[LUGOS] firefox edavki game over

Gregor Berginc gregor.berginc at gmail.com
Fri Apr 7 10:06:31 CEST 2006


Zivjo,

On 06/04/06, Matej Spiller-Muys <Matej.Spiller at siol.net> wrote:
> > V resnici ti to čisto nič ne pomaga, pred tem, da bi nek zlobni program
> > v trenutku pred podpisom ne spremenil podpisljivih podatkov, tebi pa
> > prikazal na zaslonu 'staro' različico ... in v vseh naslednjih trenutkih
> > enako.

Khm... Ceprav sem nekaj casa pomagal drugemu Hermesu (Plus) pri
izvedbi komponente za podpis, mislim, da na to moznost nismo nikdar
niti pomislili.

Uporabnik vzpostavi SSL sejo s streznikom in izpolni obrazec. Pred
podpisom se zgenerira celotna vsebina in prikaze uporabniku (vse preko
ssl-a). Uporabnik se odloci zadevo podpisati, nakar se mora aktivirati
nek programcek, ki dokument precita iz streznika (tudi to mora biti
preko ssl-a!) in podpise z uporabnikovim privatnim kljucem.

Zal ne razumem, kje naj bi se nekdo naselil in uporabniku vsili drugo
vsebino v podpis. Ali to pomeni, da tudi SSL-u ne smemo vec zaupati?
Nadalje, ce shranis povratnico jo pregledas in primerjas s tem, kar
vidis na zaslonu, saj gre za navaden xml dokument...

lp,
Gregor

--
Gregor Berginc, Ph.D. Student
University of Ljubljana, Faculty of CIS
Trzaska 25, SI-1001 Ljubljana, Slovenia
tel: +386 1 4776630, fax: +386 1 4264647
www: http://vicos.fri.uni-lj.si/gregor


More information about the lugos-list mailing list