[Безопасность] HTML5 vs Всякие java, eToken и т.д.

А готов ли HTML5 для того, чтобы заменить всякие Java-апплеты, iBank'и и так далее для банковских транзакций?

Можно ли выкинуть нафиг все эти надстройки и достигнуть такого же уровня безопасности.

В теории - да. HTTPs по идее обеспечивает такой же уровень безопасноти. И теми же средствами. Версия HTML тут вообще без разницы, можно же сделать web 1.0 без яваскриптов и модных аяксов =).

Или использовать те же самые RuToken'ы через HTML5?

А вот конкретно с RuToken'ами всё сложнее. В них же, если я не ошибаюсь, реализованы ГОСТовские алгоритмы шифрования и генерации случайных данных. И я практически уверен, что там свой велосипедный протокол взаимодействия софта с собственно токенами.

Теоретически, ничто не мешает для проверки подлинности клиента и защиты канала связи использовать сертификаты и https.

Практически, наше законодательство для подобных случаев требует сертификации, а этому «подвержены» в наших палестинах только ГОСТовские алгоритмы и системы на их базе.

>А вот конкретно с RuToken'ами всё сложнее. В них же, если я не ошибаюсь, реализованы ГОСТовские алгоритмы шифрования и генерации случайных данных. И я практически уверен, что там свой велосипедный протокол взаимодействия софта с собственно токенами.

для винды - криптопровайдер, сертифицированный и реализующий гост встраивается средствами ms crypto api в винду, ставятся дрова на рутокен и вперед - https по госту есть, правда исключительно в IE (видимо остальные браузеры на ms crypto api не полагаются, а реализуют ssl сами).

для линуксов для поддержки ssl по сертифицированному госту приложением его в любом случае придется допиливать, потому как в каждом браузере своя реализация ssl (сколько из мейнстримных браузеров зависят от того же openssl? да по-моему ни один). как с токенами обстоит дело - не знаю.

>Теоретически, ничто не мешает для проверки подлинности клиента и защиты канала связи использовать сертификаты и https.

Дык утянуть эти сертификаты достаточно просто, или я ошибаюсь? Вот бы вариант, чтобы пользователь не заморачиваясь с импортом сертификата в браузер - просто хранил его на флешке и когда флешка подключена - зайти сможет, когда нет - тогда и нет.

это если он на ФС хранится - тогда не проблема утянуть, а если на специально придуманном для хранения ключевой информации устройстве - уже проблема.

Ну а есть ли такое устройство? )
Ну или хотя бы та же самая флешка, только как-то автоматом путь к директории с сертификатом прописывать в профиле регистранта и хранить на серваке

есть конечно - например те же самые рутокены.
а так, в общем случае - http://ru.wikipedia.org/wiki/%D0%A1%D0%BC%D0%B0%D1%80%D1%82-%D0%BA%D0%B0%D1%8...