może ktoś wskazać drogę?
Czy możesz wyjaśnić o co Ci chodzi? Najlepiej używając angielskich słów.
Jeśli dobrze kojarzę to chyba o takie rozwiązanie jak niektóre banki używają, że na USB podłącz się czytnik, bank daje kartę i system by wykonać jakąkolwiek operację w tym banku łączy się z czytnikiem (kartą) i sprawdza uwierzytelnienie.
Czy o coś takiego chodziło?
Najpierw 3 kilometry na zachód. Potem 2 na zachód-południowy-zachód. I już jesteś w Hameryce.
a) istnieje opcja w niektórych webserverach by wymagać certyfikatu SSL (googluj po: SSLVerifyClient apache) - z tym będziesz musiał się po stronie serwera zaznajomić. Jeśli dobrze kojarzę to można te dane przekazać dalej do aplikcji. Pamiętam, że w 1 z projektów to realizowane było przez dodatkowe headery bodajże.
b) zwykle się to robi dodając po prostu do przeglądarki certyfikat ale nie jest to jedyna droga:
c) jeśli dobrze pamiętam to po stronie przeglądarki potrzebujesz DLLkę/moduł zgodny z PKCS11. Znów jeśli dobrze pamiętam to niektórzy producenci dostarczają coś takiego na windowsy zdaje się.
Notatki z szybkiego researchu, który kiedś robiłem w temacie (nie odpowiadam: za błędy) - https://gist.github.com/d673d03ef9fa08acdfa6 . Niestety ostatenicze nie wdrożyliśmy takiego rozwiązania także wiedzę mam pobieżną ale wynikało z tego co znalazłem, że “da się”.
[quote=gotar]Jeśli dobrze kojarzę to chyba o takie rozwiązanie jak niektóre banki używają, że na USB podłącz się czytnik, bank daje kartę i system by wykonać jakąkolwiek operację w tym banku łączy się z czytnikiem (kartą) i sprawdza uwierzytelnienie.
Czy o coś takiego chodziło?[/quote]
mniej więcej. mam zapytanie o mozliwosc zwiekszenia zabezpiczeń dostępu do danych przez wydanie userom kart uwierzytelniających.
nie lepiej autoryzować np: via token wysłany sms’em ? w sensie chciałem tylko zapytać czy autentykacja z kartą to jest temat w kwestii rozwoju czy już ta decyzja zapadła ?
po to sa wlasnie karty by nie bylo setek sms jak np ksiegowa siedzi i robi cal dzien przelewy, tak to banki rzwiazuja ale tutaj musial bys temat rozwinąc by moze inne rozwiazanie podpowiedziec
Jak pokazało życie SMSy są tak bezpieczne jak zabezpieczenia sieci komórkowych, a słyszy się o sytuacjach kiedy ktoś przekierowuje numer telefonu na inny i przechwytuje SMSy (wtedy nawet nie ma problemu jak zadzwonią do Ciebie z pytaniem czy na pewno chcesz zrobić duży przelew). Oczywiście przekierowanie najczęściej nie jest żadnym skomplikowanym zadaniem - z tego co pamiętam tego typu “ataki” były załatwiane przez zwykły telefon do biura obsługi klienta.
nie ma w pełni bezpiecznych zabezpieczeń, jednak uciążliwe funkcjonują, poza tym jeżeli mam do wykonania jedną operację tygodniowo to sms nie jest chyba baardzo złym rozwiązaniem z resztą jak wspomniał przedmówca przydało by się więcej informacji. p.s. za uciążliwe uważam posiadanie kolejnej karty w swoim portfelu która przydaje mi się raczej sporadycznie
To zależy. Nie nazwałbym telefonii komórkowej technologią, na której można 100% polegać. Blokada operacji, bo SMS nie dochodzi to kiepski UX.
Jak powiadał towarzysz Stalin “Nie ważne kto głosuje, ważne kto liczy głosy”. Moim skromnym zdaniem SMS nie jest bezpieczną formą uwierzytelniania. Nie jestem specjalistą od bezpieczeństwa, nie jestem też prawnikiem specjalizującym się w prawie telekomunikacyjnym, ale z tego co baby na mieście gadają to każdy operator publicznej sieci telekomunikacyjnej lub dostawca publicznie dostępnych usług telekomunikacyjnych jest zobowiązany do przechowywania pewnych danych o swoich abonentach przez okres około 12 miesięcy.
Pewnego razu do takiego operatora mogą zapukać smutni panowie w czarnych garniturach legitymujący się jako ABW i te dane mają prawo uzyskać. Teoretycznie, jeśli zajdzie taka potrzeba to mogą trzepać na bieżąco wszystkie połączenia przychodzące oraz wychodzące. Jak pokazuje historia Ci panowie często mogą nadużywać swoich praw jak każde inne służby…
To jest oczywiście skrajny przypadek, ale moim zdaniem każde się zastanowić, czy telefon jest dobrym rozwiązaniem do wymiany informacji niejawnych 
… ale to oczywiście tak jako taka anegdotka z przymrużeniem oka
nie powiedzialem ze to jest technologia które można ufać na 100% tylko że wg mnie jest w miarę wygodna
Nie orientuję się zbytnio w temacie, ale może istnieje jakieś rozwiązanie, które udostępni Ci możliwość uwierzytelnienia z kluczem publicznym/prywatnym, które udałoby się zastosować w Twoim przypadku.
A jeśli nie SMS, to może wystarczy szyfrowanie w HTTPS?
Wiem, wiem pytałeś o coś innego ale może ta sugestia do czegoś jednak Ci się przyda 