[閒聊] 自然人憑證與node.js

看板Soft_Job (軟體人)作者erspicu (.)時間8年前 (2017/11/08 23:21)推噓1(1推 0噓 6→)

留言7則, 2人參與討論串1/1

政治正確下,總是要順應潮流批判一下ie和老舊的activex或是javaapplet技術... 都說不安全,過時的東西,偏偏很多時候就是需要透過它們來讀讀卡機, 因此很多時候還是得改設定把功能用回來, 一直到win10仍然有舊版ie存在大概就是顧慮這個問題. 但最近卻出現了號稱跨平台且不限瀏覽器的讀卡方案, 原本以為是不是webusb這種東西,但似乎還沒成熟,且不是通用方案. 最後發現了是滿奇特的作法,透過安裝一款獨立的clinet軟體提頁面服務 (類似當成網頁與client端硬體溝通的proxy,因為是client端軟體所以當然沒沙箱問題) 來存取自然人憑證或是晶片卡等等.... 但我總是以為這種東西大概是rd會寫一個微型服務,自幹一個簡單的http服務server才對, 結果自然人憑證的作法是直接把node.js打包入內, 裡面直接有node.js直譯器和精簡化的必要模組, 透過node.js建立http server來給網頁call api用.... 裡面的sources也是都直接攤開, 不過硬體底層的控制應該還是透過c/c++之類的去處理,這樣的做法是可以達到效果, 但說真的也好像不是很ok....activex跟javaapplet被人批評的是如果散布者有惡意, 它給予的服務就有危險性....同樣的老問題,讓user去安裝一款獨立的client軟體, 且安裝還跟你要管理者權限(更大尾),只能仰賴軟體本身沒惡意企圖. 所以其實搞了半天,批評activex跟javaapplet的點也是有點問題, 還不是都仰賴服務來源夠不夠讓人信賴罷了.... 至始至終不變的是要做進階底層的事情跳過沙箱,你就一定得給予權限, 不管是被批評的老技術,或是現在的做法, 那給予權限必定就代表開發者若不懷好意用啥方式都會有問題. 有在玩node.js好奇的,可以安裝HiPKILocalSignServer這東西, 自己去它程式目錄內研究一下服務的js sources看看. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 182.235.195.11 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1510154460.A.1C5.html

→

ssccg

11/09 10:26, 8年前 , 1^F

11/09 10:26, 1^F

→

ssccg

11/09 10:27, 8年前 , 2^F

11/09 10:27, 2^F

→

ssccg

11/09 10:28, 8年前 , 3^F

11/09 10:28, 3^F

→

ssccg

11/09 10:29, 8年前 , 4^F

11/09 10:29, 4^F

→

ssccg

11/09 10:30, 8年前 , 5^F

11/09 10:30, 5^F

→

ssccg

11/09 10:31, 8年前 , 6^F

11/09 10:31, 6^F

只是NODE.JS塞入會不會太方便了一點...XD 這做法早不早不太清楚但大概這一兩年前印象中網路ATM.自然人憑證讀取等等還是以activex或是applet為主另外activex也是可以讓user自己判斷是否該相信來源決定是否安裝阿也不是說跑到那頁面就一定會給你強迫你裝下去真的要說危險大概就是user通常都會不分青紅皂白跳出啥訊息先點了跑了再說

推

ripple0129

11/09 12:09, 8年前 , 7^F

11/09 12:09, 7^F

※ 編輯: erspicu (39.9.62.42), 11/09/2017 13:22:45

‣ 返回看板[ Soft_Job ] 工作

‣ 更多 erspicu 的文章

文章代碼(AID): #1Q0o3S75 (Soft_Job)