OT Autorizace aplikace pomoci klientskeho certifikatu

Jindroush kubecj na asw.cz
Pátek Prosinec 19 09:42:26 CET 2014


To uz tu psalo vic lidi. Neni zadna moznost, jak se spolehnout na
jakakoli data prichazejici zvenci. I kdybyste do aplikace nasrouboval
nejake sebe-overovani, neni problem podvrhnout jakoukoli komunikaci.

Predzpracovani a logika - proc ne, ta v klientske aplikaci byt muze, ale
'oceneni' tech predzpracovani stejne _musi_ byt az na serveru. Protoze
proste to, za co je zodpovedny klient (tj. vstupy a jejich
mezi-zpracovani), to se udela na klientu a to, za co jste zodpovedny
firme vy (tj. penize), to se udela na serveru.


On 18.12.2014 16:33, RV wrote:
>> Pokud nekdo modifikuje klientskou aplikaci, _nelze_ s tim nic delat (je
>> plne pod jeho kontrolou), ale to by vam snad vadit nemelo, protoze
>> stejne principielne jeho 'financne dulezitym' datum server neveri, ale
>> spocita si je sam z vlastnich dat, tj. od klienta jdou jen podkladova
>> data, ale cele finance se spoctou znovu na serveru.
> 
> No to je prave ten problem.
> 
> Jedine data, kterym lze tedy verit a jsou zavazna, jsou predane XML se
> zakodovanymi PDF.
> 
> Vzhledem k tomu, ze pomerne velkou cast objemu generuji uzivatele
> pouzivajici nasi starou aplikaci, ktera byla pomerne tupa a neumi nove
> ficury tak piseme novou. Je velmi lakave presunout vypocetni narocnost
> na PC uzivatelu a provest validace, kontrolni vyrezy a dalsi veci na
> strane uzivatele. A nasledne prenasene XML doplnit o jiz spoctene pocty
> stran - navic odpadne hromada prenosu jiz tim, ze aplikace zjisti
> nejakou chybu rovnou. Problem je to, ze kdyz nam nekdo bude podvrhovat
> chybne pocty stran tak se budou chybne kalkulovat ceny - je na to
> navazano cena za papir, tisk a i vaha zasilky a tedy postovne.
> 
> Resime tedy to jak se posychrovat, ze to je spravne a v pripade, ze
> budeme komunikovat s nasi aplikaci tak API na serveru to bude propoustet
> bez kontrol.
-- 
Jindroush (kubecj na avast.com)
http://www.kostky.org - Pro fany stavebnic LEGO.


---
This email is free from viruses and malware because avast! Antivirus protection is active.
http://www.avast.com



Další informace o konferenci Hw-list