OT Autorizace aplikace pomoci klientskeho certifikatu

Galloth lordgalloth na gmail.com
Čtvrtek Prosinec 18 15:51:11 CET 2014


To ale vycházíte z předpokladu, že ta část aplikace, která realizovala SSL
je v pořádku, ale pokud někdo má fyzický přístup k tomu zařízení, tak si
může Vaši apku vzít a něco tam změnit, aniž by jste to poznal a pak do toho
šťourat jak bude chtít.

Samozřejmě uznávám, že existují metody, ja mu to stížit aby přehlédl něco,
podle čeho poznáte, že se jedná o špatnou apku, ale to nelze nijak
garantovat (záleží to na tom, jak je útočník odhodlaný a pozorný).

Ale je možné, že tu autentizaci na základě již navázaného spojení chápu
špatně. Myslel jsem, že plánujete dát na web aplikaci, kterou si může
uživatel stáhnout, doma spustit a ona Vám pak bude posílat data ze kterých
se spočítá cena. A vy chcete ověřit, že uživatel pouští ten Váš originální
kód a že jej nemodifikoval aby posílala falešná data.

Proto nechápu, jak to že proběhla nebo neproběhla autentizace pomocí SSL
odhalí, jestli se algoritmus výpočtu dat změnil.

Leda tak, jak píše kolega vždy posílat výpočetní kód, ale ani to není jisté
a lze to částečně obejít.

Honza

Dne 18. prosince 2014 15:34 RV <vicek.radek na cpost.cz> napsal(a):
>
> Mam obavu, ze se to zrejme nedozvite... ;-)
>
> Mam v hlave par veci, ale musim je proverit - principialne vychazim z
> toho, ze se ty veci (autorizace) udeji az na urovni jiz navazane SSL
> komunikace a tudiz do toho nebude moci nikdo nijak stourat.
>
> Radek Vicek
>
> Dne 18.12.2014 v 15:29 Galloth napsal(a):
>
>>
>> Docela by mne zajímalo, jak to vyřešíte.
>>
>> Honza
>>
> ---------------------------------
>
> Pro případ, že tato zpráva obsahuje návrh smlouvy, Česká pošta, s.p.
> vylučuje možnost přijetí návrhu smlouvy s jakýmikoli změnami, dodatky či
> odchylkami. Navržení změn, dodatků či odchylek z Vaší strany považujeme
> toliko za podnět k dalšímu jednání o obsahu smlouvy. Až do okamžiku
> podpisu/uzavření smlouvy nejsme jakoukoli naší nabídkou vázáni. Výsledky
> jednání předcházejících uzavření smlouvy považuje Česká pošta, s.p. za
> nezávazné. Česká pošta, s.p. nenese žádnou odpovědnost za případné ukončení
> nebo přerušení jednání o smlouvě, a to bez ohledu na jeho důvod.
>
>
>
> Tento e-mail včetně příloh může obsahovat důvěrné informace. Jestliže
> nejste zamýšlený adresát tohoto e-mailu, pak jakákoliv forma zveřejnění,
> tisk, kopírování, distribuce nebo šíření tohoto e-mailu a připojených
> příloh je přísně zakázáno. Pokud obdržíte tento e-mail omylem, oznamte to
> neprodleně jeho odesilateli a okamžitě tento e-mail včetně jeho příloh
> trvale vymažte ze svého systému. Odesilatel e-mailu neodpovídá za
> jakoukoliv škodu způsobenou modifikacemi či zpožděním přenosu e-mailu.
>
>
> In the event that this email contains a contract proposal, Česká pošta,
> s.p. hereby excludes acceptance of the contract proposal with alterations,
> amendments and adjustments of any nature. Your proposal of alterations,
> amendments and adjustments may only be subject of further contract
> negotiation. Česká pošta, s.p. is not bound by any of its offer until the
> contract is concluded. Česká pošta s.p. considers the result of contract
> negotiations preceding the conclusion of contract non-binding. Česká pošta,
> s.p. is not liable for termination or interruption of any contract
> negotiation for whatever reason.
>
>
>
> This e-mail and any attached files may contain confidential information.
> If you are not the intended addressee of this e-mail, you are hereby
> notified that any disclosure, printing, copying, distribution or
> dissemination of this e-mail and any attached files is strictly prohibited.
> If you receive this e-mail in error, please immediately notify the sender
> and permanently delete this e-mail and its attachments from your system.
> The sender of this e-mail does not accept liability for any damage that may
> be caused by any modifications or delay in the transmission of it.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20141218/a3ea4a12/attachment.html>


Další informace o konferenci Hw-list