Приветствую.

Есть некий веб-сервис, в котором определённые действия пользователя должны быть подтверждены его ЭЦП (используя плагин к браузеру chrome/firefox/opera).

Задача стоит в автоматизации части этих действий - в частности нажимания на кнопку "сделать определённое дейтствие" на странице сервиса и последующей кнопки "да" в появившемся окне "подписать данное действие эцп?".

Впервые сталкиваюсь с такой задачей, поэтому даже не знаю с какой стороны подходить к решению проблемы.

XSS - не вариант.

Если писать приложение - то проблема дойти вообще до того момента, когда понадобится автоматизация.

Автоматизация браузера через Selenium - тоже проблематично.

Разве что через консоль фаербага в фаерфоксе?

Что скажете?

Лучше эмулировать не действия нажатия в браузере, а запросы к серверу, однако. Если это бинарный плагин, достать исходный код будет достаточно сложно, т.к. запросы могут отправляться в зашифрованном виде.

Попробуйте посмотреть, какие запросы передаются через WireShark и Chares(Настройте перехват SSL), почитайте о механизмах ЭЦП.

Если подпись запрашивается только один раз, то не проблема написать небольшой JS скрипт. Адрес сайта в студию.

http://www.cryptopro.ru/products/cades/plugin

Эмулировать запросы к серверу - да, проще, но какими средствами?

О механизмах ЭЦП много читал, но как оно работает в данном конкретном случае - вопрос.

Да, посмотрю при возможности. Пока что вооружался только fiddler'ом.

Нет, не один раз, а каждый раз при нужном мне действии.

И что с ним потом делать? Попросить администраторов сайта выложить его у себя?

Есть много таких веб - сервисов, запрашивающие ЭЦП. Госсзакупками занимаешься??? Мой совет положи перед собой удостоверение личности и переходи к онлайн регистрации ЭЦП.

Есть вероятность что тебе поможет планирую для лисы iMacros

реклама с троллингом наполовину.

первое - сам сайт не имеет сертификата SSL/TSL,

и при подключении к https://www.cryptopro.ru

второе - Создание и проверка подписи происходят на стороне пользователя.

кретинизм.

подпись пользователя подписывается сайтом, с аутентификацией и авторизацией crypto base authorities.

Что за параноидальный бред?

"подпись пользователя подписывается сайтом"?

Пользователь зашифровывает данные при помощи яваскриптовой функции, после чего эти данные вместе с остальными отсылаются в виде пост-запроса на сервер.

Вся эта схема видна, достаточно открыть исходный код интересующей страницы.

К слову, удалось поковыряться внутри. Даже написал и протестировал небольшой скрипт.

Упёрся примерно вот в такой код:

selectCert(function(){

var signMessage = "блаблабла, вы уверены и всё такое?";

if (!confirm(signMessage)) exit; // эта строка убирается нафиг

var sign = Sign(signMessage, false);

// отправка запроса на сервер

);

Объясню: selectCert вызывает окошко (фактически — div c нарисованным текстом и кнопками "ok"/"cancel"), в котором надо выбрать нужный сертификат, после чего, если нажато "ок", вызывается коллбек с отправкой данных на сервер.

а вот как обойти эту хрень, чтобы отправка данных на сервер не требовала каждый раз нажатия руками на "ok"?

Я так понимаю, эта функция — из плагина к браузеру, потому как среди подключённых к странице js–скриптов я её не нашёл.