Saisie des données dans ASPX côté client

Question

Dans mon application, le client doit signer (à l'aide d'un certificat) et envoyer des données au serveur. Mon doute est comment dois-je faire?

Pour signer sur le côté client, je devrais utiliser ActiveX droite? Mon problème est que firefox ne le supporte pas. Signature du côté du serveur, j'ai deux options:

1. Enregistrer la clé privée sur le serveur et l'utiliser en cas de besoin (si les données sont modifiées au cours de la transaction, il signera des données fausses)
2. Envoyer privé clé si nécessaire (peut comprendre la clé)

Malgré l'utilisation de SSL, je ne suis pas très confortable avec l'une des deux options pour la signature du côté du serveur ... en utilisant ActiveX peut causer ma demande plus vulnérables, droite?

espère que vous pouvez me aider :)

Answer 1

Il n'y a pas de solution unique pour la signature côté client dans tous les navigateurs, malheureusement. Nous travaillons actuellement sur des composants de signature distribués pour notre produit SecureBlackbox, et nous avons créé l'applet Java, le contrôle ActiveX et le script Flex pour effectuer la signature. Cependant, toutes les variantes ont des défauts. Par exemple, seul le contrôle ActiveX peut accéder au magasin de certificats Windows. Avec d'autres types de modules, l'utilisateur doit charger le certificat à partir du fichier PFX (PKCS # 12). Le téléchargement et la signature sur le serveur ne fonctionneront pas car la clé privée n'est pas toujours exportable sur le client (elle peut résider sur cryptotoken ou carte à puce, ou être simplement non exportable), et cette approche rend tout le processus inutile car il réduit considérablement la sécurité. SecureBlackbox 9 est maintenant en version bêta publique, avec la prise en charge de la signature côté client (nous fournissons des modules ActiveX, Java et Flash pour cela).