009 13:04:13 -0000, Stachu 'Dozzie' K.
<d...@d...im.pwr.wroc.pl.nospam> wrote:

>> Bez https można przeprowadzić atak MITM i zanim strona dotrze do twoich
>> użytkowników, całkowicie usunąć z niej wszelką kryptografię albo dodać
>> skrypty, które wysyłają atakującemu niezaszyfrowaną kopię, podmieniają
>> dane przed podpisaniem, etc.
>
> I co to da, jeśli serwer oczekuje podpisanych danych albo wręcz samego
> podpisu i weryfikuje czy dostał co trzeba?
> A jeśli dane nie są wrażliwe
> na ujawnienie i mogą iść bez SSL (bo jeśli by były wrażliwe, to SSL tak
> czy siak by był zaprzęgnięty dla szyfrowania transmisji), to jaką
> wartość będzie miało niepotrzebne zabezpieczenie szyfrowaniem?

Nie szyfrowaniem, a sprawdzeniem, że strona przyszła z oczekiwanego źródła bez
modyfikacji.

Inaczej da się do strony idącej po http-bez-s doczepić kawałek Javascript, który
zmodyfikuje stronę tak, żeby applet/activex podpisujący dane nie widział prawdziwych
danych z formularza, a ich przetworzoną wersję. Wtedy można wrobić ofiarę w
podpisanie czegokolwiek.

Oczywiście nie będzie problemu, jeżeli applet będzie sam się pytał o dane (bez
polegania na stronie http), applet będzie podpisany i użytkownik sprawdzi kto go
podpisał.

> A tak na marginesie, łamałbyś wiersze przy jakiejś przyzwoitej długości,
> na przykład 72 znaków.

Faktycznie - sorry (bug czytnika).

--
this.author = new Geek("porneL");