OT Autorizace aplikace pomoci klientskeho certifikatu

Jindroush kubecj na asw.cz
Čtvrtek Prosinec 18 16:00:49 CET 2014


Pokud chcete jen zajistit spravnost dat pro klienta, staci libovolny
podepsany blob dat a v klientske aplikaci public key. Tim zajistite, ze
vam nikdo nepodvrhne data.

Pokud nekdo modifikuje klientskou aplikaci, _nelze_ s tim nic delat (je
plne pod jeho kontrolou), ale to by vam snad vadit nemelo, protoze
stejne principielne jeho 'financne dulezitym' datum server neveri, ale
spocita si je sam z vlastnich dat, tj. od klienta jdou jen podkladova
data, ale cele finance se spoctou znovu na serveru.

Zdravim,
J.

On 18.12.2014 15:21, RV wrote:
> Zdravim,
> 
> mel bych takovy dotaz. Pripravujeme aplikaci pro nase zakazniky, ktera
> bude volne distribuovana a kde chceme provadet nektera predzpracovani
> dat, tak abychom setrili datove prenosy a zaroven i aplikcni vykon
> nasich serveru. Problem je, ze na zaklade toho predzpracovani dojde k
> vypoctum cen a dalsich pomerne zasadnich zalezitosti, ktere se nyni
> delaji az z dat, ktere dorazi na server.
> 
> Z toho vyplyva jeden pomerne neprijemny dusledek a to moznost podvrzeni,
> bud zamerne nebo omylem, spatnych hodnot nejakou cizi aplikaci.
> 
> Jde tedy o to jak overit na strane serveru, ze komunikujeme opravdu s
> nasi aplikaci. Nedelam si iluze o nejakem heslu natvrdo zakompilovanemu
> do aplikace (lidi jsou hrozny stouralove ;-).
> 
> Reseni se tedy nabizi, ze bychom nechali aplikaci v podstate "osobni"
> certifikat a server by aplikaci vybidnul aby mu zmineny certifikat
> predlozila - obdobne jako vyzaduji nektere stranky - vyskoci okno, kde
> muzete vybrat ze svych osobnich certifikatu.
> 
> Nicmene mam takovy pocit, ze to je v podstate z blata do louze - protoze
> pokud bych mel certifikat zakompilovat do aplikace tak jsem na tom
> podobne jako s tim natvrdo zakompilovanym heslem.
> 
> Ja se tohle resi? Zrejme se neumim spravne zeptat na netu...
> 
> 


-- 
Jindroush (kubecj na avast.com)
http://www.kostky.org - Pro fany stavebnic LEGO.

---
This email is free from viruses and malware because avast! Antivirus protection is active.
http://www.avast.com



Další informace o konferenci Hw-list