Konzolový mód - zadanie keystore hesla cez --password alebo niečo podobné

[GREPY]

Máte pripravený veľmi pekný konzolový mód, chceli by sme ho využiť pre automatizáciu podpisovania ale zistili sme, že ho nedokážeme použiť, nakoľko podpísanie vyžaduje interakciu používateľa (zadanie keystore hesla). Nedalo by sa toto vyriešiť nejakým argumentom príkazu, kde by sa dalo zadať heslo, aby ho následne nevyžadovalo od používateľa?

Vieme prípadne použiť priamo API aby sme obišli tento problém? Ak áno, viete poskytnúť nejaké príklady, ako by vyzeralo volanie API na podpísanie dokumentu s keystore driverom?

[celuchmarek]

Bavili sme sa o tom už trochu v #409 . Pridanie --password a podobne vyzerá lákavo, ale musíme sa zamyslieť, či to chceme pdoporovať (podľa mňa áno), keďže je to dosť nebezpečné - ale používať to budú skôr poweruseri alebo uzavreté integrácie. Treba ale mať napamäti, že ak si to niekto takto implementuje, v podstate odstráni ochranu heslom zo svojho certifikátu, za čo dostane efektivitu a rýchlosť, ale stratí bezpečnosť. Hocikto s prístupom k zariadeniu potom bude môcť podpisovať veci v jeho mene. Ak bude mať teda user uložené toto heslo v nejakom skripte alebo ho bude vidno v histórii shellu.

Čiže plán je keď tak pridať parameter do CLI. Pridanie hesla/PIN/BOK do API neprichádza do úvahy.

[jsuchal]

@GREPY robite hromadne podpisovanie alebo aky je ten scenar kde toto potrebujete?

[GREPY]

Nie hromadné, skôr automatizované. Je to webový systém kde v určitej časti procesu sa vygeneruje na serveri PDF a my ho chceme automaticky podpísať, poslať emailom, niekde storovať a pod.

[jsuchal]

Nepoznam proces ani bezpecnostne opatrenia, ale toto by som povazoval za extremne nebezpecne. Niekto tam podvrhne dokument "prevadzam cely majetok" a problem je na svete.