Bankir.Ru
7 декабря, среда 23:22

Объявление

Свернуть
Пока нет объявлений.

Еще раз от тонкости Интернет-Банкинга и сертифицированных СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Еще раз от тонкости Интернет-Банкинга и сертифицированных СКЗИ

    На вопросы Александра Герасимова, заданные в топике "Сколько брать денег?", решил ответить в отдельной, новой теме.

    Итак, специально для Герасимова Александра .

    Да, я также как и Вы, выражаю в форуме исключительно свое субъективное мнение.

    Да, я считаю, что к ИНТЕРНЕТ-БАНКИНГУ НЕ ИМЕЮТ НИКАКОГО ОТНОШЕНИЯ все решения, основанные на использовании Web-браузера и Интернет, но при этом:

    - Требующие подготовки дистрибутива спец.ПО (при большом кол-ве клиентов процесс подготовки и предвартельной настройки для каждого клиента своего отдельного дистрибутива, нарезка для каждогок клиента CD-ROM'а или подготовки пол-десятка дискет, резко усложняется)

    - Требующие передачи клиенту на носителях (FD, CD-ROM & etc) дистрибутива спец.ПО (при большом кол-ве клиентов возникают задачи учета и отчетности по выдачи дистрибутивов)

    - Требующие установки на стороне клиента этого спец. ПО (то есть в том или ином виде присутствует процессы вставки в компьютер компакт-диска или дискет, запуск инсталлятора спец.ПО, ответы на вопросы в процессе установки)

    - Требующие настройки на стороне клиента спец.ПО. Посмотрите, к примеру, BS-Defender - в настройках сам черт ногу сломит (я насчитал 19 настроек!!!), не то, что обычный юзер. А если надо чтобы с одного компьютера работало несколько разных фирм с разными банками, и у одного банка в качестве криптографии используется Excellence, а у другого - Верба?! Кто будет у клиента настраивать (и можно ли вообще так настроить?) этот BS-Defender? Ответ - либо представители БСС, либо банковские автоматизаторы из службы суппорта (непосредственно или по телефону)! Тогда зачем вообще нужен был такой Интернет-Банкинг? Такое решение - действительно дань моде, как совершенно верно заметил Барсуков Дмитрий.

    Именно поэтому я считаю, что решения на основе устанавливаемого и настраиваемого спец. ПО на стороне клиента и есть псевдо Интернет-Банкинг.

    Уверен, что господа из БСС со мной совершенно не согласяться, но разве процент банков (40 из 75), реально эксплуатирующих БССовского Интернет-Клиента от числа купленных, не является подтверждением моих слов?

    А Вы, Александр Герасимов, задавались вопросом, от каких банков исходят все возгласы о разочаровании в Интернет-Банкинге? Вы видели в форуме, чтобы хоть один из банков, купивших iBank, высказал негативную оценку?

    Да, в процессе эксплуатации сложности в той или иной степени возникают всегда и у всех. В том числе и у нас. Мы не Боги. К примеру - один из московских банков, где возникли проблемы с конвертером iBank<->Диасофт 4х4 (как потом выяснилось исключительно из-за неправильного режима эксплуатации конвертера).

    БСС же на радостях пресс-релиз выпустил, что дескать, их конвертер работает отлично и без проблем, а конкуренты в г....

    Да одна из причин покупки нашего Интернет-Банкинга называлась неудовлетворительная работа конвертера БСС (медленно слишком было, да и раз в день выписки загружались!).

    Ладно, вернемся к теме поднятого Александром Герасимовым вопроса, касаемого встраивания сертифицированной ФАПСИ криптографии.

    На текущий момент нет платформонезависимого сертифицированного ФАПСИ СКЗИ. Есть платформозависимые - Верба, КриптоПро, Базис-Защита. Есть банки, который по тем или иным причинам требуются использование сертифицированных решений, и готовы эти решение оплачивать. Мы в свое время "потеряли" часть банков - потенциальных заказчиков. Среди них, IMHO, Абсолют-Банк. Именно поэтому было принято решение выпустить вариант с Сертифицированным ФАПСИ СКЗИ.

    Естественно этот вариант будет дороже. И естественно этот вариант не будет истинно тонким и платформонезависимым - в нем будет присутствовать нативная компонента - сертифицированное СКЗИ.

    На сколько это толстое решение удастся сделать легковесным и приблизить к решениям Интернет-Банкинга, в которых присутствует нативный платформозависимый код, но отсутствуют процедуры подготовки и передачи дистрибутива на дискетках, отсутствует процесс установки и настройки - все зависит от разработчика.

    Взять, к примеру, решение от ИНИСТа для Интернет-Банкинга. Со стороны клиента это платформозависимое решение, содержащее нативный код в виде нескольких загружаемых к клиенту dll-ек, и работающее исключительно под WINTEL. Назвать сие истинно тонким Интернет-Банкингом - нельзя. Но вот просто Интернет-Банкингом - можно.

    Каковы перспективы и дальнейшие шаги? Они очевидны. При появлении платежеспособного спроса на платформонезависимые решения в области сертифицированных ФАПСИ СКЗИ, такие решения не заставят себя долго ждать. Разработчики-лицензиаты ФАПСИ позаботятся. Только на моей памяти было несколько российских банков, самых крупных и известных, которые сокрушались по поводу отсутствия платформонезависимых сертифицированных СКЗИ. И серверные платформы у них были серьезные и самые разные - Sun SPARC, IBM RS6000, IBM AS/400, Compaq Alpha.

    Ну а в качестве платформонезависимого решения Java напрашивается сама собой. Сейчас практически все новые проекты делаются на Java. Посмотрите, к примеру, последние продукты IBM или Oracle

    Будет ли БИФИТ принимать участие в создании Java-библиотек и сертификации их в ФАПСИ? Точно будет.

    С кем из разработчиков-лицензиатов? Когда появятся эти библиотеки? Когда будет получен на них Сертификат ФАПСИ? Когда... - эти вопросы позвольте, господа, оставить без комментариев. Всему свое время...

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    P.S. Александр еще упомянул:
    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Я помню Ваши слова полгода назад о том, что Вы не будете сертифицировать свой продукт, а сейчас Вы говорите обратное[/quote]

    Я специально для Вас, Александр, повторяю, БИФИТ не будет даже пытаться сертифицировать сам iBank. Это просто не реально. А вот использоваться в iBank'е сертифицированные ФАПСИ криптобиблиотеки будут. Обязательно и в самое ближайшее время (как только мы завершим процесс получения Лицензий ФАПСИ).
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    Уважаемый Влад, поднятый Вами вопрос доверия с ПО, выполняющего функции защиты информации (шифрование, целостность, ЭЦП, аутентификация и т.д.) не полон. Вопрос доверия должен распространяться на всё ПО и впервую очередь - на прикладное.

    Что же касается надежности каналов и схем для построения К-Б, то я уже описывал sandyman'у максимально защищенный вариант построения Банк-Клиента - http://www.bankir.ru/ubb/Forum11/HTML/000138-4.html от 15-05-2001 в19:51

    Если же Вы, Влад, хотите серьезного квалифицированного обсуждения защищенности каналов, коими по Вашему мнению Интернет и другая паблик-сеть не могут являться, создавайте отдельный топик и предлагайте подробное обоснование Ваших заявлений.

    Вопли же типа "Интернет - сплошная помойка, SSL ломается с полпинка, каналы ненадежны по определению, PGP - rulez, а любой злобный хакер методом пристального взгляда факторизует 512-битные числа" - рассматриваться не будут.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

    Комментарий


    • #3
      Димитрий
      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
      Если же Вы, Влад, хотите серьезного квалифицированного обсуждения защищенности каналов, коими по Вашему мнению Интернет и другая паблик-сеть не могут являться, создавайте отдельный топик и предлагайте подробное обоснование Ваших заявлений.
      [/quote]
      А Вы, Дмитрий, уже стали модератором? Или просто настроение испортилось? (; Если будет необходимость - создам. Но я не собираюсь тратить время на обоснование настолько элементарных вещей.
      Возьмите любое учебное пособие по основам крипторафии, думаю, что на первых же 5 страницах Вы найдете описание "предмета криптографии" - канала, из которого возможен перехват и его защита. В 99% случаев этим каналом и является Интернет.

      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
      Вопли же типа "Интернет - сплошная помойка, SSL ломается с полпинка, каналы ненадежны по определению, PGP - rulez, а любой злобный хакер методом пристального взгляда факторизует 512-битные числа" - рассматриваться не будут.
      [/quote]

      Замечательно. У вас в компании у всех такие познания в криптографии, или только у Вас?
      И где Вы нашли в моих высказываниях приведенные "вопли"? Ведение дискуссии методом подмены понятий становится для Вас нормой...
      Интернет действительно помойка. Это неконтролируемый и ненадежный канал связи. Иначе нафига вы на него криптографию намазываете?

      ps. Вы попробуйте в fido7.ru.crypt или fido7.ru.security рассказать, что загрузка по открытому каналу софта, который потом это канал будет защищать - безопасное решение. Засмеют.


      ------------------
      regards, Vlad.
      Earl Vlad Drakula. ///

      Комментарий


      • #4
        Что ж, Влад, давайте обсудим приведенные Вами высказывания. Итак:

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>...клиент не может быть уверен, что ему дают именно копию эталонного ПО... при передаче через инет[/quote]

        Для организации защищенной загрузки любой информации, в том числе и ПО, через открытые каналы (к коим естественно относится и Интернет) существуют криптографические протоколы. Заниматься перечислением протоколов, их функциональных возможностей и областей применения не вижу смысла.

        В случае iBank'а для загрузки клиенту стартовой html-страницы, Java-апплета, а также, если понадобиться DLL-ек, используется встроенный в Web-браузеры криптографический протокол SSL v.3.

        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Поэтому "истинно тонкий клиент" по определению не может обеспечить необходимого уровня безопасности. Все способы установления защищенного соединения без наличия предварительно распределенного секрета и реализующего эти функции софта принципиально уязвимы против mitm-атаки.[/quote]

        Я специально не стал в предыдущем письме останавливаться на этих Ваших перлах, дабы не провоцировать ситуацию. Судя же по приведенным выше высказываниям, Влад, именно Вам необходимо прочитать для начала хотя бы самые простые и доступные для "начинающих безопасников" книжки.

        Ваше заявление о невозможности обеспечить гарантированный уровень безопасности при использовании тонкого клиента, мягко говоря неверно.

        Рассмотрим для конкретики, всё тот же iBank. Первая фаза - подключение пользователя к Web-серверу банка и загрузка с Web-сервера банка стартовой html-страницы и Java-апплета.

        На этом этапе существует угроза атаки (например на DNS) с целью подмены сайта банка на сайт злоумышленника. Также существует угроза модификации данных, загружаемых в Web-браузер клиенту.

        Для защиты от указанных типов атак, используется встроенный в Web-браузер пользователя криптографический протокол SSL v.3. Допустимы два варианта использования.

        1-ый. Банк для своего Web-сервера получает сертификат X.509 у одного из мировых издателей (Thawte, VeriSign и т.д.). Корневые сертификаты мировых издателей уже присутствуют в БД сертификатов Web-браузера.

        Что касается стоимости сертификата, то в Thawte, примеру, такой сертификат стоит 125$ в год. Получать Strong-сертификат за 300$ в год нет никакой надобности. Связано это с тем, что на этапе загрузки клиенту стартовой html-страницы и Java-апплета, нет необходимости шифровать трафик. Достаточно механизмов аутентификации Web-сервера и обеспечения целостности трафика.

        2-ой вариант - банк сам выдает себе сертификат, то есть сам выполняет функции издателя сертификатов (Сертификационного Центра). При этом выданный самому себе корневой сертификат такого сертификационного центра не известен стандартному Web-браузеру клиента. В этом случае банку необходимо гарантированным путем передать клиенту свой самовыданный сертификат с последующий добавлением клиентом этого сертификата в БД сертификатов Web-браузера.

        Предварительно же распределенный секрет, о котором высокопарно упоминает Влад, формируется в процедуре согласования сеасновых ключей и режимов работы (хэндшекинг) протокола SSL, каждый раз при обращении пользователя к новому ресурсу.

        Я не вижу необходимости подробно расписывать в форуме всю процедуру хэндшекинга SSL. Всем особо интересующимся рекомендую читать исключительно первоисточник (спецификацию) - http://home.netscape.com/eng/ssl3/

        Все атаки на Web-браузер у клиента, на реализацию протокола SSL в Web-браузера, на БД сертификатов Web-браузера и т.д. относятся к тому же классу атак, что и атаки на любое установленное ПО, в том числе сертифицированные СКЗИ, и упоминаемый Вами InterPro.

        Кстати, об InterPro. В основе данного продукта лежат разработки проекта SSLeay Эрика Янга. В InterPro реализована более ранняя версия - SSL v.2. А появление третьей версии криптопротокола SSL было, к слову, направлено на устранение потенциально уязвимого звена в версии 2 криптопротокола SSL, связанного с процедурой хэндшекинга и потенциальной возможностью навязывания неверных параметров для атаки на целостность передаваемых данных.

        Теперь, что касается защищенного взаимодействия Java-апплета с Сервером Приложения.

        Заботимся мы о целостности и аутентификации источника загрузки к клиенту стартовой html-страницы не зря. Именно в странице определено, откуда и какой загружать Java-апплет, а также определены параметры, передаваемые Java-апплету на вход при запуске. Среди параметров:
        - IP-адрес и TCP-порт сервера приложения
        - открытый ключ шифрования сервера приложения

        Протокол взаимодействия Java-апплета с Сервером Приложения представляет собой модифицированный в сторону упрощения протокол SSL. Упрощение коснулось процедуры хэндшекинга, в которой только согласовываются сеансовые и контролируется уникальность сессии. Используемые криптоалгоритмы и режимы их работы, а также другие параметры сессии зафиксированы (для шифрования ГОСТ 28147-89 в режиме гаммирования, и для обеспечения целостности - ГОСТ 28147-89 в режиме имитовставки).

        В процедуре хэндшекинга используется RSA с длиной модуля 1024 бита.

        В процессе обсуждения получившегося протокола с одной из известных российских компаний, игроков на рынке СКЗИ, были предолжения по использованию вместо RSA схемы Диффи-Хелмана. Но кол-во вчислений модульной экспоненты от этого всё равно не уменьшалось и мы оставили RSA (тем более что патент на RSA уже не действует).

        Были также предложения по использованию алгоритмов на основе эллиптических кривых, но вопрос об их надежности остается открытым. Истинная сложность ECDLP (Elliptic Curve Discrete Logarithm Problem - Проблема Дискретного Логарифма Эллиптической Кривой) ещё не осознана полностью. Ряд открытых работ показали, что некоторые использовавшиеся эллиптические кривые, фактически не подходят для таких операций. Например, если координаты базовой точки P равны положению p, то ECDLP имеет простое решение.

        В заключение хочу отметить, что вот так просто, на пустом месте заявлять о небезопасности истинно тонкого клиента неправомерно. Необходимо рассматривать конкретные решения.

        С уважением, Репан Димитрий
        Компания "БИФИТ"
        С уважением, Репан Димитрий
        Компания "БИФИТ" - www.bifit.com

        Комментарий


        • #5
          Ничего, что вмешиваюсь?

          По поводу "тонкости". При использовании любого СКЗИ (а особенно ЭЦП) вопрос о доверии к ПО, которое эти функции выполняет, стоит очень остро. Очевидно, что для его передачи (хоть экзешника, хоть DLL, хоть жабовских байт-кодов) нужен надежный кнал, каковым интернет или любая другая паблик-сеть не является. Даже получая софт лично из рук банка, клиент не может быть уверен, что ему дают именно копию эталонного ПО, не говоря уже о возможности вмешательства по дороге (при передаче через инет). Поэтому "истинно тонкий клиент" по определению не может обеспечить необходимого уровня безопасности. Все способы установления защищенного соединения без наличия предварительно распределенного секрета и реализующего эти функции софта принципиально уязвимы против mitm-атаки.
          Ставить клиенту "el grabadora" с тучей настроек тоже плохо. На мой взгляд, оптимальным компромиссом является применение мобильной версии клиента InterPro (или любого другого продукта с таким же функционалом). Главное, чтобы он пускался с дискетки и не требовал умных телодвижений


          ------------------
          regards, Vlad.
          Earl Vlad Drakula. ///

          Комментарий


          • #6
            Димитрий

            Что ж, Влад, давайте обсудим приведенные Вами высказывания. Итак:
            цитата:

            ...клиент не может быть уверен, что ему дают именно копию эталонного ПО... при передаче через инет

            Если я начну цитировать Ваши постинги с пропусками, то смысл высказываний изменится на прямо противоположный.


            Для организации защищенной загрузки любой информации, в том числе и ПО, через открытые каналы (к коим естественно относится и Интернет) существуют криптографические протоколы. Заниматься перечислением

            Поразительное открытие Так все-таки: является ли интернет надежным и безопасным каналом? Если "да" - зачем криптопротоколы?


            необходимого уровня безопасности. Все способы установления защищенного соединения без наличия предварительно распределенного секрета и реализующего эти функции софта принципиально уязвимы против mitm-атаки.

            Я специально не стал в предыдущем письме останавливаться на этих Ваших перлах, дабы не провоцировать ситуацию. Судя же по приведенным выше высказываниям, Влад, именно Вам необходимо прочитать для начала хотя бы самые простые и доступные для "начинающих безопасников" книжки.

            Дмитрий, безопасность для Вас необходимый "довесок" к разработке ПО, для меня - основная специальность, по которой я работаю не один год. И если приведенная выше цитата для Вас "перл", то книжки читать, придется, все-таки, Вам. Впрочем, доля правды в Ваших словах есть - по причине болезненного состояния я неправомерно употребил термин "секрет" вместо "информация" .


            Для защиты от указанных типов атак, используется встроенный в Web-браузер пользователя криптографический протокол SSL v.3. Допустимы два варианта использования.

            Очевидные подробности скипнуты.
            Так, значит наличие встроенного в браузер SSL и открытого ключа издателя сертификатов не является предварительным распределением софта/информации? Если бы Вы удосужились прочитать мой тезис внимательнее, Вам сейчас бы не пришлось писать этот длинный постинг, который, собственно, и иллюстрирует мою мысль: не существует ни одного криптографического протокола, позволяющего безопасно установить связь без предварительного обмена некоторой информацией (даже несекретной!) по надежному каналу.


            Предварительно же распределенный секрет, о котором высокопарно упоминает Влад, формируется в процедуре согласования сеасновых ключей и режимов работы (хэндшекинг) протокола SSL, каждый раз при обращении пользователя к новому ресурсу.

            В попытке меня лишний раз уколоть Вы так увлеклись, что понесли полный бред.
            Во-первых, предварительно распределенный секрет так называется потому, что его распределяют заранее (пароль, например). Кстати, я уже говорил, что ошибся с термином.
            Во-вторых, при хэндшейкинге вычисляют общий секрет. И, в-третьих, делают это до процедуры согласования сеансовых ключей.


            Теперь, что касается защищенного взаимодействия Java-апплета с Сервером Приложения.

            Это уже неважно, если исходить из постулата, что аплет получен по надежному каналу и ему можно доверять.


            Используемые криптоалгоритмы и режимы их работы, а также другие параметры сессии зафиксированы (для шифрования ГОСТ 28147-89 в режиме гаммирования, и для обеспечения целостности - ГОСТ 28147-89 в режиме имитовставки).

            Ну и зачем этот патриотиченский реверанс? Раз уж для защиты аплета вы применяете несертифицированное криптосредство иностранного производства на буржуйских же алгоритмах, смысл втаскивать сюда ГОСТ? Все равно не сертифицируют. Кстати, а лицензия на разработку криптосредств у вас есть? Или вы заявились на нее?


            В процессе обсуждения получившегося протокола с одной из известных российских компаний, игроков на рынке СКЗИ, были предолжения по использованию вместо RSA схемы Диффи-Хелмана. Но кол-во вчислений модульной экспоненты от этого всё равно не уменьшалось и мы оставили RSA (тем более что патент на RSA уже не действует).

            С учетом написанного Вами далее - я понял, о какой фирме идет речь
            Насчет сложности - это очевидно. Несмотря на то, что RSA и Диффи-Хелман используют разные мат. задачи (разложение на множители и дискретное логарифмирование), они взаимосвязаны. Только вот "заточенность алгоритмов отличается: Диффи-Хелман изначально был предназначен для вычисления общего секрета.


            В заключение хочу отметить, что вот так просто, на пустом месте заявлять о небезопасности истинно тонкого клиента неправомерно. Необходимо рассматривать конкретные решения.

            Если не замечать аргументов/невнимательно читать - то да.
            А вообще, это "мерянье толщиной" уже становится смешным. Во-первых, какой он, нафиг, "истинно тонкий", если для его работы нужна java-машина? Надеюсь, не надо объяснять, что самая лучша реализация криптухи на жабе будет существенно медленнее и прожорливей до ресурсов, чем нативный экзешник?
            Во-вторых, на мой взгляд, "тонкость" клиента определяется отсутствием необходимости предварительной установки прикладного ПО на стороне клиента. Если же Вы относите средства защиты трафика и аутентификации к прикладной части, так ваш клиент тоже не "истинно тонкий" - требуется предварительная установка в броузер нормального SSL и открытых ключей. Да и сам броузер - прикладное ПО, кстати. Может, я lynx предпочитаю и эксплорера у меня на компе нет совсем

            Дмитрий, а как в Вашей системе будут разруливаться конфликтные ситуации? Стандартно, одним из первых шагов проверяют на соответствие эталону софта, которым выполнялась ЭЦП. Аплет же загружается каждый раз. Клиент потенциально может начать качать права, что ему загрузили "аплет с закладкой". При этом целостность аплета была подтверждена (раз банк его делал ), но копии его не осталось.
            Собственно, более глобально эта проблема формулируется как "отсутствие логов/архивов на стороне клиента" и имеет место быть в любом "тонком" клиенте

            ps. Недавно услышал, что в местном ГУ ЦБ "тонким" называют клиент, который общается с СУБД sql-запросами. Я себе представляю "толщину" этого экзешника, написанного на каком-нибудь билдере


            ------------------
            regards, Vlad.
            Earl Vlad Drakula. ///

            Комментарий


            • #7
              Дмитрий


              Да, если не уметь управлять автомобилем, если ездить без тормозов и с неисправным рулевым управением, тогда действительно небезопасно. Если же следовать правилам, использовать стандартные и исправные средства, надежность и безопасность повышаются до более чем приемлемого уровня.

              Аналогия неполная. Тогда нафиг на автомобиле ремни безопасности и проч? Вам никогда не приходилось на дороге заниматься экстремальным вождением, уворачиваясь от доморощенных Шумахеров?
              Умение нормально водить и исправность авто еще не есть гарантия безопасности.


              Влад, с Интернет таже ситуация. Интернет - это нЕчто большее, чем просто TCP/IP. Интернет - это в том числе и распространенные технологии, включая распространенные криптопротоколы.

              Интернет, по определению, это объединение сетей. А криптопротоколы, это уже прикладной уровень. Поэтому не соглашусь с Вами.


              Уверен, Вы не будете отрицать, что криптопротокол SSL, встроеный во все Web-браузеры, при правильном использовании позволяет организовывать безопасные каналы, обеспечивает надежный метод доставки ПО.

              Угу. Только вот непонятно, что стоит за фразой "упрощенный". Я не знаю, что там упростили разработчики, не имеющие лицензии на разработку криптосредств.


              Дабы меня не обвиняли во всех смертных грехах оставлю Ваше высказывание без комментариев.

              Это Ваши проблемы



              Для работы апплета используется СТАНДАРТНОЕ ПО, с помощью которого работают в Интернете. Таким стандартным ПО является Web-браузер. Сейчас ВСЕ Web-браузеры - MS IE, Netscape, Opera - поставляются со встроенной виртуальной Java-машиной. Отдельно устанавливать JRE или какой-то другой софт не нужно.

              Вы не поняли, я не о наличии жаба-машины у клиента, а о самом подходе. Хоть это и байт-код, все равно он интерпретиретируется для обеспечения платформонезависимости.


              Отдыхаю я в Ялте, захожу в интернет-кафе и с любого компьютера управляю счетом. При этом специально я ничего не устанавливаю, я ничего не настраиваю - я именно управляю счетом.

              Но ключ Вы с собой приносите? Так почему принести на этой же дискете небольшую win32 программку (раз уж мы говорим, что винда с эксплорером - стандарт) и запустить ее (без всяких настроек!) является ересью?


              Да-а-а, велики Ваши, Влад, познания в "жабе" (как Вы изволились выразится в отношении Java).

              Я не имею привычки одушевлять неживые объекты, поэтому называю этот язык как мне удобнее, без ущерба для понимания.


              Специально для Вас, Влад, как для "большого" специалиста, работающий всего-то "не один год", сообщаю, что реализации российских ГОСТов на

              Для зануд могу уточнить - с 1992 года
              Насчет познаний: и-банков на жабе не писал, но вот жабовский клиент к криптосерверу (равно как и сам криптосервер) - приходилось.


              Java не уступают в производительности многим сертифицированным ФАПСИ СКЗИ в виде "нативного экзешника".

              Уси-пуси. И выполнены все требования, которые выполняют сертифицированные СКЗИ? И где можно увидеть результаты сравнительных тестов?
              Меня терзают смутные сомнения (с), что там не все чисто. Опять какие-нибудь упрощения введены.


              Да, с написанными на ассемблере и специально оптимизированными под конкретный процессор криптобиблиотеками тягаться тяжело.
              Но вот с криптобиблиотеками, написанными на C++ и скомпилированными в исполняемый код, Java-криптобиблиотеки, работающие под JVM от IBM, потягаются в производительности запросто. Прогресс видители, Влад.

              Не надо мне петь военных песен! Не может быть интерпретация быстрее родных кодов. За исключением патологических случаев, когда компиляция была сделана взятым непонятно где компилером с полностью отключенной оптимизацией, исходник написан больным на голову студентом в качестве курсача, а джавовская версия вылизана профи и транслирована в байт-код нормальным софтом. При равном опыте программеров и равном качестве софта экзешник будет быстрее. Впрочем, если говорить о стоимости, то действительно дешевле купить тачку помощнее, чем платить высокую зарплату классному программеру.


              Но когда для работы с Интернет-Банкингом необходим эксклюзивный софт типа BS-Defender - это действительно ПРИКЛАДНОЕ ПО, ибо это ПО характерно исключиительно для Интернет-Банкинга конкретного производителя, и, естественно, массово распространенным не является.

              Давайте еще раз расставим точки над "i". Я согласен, что относить к категории "тонкий клиент" решения, требующие предварительной установки и настройки софта на стороне клиента - неправильно. Но не вижу принципиальной разницы между запуском с дискетки маленькой и не требующей настройки софтины и загрузкой из сети джава-аплета.


              Вы, Влад, говоря далее о "нормальном SSL", по всей видимости имели в виду реализацию SSL с 3DES, RC4-128 и пр. strong-криптоалгоритмами.

              Именно это я и имел ввиду.


              Так вот, опять, специально для Вас как для специалиста, повторяю, что iBank на этапе загрузки стартовой html-страницы и Java-апплета функцию шифрования криптопротокола SSL НЕ ИСПОЛЬЗУЕТ. Используентся только механизмы аутентификации Web-сервера и обеспечения целостности. Поэтому можно совершенно безопасно использовать для этих целей и браузеры с экспортными вариантами реализаций протокола SSL.

              Интересно, и какой же механизм аутентификации вы используете, если на него не влияют экспортные ограничения?
              Кстати, на странице у вас только упоминание о MD5 для обеспечения целостности. Вам набросать краткий алгоритм mitm-атаки на подмену жаба-аплета во время загрузки в такой ситуации? Дальнейший ход атаки тривиален.
              Или информация у вас на сервере не соответствует действительности?
              Кстати, у вас на сервере я нашел ответ на свой вопрос - лицензии на разработку криптосредств у вас нет, и вы на ее не заявлялись.


              Что касается доставки клиенту упоминаемых Вами, Влад, открытых ключей, то банку достаточно получить сертификат в том же Thawte и любые (все) Web-браузеры будут признавать этот сертификат при подключении клиента к Web-серверу банка через SSL. При этом никаких открытых ключей передавать клиентам на дискетах не придется!

              М-да. Наверное, мне пора в отпуск, раз по моиим письмам делается вывод о моей дебильности, плохо, видать формулирую. Я где-то писал, что нужно заранее распределять именно открытый ключ банка?! По-моему, я вполне ясно выразился, что речь идет о предварительном распределении "некой информации" (необязательно секретной). Все равно есть "гвоздь, на котором висит вся система", в данном случае, это открытый ключ Thawte и т.п. Почему я должен доверять его целостности, если я его получаю в составе прикладного ПО американской компании? А с учетом того, что у этой компании были прецеденты с утерей собственных _секретных_ ключей для подписи ПО, мое к ней доверие, несомненно. "возрастает"


              Что касается Ваших вопросов об отсутствии "логов на стороне клиентов" - рекомендую внимательно ознакомиться другими, более ранними темами в этом форуме - там есть исчерпывающие подробные комментарии.

              По старой фидошной привычке, перед тем как написать что-либо сюда, я потратил пару вечеров и перечитал весь данный раздел форума. Внятного ответа на этот вопрос там не нашлось. Увещевания "да все равно банку надо доверять" - не канают. До тех пор, пока нет архива на стороне клинета, нет равноправия в разборе конфликтов. Dixi. Я понял, Вы не знаете решения этой проблемы (изначальная подстава клиента по договору - не решение). Значит, будем искать (с) С.С.Горбунков



              ------------------
              regards, Vlad.
              Earl Vlad Drakula. ///

              Комментарий


              • #8
                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Влад (aka hugevlad)
                Угу. Только вот непонятно, что стоит за фразой "упрощенный"[/quote]

                Описание протокола взаимодействия Java-апплета с Сервером Приложения было выложено на Web еще с времен выхода самой первой версии. Если у Вас есть желание ознакомиться - описание предоставим.

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Вы не поняли, я не о наличии жаба-машины у клиента, а о самом подходе. Хоть это и байт-код, все равно он интерпретиретируется для обеспечения платформонезависимости.[/quote]

                Так в компьютере много чего еще интерпретируется - начиная от процессорных команд (нативного кода), интерпретируемых в набор RISC-микрокоманд операционных устройств ядра процессора, и завершая интерпретацией Web-браузером html-страниц

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Специально для Вас, Влад, как для "большого" специалиста, работающий всего-то "не один год", сообщаю, что реализации российских ГОСТов на

                Для зануд могу уточнить - с 1992 года [/quote]

                Влад, ну право, это даже смешно

                Компетентность никогда не определялась сроками. Да, большой стаж - это необходимое условие, но вспоминая даже некоторых профессоров в Бауманке, понимаешь, что далеко не достаточное.

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>И где можно увидеть результаты сравнительных тестов? Меня терзают смутные сомнения (с), что там не все чисто.[/quote]

                Мучайтесь


                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Я согласен, что относить к категории "тонкий клиент" решения, требующие предварительной установки и настройки софта на стороне клиента - неправильно.[/quote]

                Ура! Наконец-то хоть в чем-то наши мнения совпали

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Но не вижу принципиальной разницы между запуском с дискетки маленькой и не требующей настройки софтины и загрузкой из сети джава-аплета.[/quote]

                По моему исключительно субъективному мнению, если решение имеет нативную составляющую, но при этом оформлено правильно, компактно (до пары сотен Кбайт) и не требует УСТАНОВКИ и НАСТРОЙКИ на стороне клиента спец.ПО, то такое платформозависимое решение можно отнести к легковесному толстому клиенту.

                Одним из необходимых условий истинно тонкого решения является его платформонезависимость. То есть решение должно работать на любых ОС и на любом железе.

                Будет Ваша нативная приблудка под WINTEL работать под тем же Linux'ом? Или iMac'ом? Или на PlayStation 2? И уж тем более на Palm'е или PocketPC? НЕТ, не будет


                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Интересно, и какой же механизм аутентификации вы используете, если на него не влияют экспортные ограничения?[/quote]

                Всем рекомендую читать спецификции - в них истина.

                Специально же для Влада - экспортные ограничения на реализацию криптопротокола SSL никак не влияют на выработку в процедуре хэндшекинга стартовых векторой для обеспечения целостности передаваемых данных.

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Кстати, на странице у вас только упоминание о MD5 для обеспечения целостности. Вам набросать краткий алгоритм mitm-атаки на подмену жаба-аплета во время загрузки в такой ситуации?[/quote]

                Да уж, извольте, если не трудно. Только убедительная просьба, Влад, если всё-таки начнете, то всё-таки не "набрасывайте", а конкретно, по пунктам всё подробно распишите с четкими однозначными формулировками. Только без голословных утверждений и публичных загибаний пальцев

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>М-да... плохо, видать формулирую[/quote]

                Да уж, постарайтесь пооднозначнее...

                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>По-моему, я вполне ясно выразился, что речь идет о предварительном распределении "некой информации" (необязательно секретной). Все равно есть "гвоздь, на котором висит вся система", в данном случае, это открытый ключ Thawte и т.п. Почему я должен доверять его целостности, если я его получаю в составе прикладного ПО американской компании?[/quote]

                Потому, что Вы используете это ПО. Если Вы, Влад, не доверяете этому ПО или части этого ПО - не используйте его. Для Вас, Влад, как специалиста по безопасности, это должна быть аксиома.

                Успехов в поисках!

                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Димитрий.
                  Надеюсь, Вам знакомо понятие ╚вызывающей╩ личности.
                  Вам, как владельцу и генеральному директору компании, не пристало быть таковой.
                  Действительно, любая сказанная Вами фраза никак не может трактоваться как Ваше личное мнение. Это уже официальное мнение компании БИФИТ, поскольку политику БИФИТ, как Вы сами выражаетесь, определяете именно Вы.
                  Но это к слову.
                  А теперь конкретно по пунктам той, мягко говоря, неправды, которую Вы соблаговолите прелюдно излагать:

                  Да, я считаю, что к ИНТЕРНЕТ-БАНКИНГУ НЕ ИМЕЮТ НИКАКОГО ОТНОШЕНИЯ все решения, основанные на использовании Web-браузера и Интернет

                  Смелое и абсолютно нелепое выражение. На эту тему столько сказано, что и аргументации не требуется. Помимо прочего, из Ваших слов получается что, например, в США интернет-банкинг отсутствует как класс.

                  Требующие подготовки дистрибутива спец.ПО (при большом кол-ве клиентов процесс подготовки и предвартельной настройки для каждого клиента своего отдельного дистрибутива, нарезка для каждогок клиента CD-ROM'а или подготовки пол-десятка дискет, резко усложняется

                  Подготовка чего-либо для юридического клиента требуется всегда хотя-бы с целью его идентификации. В Ibank в том числе (администратор банка должен зарегистрировать ┘┘.). Вопрос в удобстве. Уверен, у каждого интернет-банкинга свои решения. В BS-Client для удобства существует так называемый wizard (описание - http://bss.bssys.com/s/bsi.dll?I=80
                  демоверсия - http://wizard.bssys.com/
                  пример использования банком - http://e-wiz.vvnb.ru/


                  Требующие передачи клиенту на носителях (FD, CD-ROM & etc) дистрибутива спец.ПО (при большом кол-ве клиентов возникают задачи учета и отчетности по выдачи дистрибутивов

                  Дело не в передаваемых носителях, а в количестве визитов клиента в банк. Как видно из ссылок предыдущего пункта и в случае BS-Client и в случае iBank клиент посещает банк 1 раз. При этом вовсе не важно, сформировал он дискету у себя сам или ему ее дали в банке. Свой закрытый ключ и в том и в другом случае клиент сгенерил сам. А вот вопрос юридической значимости здесь явно в пользу BS-Client (cм. Отдельный топик ранее).

                  Требующие настройки на стороне клиента спец.ПО. Посмотрите, к примеру, BS-Defender - в настройках сам черт ногу сломит (я насчитал 19 настроек!!!), не то, что обычный юзер. А если надо чтобы с одного компьютера работало несколько разных фирм с разными банками, и у одного банка в качестве криптографии используется Excellence, а у другого - Верба?! Кто будет у клиента настраивать (и можно ли вообще так настроить?) этот BS-Defender? Ответ - либо представители БСС, либо банковские автоматизаторы из службы суппорта (непосредственно или по телефону)! Тогда зачем вообще нужен был такой Интернет-Банкинг? Такое решение - действительно дань моде, как совершенно верно заметил Барсуков Дмитрий.

                  А Вы не пытались декомпилировать BS-Defender и посчитать кол-во переменных в коде? Это я сказал к тому, что кол-во настроек и кол-во вопросов клиенту при инсталляции это разные вещи. И вот, что я Вам, Димитрий, скажу √ при инсталляции BS-Defender от клиента не требуется ни одного ответа √ ВСЕ можно делать по умолчанию √ процесс установки длится 1-2 минуты. Спросите любого нашего клиента или хотя-бы потрудитесь поставить клиентский Defender самому √ может быть не так стыдно будет потом. Ни банк, ни БСС BS-Defender не ставят √ это сделает самый-самый глупый клиент.

                  Уверен, что господа из БСС со мной совершенно не согласяться, но разве процент банков (40 из 75), реально эксплуатирующих БССовского Интернет-Клиента от числа купленных, не является подтверждением моих слов?

                  Да будет Вам известно, что для пользователей BS-Client v.2 и имеющих определенный уровень поддержки, подсистема ╚интернет-клиент╩ (не демо, а реальная версия) BS-Client стоит от 0 до 300 долларов. Вот некоторые банки и берут ╚до кучи╩, чтобы потом внедрить. Доходит до смешного √ один банк взял систему, а потом спохватился, что нет выделенного канала в банке. Уверяю Вас, осознанно купившие (за реальные деньги) банки внедряют и используют BS-Client. Не верите √ зайдите на наш сайт √ там есть ссылки.
                  А Вы, Александр Герасимов, задавались вопросом, от каких банков исходят все возгласы о разочаровании в Интернет-Банкинге? Вы видели в форуме, чтобы хоть один из банков, купивших iBank, высказал негативную оценку?

                  Димитрий, а какие конкретно другие банки, пользователи другого коммерческого и-банкинга, жаловались (были жалобы на отсутствие перегенерации ключа в BS-Client, но, во-первых, они могли бы быть отнесены и к толстому БК, во-вторых, они уже сняты √ вопрос решен).
                  Да одна из причин покупки нашего Интернет-Банкинга называлась неудовлетворительная работа конвертера БСС (медленно слишком было, да и раз в день выписки загружались!).

                  Для гибкой системы, коей является BS-Client, как настроешь, так и будет. Ну, будем считать, что Вы снова, как и с установкой BS-Defender, сгоряча хватили. Почитайте отзыв Кредиттраста http://bss.bssys.com/s/bsi.dll?t=bs....&TypePage=News √ новость от 19.06) √ где там написано про раз в день и про off-line вообще?

                  Димитрий, мне совсем не доставляет удовольствия дискуссия с Вами и обсуждение очевидных вопросов. Я это делаю исключительно затем, чтобы непросвещенный читатель не был Вами введен в заблуждение. Но, думаю, Ваша вызывающая позиция знакома уже всем и вряд ли кто серьезно воспринимает Ваши высказывания.

                  Димитрий, серьезно, неужели у Вас, генерального директора, нет других дел кроме постоянного поливания грязью конкурентов в конференциях? Или Вам не дают покоя наши успехи? Так добивайтесь своих. А то, ведь, время тратите не на то, на что подобает руководителю, определяющему политику компании. Например, где хваленый и так отчаянно реализуемый Вами в предыдущем году WAP используется? Стандарт-то явно отмирает. Или взять Ваше решение с карточками √ это же явный отход от идеологии √ где же в нем тонкость? Представляю, что за решение будет с сертифицированной ФАПСИ СКЗИ, написанной не на java (а они такие все). Интересно было бы посмотреть на его ⌠тонкость■.

                  Извините, не мог Вам не ответить на явную неправду.
                  Надеюсь, моей выдержки хватит еще на полгода.

                  С Уважением.
                  Барсуков Дмитрий.

                  Комментарий


                  • #10
                    Барсукову Дмитрию, БСС

                    Дмитрий, я допускаю, что Вы поверхностно прочитали письмо и не вникли в суть моих утверждений, расписанных подробно. Посему повторюсь, но кратко:

                    Я считаю, что к ИНТЕРНЕТ-БАНКИНГУ НЕ ИМЕЮТ НИКАКОГО ОТНОШЕНИЯ все решения, основанные на использовании Web-браузера и Интернет, но при этом:
                    1. Требующие подготовки дистрибутива спец.ПО
                    2. Требующие передачи клиенту на носителях спец.ПО
                    3. Требующие установки на стороне клиента этого спец. ПО
                    4. Требующие настройки на стороне клиента спец.ПО

                    При массовом обслуживании клиентов надо так организовывать бизнес-процессы и использовать такие решения, чтобы были исключены указанные четыре пункта.

                    Говоря совсем по-простому, весь сыр-бор с Интернет-Банкингом и затевается ради исключения вот этих четырех пунктов, в том числе и ради снижения издержек на техподдержку большого кол-ва клиентов.

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Дело не в передаваемых носителях, а в количестве визитов клиента в банк.[/quote]

                    Дмитрий, дело и в том, и в другом. Когда у банка тысячи клиентов, когда клиенты из других городов и стран, когда банк стремится снизить свои издержки на привлечение новых клиентов, максимально упрощая процедуру открытия счета, вопрос с формированием и учетом переданных дистрибутивов становится финансово значимым.

                    Казалось бы такую простую и невзрачную на первый взгляд организационно-техническую процедуру, как передача клиенту дистрибутива, при массовом предоставлении услуг оказывается можно сравнить разве что только с передачей клиенту-картхолдеру пластиковой карточки.

                    В обоих случаях должен вестись строгий учет, контроль целостности (ПО в случае Вашего И-Б, или конверта с PIN-ом в случае карточки). Должна быть четко проработана сама процедура передачи.

                    В общем "отдать пяток дискет клиенту" на практике оказывается чрезвычайно серьезной и недешевой задачей.

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Свой закрытый ключ и в том и в другом случае клиент сгенерил сам. [/quote]

                    Дмитрий, я рад, что Вы изменили в своей системе процедуру генерации ключей ЭЦП клиента - теперь это, как и подобает, делает сам клиент.

                    И еще, Дмитрий, без всякого желания уколоть, просто интересно - а как в Абсолют-Банке, где в качестве СКЗИ используется Верба, происходит генерация пары ключей ЭЦП клиента? Также непосредственно на рабочем месте клиента? Или всё-таки в банке на АРМе "Администратора безопасности"?

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>А Вы не пытались декомпилировать BS-Defender и посчитать кол-во переменных в коде?[/quote]

                    Откуда Вы это знаете?????? Следите????

                    Шучу
                    Нет, реверс-инжиниринг Вашего BS-Defender'а пока еще не проводили. Все силы брошены на выпуск iBank 2.

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>И вот, что я Вам, Димитрий, скажу √ при инсталляции BS-Defender от клиента не требуется ни одного ответа √ ВСЕ можно делать по умолчанию √ процесс установки длится 1-2 минуты.[/quote]

                    Ага, только это так в том случае, если в банке предварительно сформировали дистрибутив для конкретного клиента. Иначе - клиент получает конструктор типа "догадайся как настроить сам".

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Спросите любого нашего клиента или хотя-бы потрудитесь поставить клиентский Defender самому √ может быть не так стыдно будет потом.[/quote]

                    Дмитрий, ну конечно же мы смотрели и даже работали тестовым клиентом в одном из банков, где стоит Ваш Интернет-Клиент с BS-Defender'ом и Excellence. Правда просьба к нам прозвучала интересная: "Ребята, ничего такого за рамки выходящего не делайте, ибо система валится по каждому чиху" (Дмитрий, я не утрирую, действительно так и было. Но я думаю, что не всё так печально и в этом банке просто стоял не самый свежий билд).

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Да будет Вам известно, что для пользователей BS-Client v.2 и имеющих определенный уровень поддержки, подсистема ╚интернет-клиент╩ (не демо, а реальная версия) BS-Client стоит от 0 до 300 долларов.[/quote]

                    Если БСС, по заверениям Дмитрия Барсукова, действительно раздает свое решение для Интернет-Банкинга за бесплатно, тогда есть все основания обвинить Вас в демпинге. Значит мы будем действовать в направлении создания толстого платформонезависимого Банк-Клиента и его бесплатном распространении

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Димитрий, серьезно, неужели у Вас, генерального директора, нет других дел кроме постоянного поливания грязью конкурентов в конференциях?[/quote]

                    Дмитрий, не надо так. Никого я грязью не поливаю. В форуме идет полемика. Идут споры. Порой горячие. Есть разные мнения. И если мнение одного из разработчиков, пусть и субъективное, в отношении продукта другого разработчика звучит в форуме, а второй разработчик компетентно отвечает, то где грязь? Или Вы боитесь случайно выплиснуть информацию об истинной ситуации с Вашими успехами?

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Например, где хваленый и так отчаянно реализуемый Вами в предыдущем году WAP используется? Стандарт-то явно отмирает.[/quote]

                    Ну не надо так калоритно всё преукрашивать. Ничего отчаяно мы не реализовывали. Мы стремились и стремимся создавать решения с действительно многоканальным обслуживанием. Сейчас это Интернет и WAP. На подходе SMS-Банкинг.

                    Далее появится iBank 2 Mobile Edition - решения для КПК Palm и PocketPC. Кстати, это решение с модифицированными формами документов можно будет использовать и на PC в качестве того самого offline Б-К - толстым его назвать язык не поворачивается.

                    Что же касается WAP'а, то ситуация уже постепенно начинает меняться. Да, сиюминутный ажиотаж спал. Мы на него особо и не расчитывали. Именно поэтому WAP-Банкинг и был вставлен в iBank как расширение функционала.

                    Кстати, ряд банков модулем WAP-Банкинг точно пользуются.

                    С включением GPRS у Би-Лайна, с грядущим включением у МТС и с постепенным массовым распространением мобилок с поддержкой GPRS, отношение к WAP-у уверен станет более серьезным. WAP действительно станет восстребованным.

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Или взять Ваше решение с карточками √ это же явный отход от идеологии √ где же в нем тонкость?[/quote]

                    Решение с карточками действительно требует установки как минимум драйверов картридера - от этого пока никуда не деться. Сейчас завершаются работы над решением, работающем с ридерами через Java COM API.

                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Представляю, что за решение будет с сертифицированной ФАПСИ СКЗИ, написанной не на java (а они такие все). Интересно было бы посмотреть на его ⌠тонкость■.[/quote]

                    Да, действительно, в настоящее время все сертифицированные СКЗИ являются нативными компонентами. Решение с сертифицированным СКЗИ истинно тонкими не получаются. Требуется установка нативной компоненты на стороне клиента.

                    С разными СКЗИ размер устанавливаемого софта разный. Где-то пару мегабайт, а где-то и в 150Кбайт влазит. Задача разработчика таким образом выбрать и интегрировать сертифицированное СКЗИ, чтобы соблюсти все требования к встраиванию, но при этом сделать решение максимально легковесным. С простой процедурой установки (в идеале простое копирование вообще без каких-либо настроек).

                    Мы сейчас влотную знакомимся с КриптоПро и Базис-защитой. Как только получим Лицензии ФАПСИ на техобслуживание и распространение - предложим рынку соответствующее решение. Иначе - никак

                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий


                    • #11
                      Димитрий!

                      Будет Ваша нативная приблудка под WINTEL работать под тем же Linux'ом? Или iMac'ом? Или на PlayStation 2? И уж тем более на Palm'е или PocketPC?

                      Что такое Java? Интерпретатор байт-кода. Почему он платформонезависимый? Потому что реализация этого интерпретатора описана для множества операционок/платформ. Почему Вы зацикливаетесь на "приблудках для WINTEL"? Только потому, что нет интерпретатора WINTEL под другие операционки/архитектуры?

                      Комментарий


                      • #12
                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил leshik
                        Что такое Java? Интерпретатор байт-кода. Почему он платформонезависимый? Потому что реализация этого интерпретатора описана для множества операционок/платформ. Почему Вы зацикливаетесь на "приблудках для WINTEL"? Только потому, что нет интерпретатора WINTEL под другие операционки/архитектуры?[/quote]

                        Java - это не только интерпретатор.

                        Следуя Вашим рассуждениям, leshik, Святой Грааль - это всего лишь деревянная чашка, из которой можно пить воду.

                        Java - это реализация концепции "Написано однажды - работает везде". Вдумайтесь в смысл этого девиза.

                        Java - это среда исполнения программ. Среда, присутствующая для всего многообразия аппаратных платформ - начиная от мобильных телефонов и заканчивая мэйнфреймами от IBM.

                        Вы когда-нибудь могли мечтать, чтобы софт, написанный под Win32 можно было исполнять на AS/400, в смарткарте и в PocketPC?

                        Так вот Java материализует эту мечту.

                        У меня на столе стоит робот из конструктора Lego Mindstorms. И он тоже управляется программой, написанной на Java

                        Именно поэтому мы делаем iBank на Java...

                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com
                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com

                        Комментарий


                        • #13
                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Влад (aka hugevlad)
                          Очевидно, что для его передачи (хоть экзешника, хоть DLL, хоть жабовских байт-кодов) нужен надежный кнал, каковым интернет или любая другая паблик-сеть не является.

                          Так все-таки: является ли интернет надежным и безопасным каналом? Если "да" - зачем криптопротоколы?
                          [/quote]

                          Влад, Ваше заявление равносильно заявлению о небезопасности езды на автомобиле

                          Да, если не уметь управлять автомобилем, если ездить без тормозов и с неисправным рулевым управением, тогда действительно небезопасно. Если же следовать правилам, использовать стандартные и исправные средства, надежность и безопасность повышаются до более чем приемлемого уровня.

                          Влад, с Интернет таже ситуация. Интернет - это нЕчто большее, чем просто TCP/IP. Интернет - это в том числе и распространенные технологии, включая распространенные криптопротоколы.

                          Уверен, Вы не будете отрицать, что криптопротокол SSL, встроеный во все Web-браузеры, при правильном использовании позволяет организовывать безопасные каналы, обеспечивает надежный метод доставки ПО.

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Дмитрий, безопасность для Вас необходимый "довесок" к разработке ПО, для меня - основная специальность, по которой я работаю не один год.[/quote]

                          О как!
                          Дабы меня не обвиняли во всех смертных грехах оставлю Ваше высказывание без комментариев.

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Во-первых, какой он, нафиг, "истинно тонкий", если для его работы нужна java-машина?[/quote]

                          Для работы апплета используется СТАНДАРТНОЕ ПО, с помощью которого работают в Интернете. Таким стандартным ПО является Web-браузер. Сейчас ВСЕ Web-браузеры - MS IE, Netscape, Opera - поставляются со встроенной виртуальной Java-машиной. Отдельно устанавливать JRE или какой-то другой софт не нужно.

                          В этом тонкость и заключается.

                          Отдыхаю я в Ялте, захожу в интернет-кафе и с любого компьютера управляю счетом. При этом специально я ничего не устанавливаю, я ничего не настраиваю - я именно управляю счетом.

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Надеюсь, не надо объяснять, что самая лучша реализация криптухи на жабе будет существенно медленнее и прожорливей до ресурсов, чем нативный экзешник?[/quote]

                          Да-а-а, велики Ваши, Влад, познания в "жабе" (как Вы изволились выразится в отношении Java).

                          Специально для Вас, Влад, как для "большого" специалиста, работающий всего-то "не один год", сообщаю, что реализации российских ГОСТов на Java не уступают в производительности многим сертифицированным ФАПСИ СКЗИ в виде "нативного экзешника".

                          Да, с написанными на ассемблере и специально оптимизированными под конкретный процессор криптобиблиотеками тягаться тяжело.

                          Но вот с криптобиблиотеками, написанными на C++ и скомпилированными в исполняемый код, Java-криптобиблиотеки, работающие под JVM от IBM, потягаются в производительности запросто. Прогресс видители, Влад.

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Если же Вы относите средства защиты трафика и аутентификации к прикладной части,[/quote]

                          Если указанными Вами средства распространены МАССОВО и являются стандартом де-факто, как это есть с Web-браузерами, тогда упоминаемые Вами средства действительно не следует относить к прикладной части.

                          Но когда для работы с Интернет-Банкингом необходим эксклюзивный софт типа BS-Defender - это действительно ПРИКЛАДНОЕ ПО, ибо это ПО характерно исключиительно для Интернет-Банкинга конкретного производителя, и, естественно, массово распространенным не является.


                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR> так ваш клиент тоже не "истинно тонкий" - требуется предварительная установка в броузер нормального SSL и открытых ключей.[/quote]

                          Вот, здесь как раз ситуация обратная. Наш истинно тонкий iBank использует встроенные в стандартное ПО - Web-браузеры - стандартные средства защиты информации - криптопротокол SSL.

                          Вы, Влад, говоря далее о "нормальном SSL", по всей видимости имели в виду реализацию SSL с 3DES, RC4-128 и пр. strong-криптоалгоритмами. Так вот, опять, специально для Вас как для специалиста, повторяю, что iBank на этапе загрузки стартовой html-страницы и Java-апплета функцию шифрования криптопротокола SSL НЕ ИСПОЛЬЗУЕТ. Используентся только механизмы аутентификации Web-сервера и обеспечения целостности. Поэтому можно совершенно безопасно использовать для этих целей и браузеры с экспортными вариантами реализаций протокола SSL.

                          Что касается доставки клиенту упоминаемых Вами, Влад, открытых ключей, то банку достаточно получить сертификат в том же Thawte и любые (все) Web-браузеры будут признавать этот сертификат при подключении клиента к Web-серверу банка через SSL. При этом никаких открытых ключей передавать клиентам на дискетах не придется!

                          Что касается Ваших вопросов об отсутствии "логов на стороне клиентов" - рекомендую внимательно ознакомиться другими, более ранними темами в этом форуме - там есть исчерпывающие подробные комментарии.

                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Сергей, твое описание циркового номера конечно же удалось - никто в твоем красноречии и не сомневался.
                            Спасибо, я тоже посмеялся

                            Только, если серьезно, к чему всё это?

                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Сергей Фуров (aka sharpcat)
                            ваш джава-аплет не будет работать на смарткарте.[/quote]

                            В моем предыдущем письме речь не шла о работе конкретного Java-апплета, например от iBank 1.8, в смарткарте. Он просто для этих целей не предназначен

                            Речь шла о Java - как о Среде, как о совокупности технологий, позволяющих строить платформоНЕзависимые решения.

                            И демонстрация возможности запрограммировать на Java робота, собранного из Lego Mindstorms, еще одно подтверждение платформонезависимости Java.

                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>и я сочувствую тем, кто будет работать с вашим аплетом на ПокетПС и мобильном телефоне.[/quote]

                            А вот это ты, Сергей, поспешил...
                            Ведь речь не идет о работе старых добрых апплетов из iBank 1.8 на PocketPC и мобильных телефонах.

                            Для апплета iBank 2 Mobile Edition используется тот же самый апплет от обычного iBank 2, только интерфейс и формы модифицируются с учетом возможностей отображения на КПК. Сам же интерфейс и формы уже не содержатся в апплете, а подгружаются в виде XML-описаний по мере необходимости.

                            Надо кнопку добавить или изменить в ней рисунок? Надо новое окно добавить? Надо модифицировать формы? Надо вставить логотип банка в виде бэкграунда? Надо оставить всё как есть, только все названия сделать на китайском? Пожалуйста, правь XML-описания и получишь всё что душе угодно!

                            По всей видимости, Сергей, ты никак не можешь себе представить, что за два года БИФИТ вырос по всем направлениям - и в использования новых технологий, и как разработчик, и как компания в целом.

                            Серж, ты на самом деле, серьезно до сих пор считаешь, что БИФИТ - это только два человека Репан и Бородавкин ????

                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Вот уже и Инист от "церкви" отлучили.[/quote]

                            Да почему ж ты так эмоционально реагируешь на высказанное мнение? Я всегда говорил и говорю, что высказанное мною мнение исключительно личное, субъективное. Я совершенно допускаю, что ИНИСТ не согласен с моим мнением, и имеет совершенно противоположное.

                            И что теперь из этого? Сидеть и помалкивать, втихаря впаривая банкам на коленках собранные решения, но представленные и раздутые как верх достижения хайтека?(это уже совершенно не относится к ИНИСТу)

                            Сергей, тем форум и хорош, что разработчики и потенциальные заказчики могут публично обсудить все плюсы и минусы любых решений. Высказать свои мнения, представляя их каким угодно способом, хоть в виде притчи.

                            В форуме уже звучали славные оды одним продуктам, были язвительные и не всегда компетентные отзывы и обсуждения других продуктов.

                            Объясни мне, Сергей, ну почему разработчику стоит бояться и избегать открытости? Сколько было выскзано критических замечаний в отношении iBank'а? Многие из них пошли на пользу. И вот уже более гибкого решения, чем iBank 2 представить себе трудно iBank 2 уже превращается в технологию.

                            Знаешь сколько по времени требуется, чтобы на базе iBank 2 выпустить версию для Украины? Дни! Правятся XML-описания документов и экранных форм, правятся на LISP'е описания печатных форм, приводятся в соответствии с документами таблицы БД, локализуется интерфейс на украинский язык. Всё. Это работа уже не для программеров - это работа для отдела внедрения и сопровождения.

                            И заметь, сам апплет вообще не меняется. Все изменения касаются исключительно описаний интерфейса пользователя и форм документов, хранящихся в Сервере БД iBank 2.

                            С уважением, Репан Димитрий
                            Компания "БИФИТ"
                            С уважением, Репан Димитрий
                            Компания "БИФИТ" - www.bifit.com

                            Комментарий


                            • #15
                              > Знаешь сколько по времени требуется, чтобы на базе iBank 2 выпустить версию для Украины? Дни!

                              Пробовали? И в сколько дней уложились?

                              Комментарий


                              • #16
                                Пробовали, только не для Украины

                                Как в плане загруженности станет по-легче (я думаю в ближайшие три..четыре недели) - сделаем версию и для Украины (к середине..концу августа).

                                С уважением, Репан Димитрий
                                Компания "БИФИТ"
                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com

                                Комментарий


                                • #17
                                  > Как в плане загруженности станет по-легче (я думаю в ближайшие три..четыре недели) - сделаем версию и для Украины

                                  Успехов.
                                  Интересно будет посмотреть насколько глубоко вы за "дни" познакомтесь с национальной нормативно/законодательной базой, особенно в части валютного регулирования.

                                  Комментарий


                                  • #18
                                    > У меня на столе стоит робот из конструктора Lego Mindstorms


                                    А этот робот случайно не натренирован доставлять в банка платежки и обратно выписки?

                                    Дима, может быть тебе луцше цирк открыть,
                                    или переименоваться в ЦИФИТ (Цирковые и ф...)

                                    Хороший бы получился номер:
                                    жонглеры на канате под куполом цирка жонглируют информационными технологиями, дресированные джава-собачки доставляют в банк платежки; Джин, демонстрируя истинную тонкость, пытается залезть в пипетку,
                                    предсказатели пророчат смерть ПК, а клоуны
                                    торгуют мыльными пузырями.

                                    Может тогда бифит действительно достигнет истинной массовости! Я, например, обязательно приду смотреть

                                    > Вы когда-нибудь могли мечтать, чтобы софт,
                                    > написанный под Win32 можно было исполнять
                                    > на AS/400, в смарткарте и в PocketPC?

                                    ваш джава-аплет не будет работать на смарткарте.
                                    и я сочувствую тем, кто будет работать с вашим аплетом на ПокетПС и мобильном телефоне.

                                    В итоге получится что для каждой такой игрушки будет написан свой "аплет". Десять раз напишем,
                                    и назоем это многоплатформенностью!

                                    > ps. Недавно услышал, что в местном ГУ ЦБ
                                    > "тонким" называют клиент, который общается
                                    > с СУБД sql-запросами. Я
                                    > себе представляю "толщину" этого экзешника,
                                    > написанного на каком-нибудь билдере

                                    А вы себе представляете "тольщину" тонкого клиента под названием Citrix Metaframe, да что там цитрикс,
                                    размер Интернет эксплорера вам известен?

                                    > ИНТЕРНЕТ-БАНКИНГУ НЕ ИМЕЮТ
                                    > НИКАКОГО ОТНОШЕНИЯ .....

                                    Это так жара подействовала, Кака-кола по шарам ударила? Может такие решения и Банкингом назвать нельзя. Бред.

                                    > Взять, к примеру, решение от ИНИСТа ... Назвать
                                    > сие истинно тонким Интернет-Банкингом - нельзя.
                                    > Но вот просто Интернет-Банкингом - можно.

                                    Вот манера, использоват при описании систем метафизические термины. Истина и ложь, добро и зло. Межет, Дим, тебе лучше топик переименовать
                                    на "Метафизика интернет-банкинга. Праведный путь истинного интернет-банщика"? И читать проповеди по их настоящим названием?
                                    Вот уже и Инист от "церкви" отлучили.

                                    > в том числе и ради снижения издержек на
                                    > техподдержку большого кол-ва клиентов.

                                    А считали ли вы конкретно издержки перед тем как писать о них в конференции? Ну приведите цифирки издержек при эксплуатации ИБ от БСС и от БИФИТА.
                                    специалисты оценят.

                                    > Одним из необходимых условий истинно
                                    > тонкого решения является его
                                    платформонезависимость.
                                    >То есть решение должно работать на любых
                                    > ОС и на любом железе.
                                    > + отсутствие необходимости ставить специальное ПО

                                    Бред. Только БИФИТ может назвать "отсутствие" технологией. Технолгия тонкого клиента имеет совершенно конкретное опраделение, и не является дыркой от бублика.

                                    Патфорненная независимость тоже не имеет к тонкому клименту никакого отношения.

                                    А чем "истинно тонкий" отличается от "тонкого",
                                    вообще загадка.

                                    В общем, по случаю жары пора модератору начать раздовать таблетки от словесного поноса. Особенно тем у кого прет изо всех дыр.

                                    WBR
                                    WBR
                                    serg

                                    Комментарий


                                    • #19
                                      Дмитрий

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Угу. Только вот непонятно, что стоит за фразой "упрощенный"
                                      Описание протокола взаимодействия Java-апплета с Сервером Приложения было выложено на Web еще с времен выхода самой первой версии. Если у Вас есть желание ознакомиться - описание предоставим.
                                      [/quote]

                                      "Товарищ не понимает"
                                      Меня мало волнует это взаимодействие, т.к. в фазе "защитный софт загружен и проверен, ключи есть" все уже тривиально. Кроме того, это действительно описано у вас на сервере.
                                      Мы говорим о начальной фазе, когда защищенное соединение еще не установлено. У меня складывается впечатление, что Вы что-то скрываете, или просто не в курсе, как это у вас реализовано. В спецификации нет режима с названием "MD5 only", можно только догадываться, что Вы имели ввиду, т.к. на сайте у вас момент загрузки аплета описан очень кратко и невнятно. Там утверждается, что на этот процесс не влияют экспортные ограничения на используемые криптоалгоритмы, т.к. применяется только хэш MD5. Но аутентификация при помощи хэша принципиально возможна только при наличии разделенного секрета, а его на этой стадии еще нет, есть лишь возможность загрузить и проверить сертификат открытого ключа банка, а это уже несимметричные криптопреобразования. Можно передать на сервер заполнение стартового вектора хеширования, но для этого его необходимо зашифровать на открытом ключе банка. Что же все-таки происходит? Поделитесь с общественностью, как вы гарантировано безопасно переходите от состояния "нулевое знание" к аутентифицированному соединению с обеспечением целостности при помощи MAC? Ответ "читайте спецификацию и наш сайт" будет расценен либо как незнание Вами действительного положения дел, либо как подтверждение, что вы применяете методику "security by obscurity" в своем продукте.


                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Так в компьютере много чего еще интерпретируется - начиная от процессорных команд (нативного кода), интерпретируемых в набор RISC-микрокоманд операционных устройств ядра процессора, и завершая интерпретацией Web-браузером html-страниц
                                      [/quote]
                                      Это не ответ, а увод разговора в сторону. Еще раз: Вы продолжаете утверждать что интерпретатор (тем более программный) эффективнее нативных кодов?


                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Влад, ну право, это даже смешно

                                      Компетентность никогда не определялась сроками. Да, большой стаж - это необходимое условие, но вспоминая даже некоторых профессоров в Бауманке, понимаешь, что далеко не достаточное.
                                      [/quote]
                                      1. Не бросайте смешных реплик - не будет смешных ответов на них.
                                      2. Мне льстит сравнение с профессорами , но я практик.
                                      И что это Вас так возбудило упоминание сроков? Компания стесняется своего юного (2 года) возраста?

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      И где можно увидеть результаты сравнительных тестов? Меня терзают
                                      смутные сомнения (с), что там не все чисто.
                                      Мучайтесь
                                      [/quote]
                                      Т.е. таких результатов нет и Ваше утверждение было абсолютно голословным. Мучаться я не буду, а просто восприму это как еще одно доказательство тезиса, что жаба - штука хорошо переносимая, но уж больно тормозная и прожорливая до ресурсов.

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Ура! Наконец-то хоть в чем-то наши мнения совпали
                                      [/quote]
                                      Дмитрий, осторожней! Стенка очень твердая, а дверь рядом Не надо об нее биться - просто войдите Не вижу причин для бурного восторга, по поводу тезиса, с которым и так никто не спорил.

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Но не вижу принципиальной разницы между запуском с дискетки
                                      маленькой и не требующей настройки софтины и загрузкой из сети
                                      джава-аплета.

                                      По моему исключительно субъективному мнению, если решение имеет нативную составляющую, но при этом оформлено правильно, компактно (до пары сотен Кбайт) и не требует УСТАНОВКИ и НАСТРОЙКИ на стороне клиента спец.ПО, то такое платформозависимое решение можно отнести к легковесному толстому клиенту.
                                      [/quote]
                                      Насчет субъективности мнения - это точно. Я в прошлом постинге рассказывал про одно мнение о "толщине".
                                      Так вот, in my humble opinion, Вы опять подменяете понятие "тонкий клиент" на "платформонезависимый клиент".

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Одним из необходимых условий истинно тонкого решения является его платформонезависимость. То есть решение должно работать на любых ОС и на любом железе.
                                      [/quote]
                                      Спорное утверждение. Я точно так же могу утверждать, что тонкий клиент это:
                                      - отсутствие необходимости предварительной установки/настройки чего-либо;
                                      - малые аппетиты до ресурсов.

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Будет Ваша нативная приблудка под WINTEL работать под тем же Linux'ом? Или iMac'ом? Или на PlayStation 2? И уж тем более на Palm'е или PocketPC? НЕТ, не будет
                                      [/quote]
                                      Если Вы про InterPro, то я не ее разработчик Но, насколько мне известно, она есть и под линукс, а значит, соберется под любым юниксом. Портирование кучи мелкософтовского софта на маки показывает, что этот порт не дороже денег, значит и пересобрать ее на мак не составит труда.
                                      Вообще, если софт пишется по уму сразу, с портированием проблем не возникает. Мне приходилось писать софтину, которая должна была работать под всем, что шевелится. Плейстейшенов всяких под рукой не оказалось , но на всех доступных ОС (включая HP-UX и Solaris на родном железе, а также "экзотику" типа NetWare и OS/2) оно особралось (причем из одних исходников) и работало полностью совместимо.

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Интересно, и какой же механизм аутентификации вы используете, если
                                      на него не влияют экспортные ограничения?
                                      Всем рекомендую читать спецификции - в них истина.
                                      [/quote]
                                      Т.е. Вы не знаете. Понятно.

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Специально же для Влада - экспортные ограничения на реализацию криптопротокола SSL никак не влияют на выработку в процедуре хэндшекинга стартовых векторой для обеспечения целостности передаваемых данных.
                                      [/quote]
                                      Специально для Дмитрия: принципиально невозможно перейти из открытого состояния в защищенное без предварительного распределения информации. Если эта информация несекретная (сертификат или открытый ключ центра сертификации), то это автоматически подразумевает использование несимметричных криптопреобразований.
                                      Стартовые вектора получаются путем хэширования полей random из сообщений hello и других известных данных. Если трафик не шифровать (по несимметричной схеме), то легко реализуется mitm-атака.


                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      Вам набросать краткий алгоритм mitm-атаки на подмену жаба-аплета во
                                      время загрузки в такой ситуации?

                                      Да уж, извольте, если не трудно. Только убедительная просьба, Влад, если всё-таки начнете, то всё-таки не "набрасывайте", а конкретно, по пунктам всё подробно распишите с четкими однозначными формулировками. Только без голословных утверждений и публичных загибаний пальцев
                                      [/quote]
                                      Нет, так не пойдет. Если вам надо по пунктам - давайте договоримся о цене, заключим договор, и я Вам предоставлю все выкладки

                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                      есть "гвоздь, на котором висит вся система", в данном случае, это
                                      открытый ключ Thawte и т.п. Почему я должен доверять его
                                      целостности, если я его получаю в составе прикладного ПО
                                      американской компании?
                                      Потому, что Вы используете это ПО. Если Вы, Влад, не доверяете этому ПО или части этого ПО - не используйте его. Для Вас, Влад, как специалиста по безопасности, это должна быть аксиома.
                                      [/quote]
                                      "Не делайте мне смешно", Дмитрий! Во-первых, на своем компе я не использую это ПО. Во-вторых, когда мне все же приходится им пользоваться (у работодателя есть некий стандарт на рабочее место), первое, что я делаю - отключаю всякие жабы, скрипты и т.п., ибо маст дай и тормозит. И уж тем более, не доверяю всем этим сертификатам, полученным в "одном флаконе".
                                      "Я Вам одну умную вещь скажу, только Вы не обижайтесь" (с) Мимино.
                                      Уже упомянутый "гвоздь, на котором висит система", должен быть получен по надежному каналу. Загрузка ключа (в составе эксплорера) из инета, установка его с компашки (чаще всего паленой - в России живем) или получения в виде "предустановленного ПО" с компом таковым не является. Может, для Вас момент с надежностью канала неочевиден. Но мне кажется, что Вы это прекрасно понимаете и идете на упрощение сознательно, т.к. "клиенты все равно ничего в этом не рубят". Кстати, а какой смысл во всех этих извратах, если клиент все равно несет распечатку открытого ключа в банк? Что, ему уже не судьба там получить по самому надежному каналу (из рук в руки!) открытый ключ банка, что сразу же дает возможность устанавливать гарантировано защищенное соединение?

                                      ps. Вопрос в догонку. Каковы минимальные требования к железу, чтобы клиент мог работать из-под линукса? Версия нетскейпа? А мозиллы?
                                      И тоже самое для BSD, Solaris и OS/2, если не трудно.


                                      ------------------
                                      regards, Vlad.
                                      Earl Vlad Drakula. ///

                                      Комментарий


                                      • #20
                                        sharpcat

                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                        А вы себе представляете "тольщину" тонкого клиента под названием Citrix Metaframe, да что там цитрикс,
                                        размер Интернет эксплорера вам известен?
                                        [/quote]
                                        Представляю Имел счастье работать с NTrigue от инсигны. И про браузер в курсе. Собсно, я Дмитрию намекал, что понятия о толщине в этом мире у всех разные


                                        ------------------
                                        regards, Vlad.
                                        Earl Vlad Drakula. ///

                                        Комментарий


                                        • #21
                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил JK
                                          Интересно будет посмотреть насколько глубоко вы за "дни" познакомтесь с национальной нормативно/законодательной базой, особенно в части валютного регулирования.[/quote]

                                          Вопросы с формами валютных документов обсуждались с несколькими украинскими банками. Нам были предоставлены соответствующие консультации, примеры форм, правила их заполнения и т.д. По мере кастомизации iBank 2 для Украины, вопросы с формами валютных документов будем решать в рабочем порядке.

                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ"
                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ" - www.bifit.com

                                          Комментарий

                                          Пользователи, просматривающие эту тему

                                          Свернуть

                                          Присутствует 1. Участников: 0, гостей: 1.

                                          Обработка...
                                          X