N>>Мы начинаем ходить по кругу: N>>Технически в момент подписания сайт никак не связан с компьютером пользователя, но сайт предоставляет плагин для подписания данных ЭЦП на стороне пользователя. все претензии пользователя при искажении данных будут к сайту, т.к. других участников взаимодействия нет
kig>Что бы более не ходить по кругу, замечу, что Вы сами определили более, чем двух участников взаимодействия: сайт, плагин и вирус(ы) (вирус легко может подменить данные в памяти; как вариант — вирус может стащить закрытый ключ; и т.д.). Если предполагать худшее, какой бы плагин "крутым" не был, если машина пользователя больная, существует вероятность вмешательства в таинство процесса формирования ЭЦП.
Да, выходит либо доверенная среда, либо пользователь действует на свой страх и риск
