OpenForum RSS: Консорциум W3C опубликовал черновик Web API для криптографич... https://www.opennet.ru/openforum/vsluhforumID3/88149.html Консорциум W3C анонсировал (http://www.w3.org/News/2013.html#entry-9675) доступность черновых вариантов web-стандарта с реализацией Web API для использования криптографических операций в web-приложениях:<br><br><br>- Web Cryptography API (http://www.w3.org/TR/2013/WD-WebCryptoAPI-20130108/) - определяет JavaScript API для выполнения базовых криптографических операций на стороне web-приложений, таких как манипуляции с криптографическими хэшами, генерация и проверка цифровых подписей, кодирование и декодирования данных с использованием различных методов шифрования, формирование криптографически надёжных случайных чисел. В API также предусмотрены функции для генерации ключей и управления ими. Для размещения ключей предусмотрено как временное хранилище, действующее только в пределах текущего сеанса, так и постоянное хранилище. Доступ к ключам осуществляется на основе привязки к домену (same-origin). В качестве примеров применения Web Cryptography API называется обеспечение аутентификации, использование цифровых подписе Консорциум W3C опубликовал черновик Web API для... (arisu) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#30 Sun, 13 Jan 2013 20:09:26 GMT &gt; да, злоумышленник узнает хеш и сможет авторизоваться отправив это же хеш<br><br>и вот такие люди зачастую пишут не просто *про* &#171;secure auth&#187;, а софт, где необходим secure auth&#8230; да, впрочем, и первое тоже плохо &#8212; другие-то читают. боженька, милый, убей их всех, пожалуйста. с любовью, arisu.<br> Консорциум W3C опубликовал черновик Web API для... (arisu) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#29 Sun, 13 Jan 2013 20:05:57 GMT &gt; Когда окажется с нулём на расчётном счёте из-за того, что игнорировал рекомендации <br>&gt; админа<br><br>&#8230;то админу придётся продавать почки. свою и родственников. чтобы расплатиться.<br> Консорциум W3C опубликовал черновик Web API для... (arisu) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#28 Sun, 13 Jan 2013 20:04:34 GMT &gt; С другой стороны готовится https 2.0 или как его там зовут, может <br>&gt; там будет шифрование получше что исключит на десятки лет возможность MiTM <br><br>trustwave снисходительно улыбаются.<br> Консорциум W3C опубликовал черновик Web API для криптографич... (ФФ) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#27 Thu, 10 Jan 2013 13:30:13 GMT &gt; (фыркаю) Попробуй это заявить, например, владельцу бизнеса.<br><br>Не вижу проблем заявить. Бояться увольнения, что ли?<br> Консорциум W3C опубликовал черновик Web API для криптографич... (YetAnotherOnanym) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#26 Thu, 10 Jan 2013 11:13:20 GMT Когда окажется с нулём на расчётном счёте из-за того, что игнорировал рекомендации админа - с особым удовольствием.<br> Консорциум W3C опубликовал черновик Web API для криптографич... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#25 Thu, 10 Jan 2013 10:33:42 GMT &gt; Руководитель, игнорирующий одмина (особенно в вопросах безопасности), гораздо более не <br>&gt; на своём месте ) <br><br>(фыркаю) Попробуй это заявить, например, владельцу бизнеса.<br> Консорциум W3C опубликовал черновик Web API для криптографич... (ФФ) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#24 Thu, 10 Jan 2013 05:49:12 GMT Руководитель, игнорирующий одмина (особенно в вопросах безопасности), гораздо более не на своём месте )<br> Консорциум W3C опубликовал черновик Web API для криптографич... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#23 Wed, 09 Jan 2013 22:57:56 GMT отлично оптимизировали все на клиента.<br>разгрузка сервера - клиент сам себя грузит<br> Консорциум W3C опубликовал черновик Web API для криптографич... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88149.html#22 Wed, 09 Jan 2013 20:48:04 GMT &gt; (да, злоумышленник узнает хеш и сможет авторизоваться отправив это же хеш, но <br>&gt; он не будет знать пароль, который может быть используется пользователем для <br>&gt; многих других сайтов) <br><br>А если так: Сайт хранит hash(salt+password), на флешке (или другом носителе) пользователь хранит salt сайта и вводит пароль сайта. Для авторизации сайт отправляет некий random_salt, через CryptoAPI получаем hash(random_salt+hash(salt+password)) и его-то мы и отправляем сайту. Таким образом, авторизация с перехватом хеша уже не состоится. Единственная проблема - первоначальный обмен этим самым salt.<br><br>&gt; А с ключами.. Вы, имхо, слишком утрируете и вся криптография у вас <br>&gt; сводится в принцип SSL. Если обменивание паблик-плючей происходит по другим каналам <br>&gt; связи(флешка, например, из рук в руки как в банках), над которыми <br>&gt; у злоумышленника нет никакого контроля/доступа, то разумеется, он тут вообще бессилен.<br><br>Ну, алгоритм Диффи-Хеллмана на элиплических кривых с достаточной длины ключами еще считается достаточно надежн