(2013-10-28 17:44:47 отредактировано 929121)

ruTokenWeb plugin deprecated API

Здравствуйте.

В последней версии документации для ruToken Web функции rtwUserLoginDlg/rtwLogout/rtwIsUserLoggedIn помечены как устаревшие. Других функций для ввода пин кода я не обнаружил (возможно плохо искал).

Означает ли это, что было принято осознанное решение разрешить использование ruToken Web без пин кода?

Re: ruTokenWeb plugin deprecated API

Здравствуйте.
нет, просто пин-код запрашивается по необходимости.
Например, ранее нужно было вызвать подряд 3 функции: rtwUserLoginDlg rtwSign rtwLogout, а теперь только rtwSign. Фукнция сама спросит пин-код у пользователя и сама разлогинится.

Re: ruTokenWeb plugin deprecated API

соответственно если мне необходимо сделать подпись 3 раза подряд я получу 3 запроса пин-кода?

Re: ruTokenWeb plugin deprecated API

929121 пишет:

соответственно если мне необходимо сделать подпись 3 раза подряд я получу 3 запроса пин-кода?

верно

Re: ruTokenWeb plugin deprecated API

спасибо за информацию.

Re: ruTokenWeb plugin deprecated API

929121 пишет:

спасибо за информацию.

Если что, старые функции пока не выпилены, и врядли когда нибудь будут. Мы просто не рекомендуем ими пользоваться.

(2013-10-29 12:08:46 отредактировано 929121)

Re: ruTokenWeb plugin deprecated API

еще один небольшой вопрос.

согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801101 в данный момент предоставляется 2 варианта веб плагинов, один специфичный для rotoken web, и "рутокен плагин".
Далее, согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801092 У "Рутокен Плагин" имеет свой специфичный API, в котором есть функция login(deviceId, pin, resultCallback, errorCallback) позволяющая передавать pin код непосредственно из JS.

Вопрос, не является ли эта функция потенциальной угрозой безопасности поскольку:
1) допускает перебор pin кодов без нотификации пользователя (скорее всего не особо страшная проблема посколько токен скорее всего будет блокирован после n запросов)
2) позволяет вредоносным сайтам легко заблокировать токен, в случае если он случайно оказался подключенным в момент открытия этого сайта.
3) потенциально облегчает перехват pin кода через javascript, поскольку достаточно сделать JS иньекцию.

Возможно существует какая либо защита от этих моментов, которую я упустил?

Re: ruTokenWeb plugin deprecated API

Вы всё верно пишете.
Рутокен Web по своей сути предназначен для работы в более недоверенном окружении чем, Рутокен Плагин.
Именно поэтому мы рекомендуем подкрутить безопасность Рутокен Web не пользуясь отдельными логинами и логаутами, которые можно перехватить.
Среда исполнения Рутокен Плагина более доверительная, обычно, это корпоративная техника с усиленными политиками безопасности.
Именно поэтому и перехват пин-кода ну а тем более блокировка токена не так опасна.

Re: ruTokenWeb plugin deprecated API

Спасибо за информацию.