1. Dom
  2. Pytanie i odpowiedź
  3. cyfrowo podpisane pliki JavaScript

cyfrowo podpisane pliki JavaScript

2014-12-30 12 views
5

Natknąłem niektórych (Microsoft generowane) pliki JavaScript, które wyglądają tak:cyfrowo podpisane pliki JavaScript

... SOME JAVASCRIPT CODE... 

// SIG // Begin signature block 
// SIG // MIIaVgYJKoZIhvcNAQcCoIIaRzCCGkMCAQExCzAJBgUr 
... 
// SIG // 2Ee3yfXCMiZKY8Yv2h0= 
// SIG // End signature block

Moje pytanie brzmi: co jest celem tego podpisu cyfrowego? Tak, wiem, że jest on podpisany przy użyciu klucza publicznego i że pomaga zidentyfikować autora pliku, i tak, wiem, że upewnia się, że nikt nie manipulował plikiem, ale co z nim robią przeglądarki? Jak z niego korzystają? Jakie są zalety posiadania go w twoim pliku JavaScript (poza tym, że twoje pliki wyglądają na dużo większe :)?

Źródło

2014-12-30 Mirko Kojot

+4

To linie komentarza, więc teoretycznie nic. –

+0

Może dla jakiejś przyszłej technologii, która sprawdza poprawność strony, aby upewnić się, że nie została zmodyfikowana przez siły zewnętrzne (np. Hakowanie)? Potrzebowałby jednak dodatkowej ochrony, ponieważ haker mógłby po prostu zastąpić lub usunąć ten blok. –

+0

http://www-archive.mozilla.org/projects/security/components/signed-scripts.html – Rick

Odpowiedz

2

Wygląda jak podpisany skrypt opisany jako here (vbscript WSH, ale WSH może również używać jscript). Przypuszczam, że jest to raczej bezcelowe w kontekście przeglądarki.

Źródło

2014-12-30 13:59:26 KooiInc

+0

Tak, to były dokładnie moje myśli, ale dlaczego mieliby je tam umieścić, jeśli nie ma na to żadnego celu? –

0

Wygląda na to, że skrypt został podpisany przez firmę Microsoft SignTool lub coś podobnego.

Mogę wymyślić dwa zastosowania tego. Jednym z nich, jak wspomniano powyżej, jest użycie go z hostem skryptów systemu Windows lub innym silnikiem innym niż przeglądarka, który sprawdza podpis przed podpisaniem. Druga polega na weryfikacji autentyczności plików javascript poprzez sprawdzenie sygnatur w czasie instalacji i/lub okresowo po stronie serwera. Umożliwi to administratorom sprawdzenie, czy skrypty nie zostały zmienione i że nawet po aktualizacji pochodzą od zaufanego dostawcy.

Sądzę, że to może się przydać również w systemach wykrywania włamań.

Źródło

2016-07-01 08:47:28 kentis

0

Per @link

podpisów cyfrowych Kooilnc za (wprowadzone z WSH 5.6) zapewnić sposób, aby sprawdzić, kto jest autorem scenariusza, jak również sposób, aby zagwarantować, że skrypt nie został zmieniony, ponieważ został napisany i podpisany. Nie musi to oznaczać, że skrypt jest "bezpieczny"; w końcu twórcy wirusów mogą również uzyskać podpis cyfrowy. Jednak podpisy elektroniczne zapewniają dwie miary ochrony:

Zasadniczo jest to podobne do skrótu MD5 do pobrania; informuje, że pochodzi ze źródła, z którego pochodzi, i że nie zostało zmodyfikowane, ponieważ je dostarczyło.

Źródło

2017-02-10 22:31:31

 Powiązane problemy

  • Brak powiązanych problemów^_^