Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Техническая поддержка пользователей → ruTokenWeb plugin deprecated API
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Здравствуйте.
В последней версии документации для ruToken Web функции rtwUserLoginDlg/rtwLogout/rtwIsUserLoggedIn помечены как устаревшие. Других функций для ввода пин кода я не обнаружил (возможно плохо искал).
Означает ли это, что было принято осознанное решение разрешить использование ruToken Web без пин кода?
Здравствуйте.
нет, просто пин-код запрашивается по необходимости.
Например, ранее нужно было вызвать подряд 3 функции: rtwUserLoginDlg rtwSign rtwLogout, а теперь только rtwSign. Фукнция сама спросит пин-код у пользователя и сама разлогинится.
соответственно если мне необходимо сделать подпись 3 раза подряд я получу 3 запроса пин-кода?
соответственно если мне необходимо сделать подпись 3 раза подряд я получу 3 запроса пин-кода?
верно
спасибо за информацию.
спасибо за информацию.
Если что, старые функции пока не выпилены, и врядли когда нибудь будут. Мы просто не рекомендуем ими пользоваться.
еще один небольшой вопрос.
согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801101 в данный момент предоставляется 2 варианта веб плагинов, один специфичный для rotoken web, и "рутокен плагин".
Далее, согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801092 У "Рутокен Плагин" имеет свой специфичный API, в котором есть функция login(deviceId, pin, resultCallback, errorCallback) позволяющая передавать pin код непосредственно из JS.
Вопрос, не является ли эта функция потенциальной угрозой безопасности поскольку:
1) допускает перебор pin кодов без нотификации пользователя (скорее всего не особо страшная проблема посколько токен скорее всего будет блокирован после n запросов)
2) позволяет вредоносным сайтам легко заблокировать токен, в случае если он случайно оказался подключенным в момент открытия этого сайта.
3) потенциально облегчает перехват pin кода через javascript, поскольку достаточно сделать JS иньекцию.
Возможно существует какая либо защита от этих моментов, которую я упустил?
Вы всё верно пишете.
Рутокен Web по своей сути предназначен для работы в более недоверенном окружении чем, Рутокен Плагин.
Именно поэтому мы рекомендуем подкрутить безопасность Рутокен Web не пользуясь отдельными логинами и логаутами, которые можно перехватить.
Среда исполнения Рутокен Плагина более доверительная, обычно, это корпоративная техника с усиленными политиками безопасности.
Именно поэтому и перехват пин-кода ну а тем более блокировка токена не так опасна.
Спасибо за информацию.
Страницы 1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Техническая поддержка пользователей → ruTokenWeb plugin deprecated API
