Совершенно согласен, и очень часто из-за этого происходят такие досадные случаи, когда в вполне серьезных системах подпись проверяется… как бы так сказать, по наличию, о, есть подпись — отлично, считаем ее валидной, я не говорю уже о том, как часто не проверяется, что сертификат наш уже давно в СОС-ах лежит и тд. и тп… И все эти вопросы возлагаются на разработчика, проблемам удивляться не приходится.
Вопрос не в том, чтобы кто-то мыслил или не мыслил о подписании апплета в какой бы там ни было области, вопрос скорее технический, если ваш апплет подписан не будет, он просто не получит доступа к тем локальным ресурсам, которые вам необходимы для реализации ЭЦП, вот и весь вопрос.
Не каким-то, а вашим, и здесь абсолютно нет никакой разницы заставляете вы доверять пользователя вашим скриптам, или java апплету, или ActiveX или плагину или чему-то еще, если разработчик захочет, он получит ваш пароль, я не рассматриваю здесь моральную и другие стороны вопроса. Для пользователя здесь только одна защита — держать сам токен всегда при себе.
Не совсем понятно, каким образом межсайтовые запросы помогут в решении проблемы доступа к локальным ресурсам пользователя (сертификаты, криптопровайдеры и тд.) или вы что-то другое имели в виду?
Да, мы можем долго говорить о том, безопасна ли Java, в принципе с таким же успехом долго можно было говорить о .net или об уязвимостях в самих веб-приложениях. Проблемы есть и о них разработчик, безусловно, должен знать.
Java часто используется для ЭЦП не потому, что она самая-самая безопасная, здесь есть другие плюсы.
А что касается, лучше самому написать, то практика показывает, что именно в таких решениях чаще всего бывает много критичных уязвимостей, да и устраняют их не так оперативно, как Microsoft, Oracle, Google и тд…
Сойдемся на том, что нужно ставить обновления, которые устраняют проблемы с безопасностью (о какой бы среде мы не говорили) и быть немного параноиком)
Насколько я знаю, в Silverlight только приложения, которые работают вне браузера, могут претендовать на дополнительные привилегии. В 5-ой версии кажется появилась возможность давать повышенные привилегии приложениям, работающими в окне браузера, но через большую, извините, опу.
Насчет подписывания flash никогда не слышал, интересно, есть ли такая возможность.
Это законно и вы можете использовать их сколько угодно, другое дело, что из-за того, что там используются по умолчанию алгоритмы, которые не соответствуют ГОСТам, вы не сможете в суде доказать, что, скажем, подпись действительна.
Java часто используется для ЭЦП не потому, что она самая-самая безопасная, здесь есть другие плюсы.
А что касается, лучше самому написать, то практика показывает, что именно в таких решениях чаще всего бывает много критичных уязвимостей, да и устраняют их не так оперативно, как Microsoft, Oracle, Google и тд…
Сойдемся на том, что нужно ставить обновления, которые устраняют проблемы с безопасностью (о какой бы среде мы не говорили) и быть немного параноиком)
Насчет подписывания flash никогда не слышал, интересно, есть ли такая возможность.