David.Turing's blog

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-11-13 13:16 詠梅

去掉"Hidden"屬性可否顯現(xiàn)?此腳本可否設(shè)定權(quán)限/  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-11-13 14:52 david.turing

該頁(yè)面可以放在信任站點(diǎn)的任何路徑上，然后直接調(diào)用客戶端的Capicom產(chǎn)生簽名，神不知鬼不覺(jué)。

測(cè)試頁(yè)面可見(jiàn)于：
http://securex.sourceforge.net/testusb/SilentSign.htm

1，把securex.sourceforge.net設(shè)置成信任站點(diǎn)（目前很多項(xiàng)目都是這樣做的）
2，訪問(wèn)上面的頁(yè)面，然后看看html源代碼
  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-12-02 22:05 紅旗的理想

是不是要USBKey來(lái)測(cè)試上面哪個(gè)連接才看的出效果呢?  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-12-05 16:20 小人物

不是要進(jìn)行驗(yàn)證的嗎？驗(yàn)證的內(nèi)容包含了簽名信息和原始信息，原始信息的來(lái)源應(yīng)該不是來(lái)自hidden的吧？如果說(shuō)那程序員連原始信息來(lái)源處也改了那就是走C/S也沒(méi)用，他還不是可以做個(gè)仿界面來(lái)搞鬼？天下哪有十全十美的方法。  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-12-05 20:30 david.turing

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

你說(shuō)對(duì)了，但我的工作是要客戶認(rèn)為這足夠安全，并且讓
客戶認(rèn)為（他們會(huì)找第三方公司對(duì)SecureX的客戶端源代碼
進(jìn)行核實(shí)，然后才部署），這樣會(huì)相對(duì)安全很多。

-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 9.0.5 - Enterprise license
Comment: http://www.pgp.org.cn

iQA/AwUBRXVmn02j31FcBpdPEQJLoQCfbWlFvBJ6jpOxIpjR/4PU1bzOHfAAoMr9
BQyMQ7d7qfMetMZbqUbGruAT
=FEqC
-----END PGP SIGNATURE-----
  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2006-12-19 12:47 flown

如果程序員在程序中留有后口，那么系統(tǒng)肯定是不安全的。

這個(gè)你無(wú)論通過(guò)什么方式都保證不了，無(wú)論是C/S，還是B/S  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2007-11-13 00:10 yhb7805.cublog.cn

如果不考慮攻擊瀏覽器，那么你說(shuō)的腳本一定是由服務(wù)器的腳本生成的。
如果服務(wù)器和Browser之間是通過(guò)SSL建立的連接（ＩＥ６現(xiàn)在不能對(duì)Ｓｅｒｖｅｒ強(qiáng)制進(jìn)行認(rèn)證，但ＩＥ７和Ｖｉｓｔａ已經(jīng)可以了），那么一定是真實(shí)的服務(wù)器上的腳本本身有問(wèn)題，出了這樣的問(wèn)題話，一定是Server端承擔(dān)該責(zé)任。
屬于Ｓｅｒｖｅｒ的問(wèn)題，應(yīng)該從Ｓｅｒｖｅｒ端去解決，在客戶端和ＵＳＢ?。耍牛偕?，是找不到解決辦法的。因?yàn)榍疤崾钦鎸?shí)的服務(wù)器本身就有問(wèn)題，根源不在這里。  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2007-11-13 00:24 yhb7805.cublog.cn

您討論的這個(gè)問(wèn)題，已經(jīng)和加密、ＵＳＢＫＥＹ?zèng)]有關(guān)系了。它本質(zhì)已經(jīng)屬于管理范疇了（對(duì)開(kāi)發(fā)過(guò)程、源代碼的安全性的管理）。
讓技術(shù)手段去解決管理問(wèn)題，本身就是風(fēng)馬牛不相及。所以說(shuō)安全問(wèn)題３０％是技術(shù)，７０％是管理。
所以您的這個(gè)“嚴(yán)重安全漏洞”有些聳人聽(tīng)聞的意思。
建議多看看信息安全的規(guī)范。  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2008-06-18 00:47 raiden

所謂的網(wǎng)絡(luò)安全,終于在這里有人說(shuō)人話了  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2008-11-18 08:41 還要輸入名？

舉例無(wú)任何意義。這一切都是源于源代碼的漏洞，也就是說(shuō)不是技術(shù)本身，而是人為因素。如果想在代碼當(dāng)中做手腳，任何的努力都是白費(fèi)的。  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2011-08-15 14:48 ca

這是一個(gè)很矛盾的事情，我們?cè)?jīng)做過(guò)每次簽名都要用戶輸入私鑰保護(hù)PIN碼，但結(jié)果很多用戶（主要是像省廳這樣的大業(yè)主）都嫌太麻煩，即使我們以安全要求強(qiáng)調(diào)這個(gè)問(wèn)題。
還有更嚴(yán)重的問(wèn)題，很多應(yīng)用喜歡讓用戶在網(wǎng)頁(yè)輸入PIN碼，這樣后可以在不用戶不知不覺(jué)前獲取PIN碼而進(jìn)行各種私鑰操作。  回復(fù)  更多評(píng)論   

# re: [原創(chuàng)]國(guó)內(nèi)大部分的USBKey通過(guò)B/S方式（CAPICOM）產(chǎn)生數(shù)字簽名的嚴(yán)重安全漏洞 2014-05-21 11:37 一氣哈成

這個(gè)問(wèn)題對(duì)一代USBKey確實(shí)有這個(gè)問(wèn)題，但是二代所見(jiàn)即所簽就沒(méi)有這個(gè)問(wèn)題了  回復(fù)  更多評(píng)論