[Из песочницы] Тестируем JaCarta WebClient или храните токены в сейфе

"Когда на мгновение чёрный покров отнесло в сторону, Маргарита на скаку обернулась и увидела, что сзади нет не только разноцветных башен с разворачиващимся над ними аэропланом, но нет уже давно и самого города, который ушёл в землю и оставил по себе только туман."

М.А. Булгаков
"Мастер и Маргарита"


Привет, Хабр!


Наверное почти в каждой российской организации есть эти изделия в весёлой разноцветной раскраске.


Речь идёт об изделиях JaCarta и софте к ним.


Привалило такое счастье и мне, и я решил немного раздвинуть чёрный покров скрывающий их сущность, сиречь API.


Некоторые банки, особенно выдающие своим клиентам токены JaCarta ГОСТ-2, для работы требуют установки приложения JC-WebClient от "Аладдин Р.Д.".


Хотя на официальном сайте разработчика свежего дистрибутива нет (в разделе Демо можно скачать более старую версию, но она использует устаревший API), дистрибутив можно найти с помощью гугла по строке "JC-WebClient-4.0.0.1186" на сайтах ДБО.


После установки приложения на компе пользователя открывается порт 24738 на котором работает этот клиент.


https://localhost:24738/JCWebClient.js


На сайте разработчика открыто и подробно описан API этого приложения (как и функции работы с файловой системой всей линейки токенов этого производителя через jcFS.dll, входящей в установочный пакет "Единый клиент JaCarta") и суть в том, что с помощью ряда функций можно или подписать ЭЦП находящейся на токене что угодно, подобрав пин код, или заблокировать токен неудачными попытками его ввода. И всё это дистанционно, через интернет.

Читать дальше →