OT Autorizace aplikace pomoci klientskeho certifikatu

Galloth lordgalloth na gmail.com
Čtvrtek Prosinec 18 16:16:31 CET 2014


Proti tomu, aby aplikace pouzila svuj kod misto vygenerovaneho se muzete
branit tim, ze pro kazdou komunikaci budete generovat kod nejak specificky,
tedy ze se mirne zmeni format prenasenych dat, na nahodne misto se doplni
nahodne hodnoty a podobne. Ale vzdy to bude hon kocky s mysi, vy neco
udelate a podle poctu uzivatelu  a potencionalniho zisku utocniku
 Vam to za chvili lousknou a vy to budete upravovat.

Pokud jim ale nechate ten kod na stroji par hodin, tak uz to opravdu straci
smysl. Protoze za tech par hodin se na to klidne ten utocnik podiva sam a
uvidi v cem se doruceny kod zmenil. Teda pokud mu to bude stat za to.

Jinak jak jste psal, ze se to asi nedovime, jak to funguje, tak bych Vas
docela varoval pred nazorem, ze utajeni zakladniho principu zajisti
bezpecnost. Kazdy serioznejsi utocnik zacne tim, ze tu apku disasembluje a
bude vedet jak to asi funguje. Takze tim, ze to budete tajit se vzdate
nazoru ostatnich jak by to slo napadnout a ziskate maximalne par hodin casu
v pripade utoku. A jak jsem pochopil, jde docela o penize, takze spousta
lidi tomu rada tech par hodin venuje.

Honza

Dne 18. prosince 2014 16:05 RV <vicek.radek na cpost.cz> napsal(a):
>
> Ano to je jedna z cest, ale nelze to udelat tak ze by se prenasel primo
> vykonny kod, respektive neni to prilis dobre mozne, nebot operace s daty
> mohou probihat bez spojeni s internetem a prenosum dojde kdykoliv az
> nasledne.
> Dalsi vec je, ze to problem take neresi, nebot podvrzena aplikace muze
> navazat identicke spojeni na SSL jako nase originalni a zaslany kod
> ignorovat a pouzit ten svuj.
>
> Musim to promyslet...
>
> Radek Vicek
>
> Dne 18.12.2014 v 15:49 Zuffa Jan napsal(a):
>
>> Neslo by cast kodu ktora ma na starosti vypocet
>> zaslat na klienta cez SSL a po ukonceni vypoctu
>> opat zmazat? Ostane bezat iba aplikacia obsluhujuca
>> zvysnu reziu. Kod sa da priebezne modifikovat resp. mat pripravene
>> rozne varianty co urcite stazi naburanie systemu.
>>
>> j.
>>
> ---------------------------------
>
> Pro případ, že tato zpráva obsahuje návrh smlouvy, Česká pošta, s.p.
> vylučuje možnost přijetí návrhu smlouvy s jakýmikoli změnami, dodatky či
> odchylkami. Navržení změn, dodatků či odchylek z Vaší strany považujeme
> toliko za podnět k dalšímu jednání o obsahu smlouvy. Až do okamžiku
> podpisu/uzavření smlouvy nejsme jakoukoli naší nabídkou vázáni. Výsledky
> jednání předcházejících uzavření smlouvy považuje Česká pošta, s.p. za
> nezávazné. Česká pošta, s.p. nenese žádnou odpovědnost za případné ukončení
> nebo přerušení jednání o smlouvě, a to bez ohledu na jeho důvod.
>
>
>
> Tento e-mail včetně příloh může obsahovat důvěrné informace. Jestliže
> nejste zamýšlený adresát tohoto e-mailu, pak jakákoliv forma zveřejnění,
> tisk, kopírování, distribuce nebo šíření tohoto e-mailu a připojených
> příloh je přísně zakázáno. Pokud obdržíte tento e-mail omylem, oznamte to
> neprodleně jeho odesilateli a okamžitě tento e-mail včetně jeho příloh
> trvale vymažte ze svého systému. Odesilatel e-mailu neodpovídá za
> jakoukoliv škodu způsobenou modifikacemi či zpožděním přenosu e-mailu.
>
>
> In the event that this email contains a contract proposal, Česká pošta,
> s.p. hereby excludes acceptance of the contract proposal with alterations,
> amendments and adjustments of any nature. Your proposal of alterations,
> amendments and adjustments may only be subject of further contract
> negotiation. Česká pošta, s.p. is not bound by any of its offer until the
> contract is concluded. Česká pošta s.p. considers the result of contract
> negotiations preceding the conclusion of contract non-binding. Česká pošta,
> s.p. is not liable for termination or interruption of any contract
> negotiation for whatever reason.
>
>
>
> This e-mail and any attached files may contain confidential information.
> If you are not the intended addressee of this e-mail, you are hereby
> notified that any disclosure, printing, copying, distribution or
> dissemination of this e-mail and any attached files is strictly prohibited.
> If you receive this e-mail in error, please immediately notify the sender
> and permanently delete this e-mail and its attachments from your system.
> The sender of this e-mail does not accept liability for any damage that may
> be caused by any modifications or delay in the transmission of it.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20141218/39b3b046/attachment.html>


Další informace o konferenci Hw-list