The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"совет по безопасности для организации работы скрипта по веб"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Изначальное сообщение [ Отслеживать ]

"совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 01-Авг-12, 08:14 
Вообщем тема такая...
есть скрипт-он имеет свою задачу одинм словом-принимает занные от пользователя-передаёт ему результаты работ и т.п.-там много всего вообщем...
А тут один умник изъявил желание поработать на дому..причём у него белый(внешний) ип есть(и тут надумал ещё пару умников так же сделать)...
вообщем вроде бы всё равно,но инфа-банковская и сами понимаете вопрос безопасности стоит на 1-ом месте...уже голову сломал как бы ещё обезопасить доступ к ресурсу...вообщем если есть обращение к адресу-то скрипт выдаёт окно авторизации-т.е. авторизацию я сделал на уровне скрипта....
у меня вопрос-можно ли как-то иначе дополнительно установить что-то для ограничения вообзе к этому адресу?т.е. может на уровне сертификатов(винда 2003-центр сертификации и т.п.)?т.е. если мол нет сертификата-то значит даже не откроится страница авторизации-ка-то так...сам лично не делал так,но гепотитически думаю так можно реализовать как-то..буду рад услышать любую полезную информацию.
Система везде винда.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от reader (ok) on 01-Авг-12, 12:59 
vpn
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от Анонимус42 on 01-Авг-12, 16:47 
> vpn

или OpenVPN (вроде есть под винду реализация) или хардкорный вариант с IPSec

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от Mikhail (??) on 01-Авг-12, 21:45 
o_O и эти люди работают в банке... PCI DSS вам в помощь.
PS Сам работаю в крупном европейском...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от Mikhail (??) on 01-Авг-12, 22:11 
> o_O и эти люди работают в банке... PCI DSS вам в помощь.
> PS Сам работаю в крупном европейском...

ну и как сделано у нас cisco anyconnect+ сертификат + citrix xenapp с ограничением

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 03-Авг-12, 11:40 
> o_O и эти люди работают в банке... PCI DSS вам в помощь.
> PS Сам работаю в крупном европейском...

поподробнее и по проще можно?не отказалс бы на ссылку с примером

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от XoRe (ok) on 02-Авг-12, 00:49 
1. сделать скрипт доступным только по https
2. авторизация на уровне веб сервера, а не скрипта
3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским сертификатам доверять).
4. Если человек заходит с определенного ip адреса, сделать доступ только с этого ip адреса.

В *nix это делается за 10 минут.
В win (IIS) - хз, тоже наверное как-то делается)
Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее.
Появится хотя бы ощущение защищенности)
Но авторизацию нужно перенести на веб сервер обязательно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 03-Авг-12, 11:40 
>[оверквотинг удален]
> 2. авторизация на уровне веб сервера, а не скрипта
> 3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским
> сертификатам доверять).
> 4. Если человек заходит с определенного ip адреса, сделать доступ только с
> этого ip адреса.
> В *nix это делается за 10 минут.
> В win (IIS) - хз, тоже наверное как-то делается)
> Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее.
> Появится хотя бы ощущение защищенности)
> Но авторизацию нужно перенести на веб сервер обязательно.

пункт 3 поподробее можно с примером?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от XoRe (ok) on 03-Авг-12, 12:38 
> пункт 3 поподробее можно с примером?

Если кратко (цитата из статьи):
   1. Создать собственный доверенный сертификат (Certificate Authority),
       для того чтобы с помощью него подписывать и проверять клиентские
       сертификаты.
    2. Создать клиентские сертификаты, подписанные доверенным
       сертификатом, для последующей передачи их клиентам.
    3. Сконфигурировать веб-сервер для запроса и проверки клиентских
       сертификатов.

Сама статья:
https://www.opennet.ru/base/sec/ssl_cert.txt.html

Вам остается только найти инфу, как это реализуется на IIS.

P.S. (цитата из статьи)
   Наиболее наглядным примером использования авторизации посредством
   клиентских сертификатов является система платежей WebMoney Transfer, а
   точнее реализация WM Keeper Light. Данная схема авторизации признана
   наиболее надежной и, в том или ином виде, широко используется в сфере
   предоставления банковских услуг.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 08-Авг-12, 08:11 
>[оверквотинг удален]
> Сама статья:
> https://www.opennet.ru/base/sec/ssl_cert.txt.html
> Вам остается только найти инфу, как это реализуется на IIS.
> P.S. (цитата из статьи)
>    Наиболее наглядным примером использования авторизации посредством
>    клиентских сертификатов является система платежей WebMoney Transfer, а
>    точнее реализация WM Keeper Light. Данная схема авторизации признана
>    наиболее надежной и, в том или ином виде, широко
> используется в сфере
>    предоставления банковских услуг.

кокой день гуглю-никак не могу найти где расписано как это всё реалзуется на IIS(((Был бы очень признателен на ссылку!

/Кроме того, вроде конечно всё хорошо, но есть у нас ткая вещь-как типа голосовой набор-при авторизации...вообщем вопрос не в самом реализации голосового набора и распознавания..а в том,что человек говорит, а ему отвечает псевдо-оператор на поставленный вопрос...естесвенно никаого реального оператора нет, а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл,исходя из того какой вопрос задан-алгорит собсвенно прост...так вот-не могу понять почему,но у нас требования такие,что именно трансляция этого голосового сообщения-должен слышать только клиент, т.е. опять же вопрос безопсности-каким-то образом нужно шифровать голосовой трафик от этого файла...т.е. iSS  я так понимаю зашифрует используя сертификат данные на странице, а вот как быть с проигрыванием речевого файла wav?((

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от XoRe (ok) on 09-Авг-12, 02:36 

> кокой день гуглю-никак не могу найти где расписано как это всё реалзуется
> на IIS(((Был бы очень признателен на ссылку!

Ну... может у него такого функционала и нет)
Спросите у техподдержки MS.
Если что (шепотом) всегда можно сделать финт ушами - поставить нормальный веб сервер перед IIS.
Ну как фронтенд - бекенд.
На фронтенд ложится авторизация по сертификату и шифрование трафика.
А от фронтенда до бекенда можно настроить обычный http.

> а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл

Я надеюсь, вы это не веб сервером делать будете?)
Для общения голосом есть специальное ПО.
Есть бесплатные - Asterisk, FreeSwitch.
А записанные звуки можно не только в wav хранить.
Вы можете копать в сторону DRM (Digital Right Mangement).
Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их не прослушаешь.
У голосового ПО будет ключ, или пароль, с помощью которого он будет декодировать звуквой файл и отправлять звук клиенту.
Что там в банках для голосового меню используется - хз.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 09-Авг-12, 03:03 
>[оверквотинг удален]
> Я надеюсь, вы это не веб сервером делать будете?)
> Для общения голосом есть специальное ПО.
> Есть бесплатные - Asterisk, FreeSwitch.
> А записанные звуки можно не только в wav хранить.
> Вы можете копать в сторону DRM (Digital Right Mangement).
> Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их
> не прослушаешь.
> У голосового ПО будет ключ, или пароль, с помощью которого он будет
> декодировать звуквой файл и отправлять звук клиенту.
> Что там в банках для голосового меню используется - хз.

нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы он у них не оставался вообще...я уже многое перерыл,но пока необходимого не нашёл пор данному вопросу

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 09-Авг-12, 03:16 
>[оверквотинг удален]
>> Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их
>> не прослушаешь.
>> У голосового ПО будет ключ, или пароль, с помощью которого он будет
>> декодировать звуквой файл и отправлять звук клиенту.
>> Что там в банках для голосового меню используется - хз.
> нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа
> проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно
> чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы
> он у них не оставался вообще...я уже многое перерыл,но пока необходимого
> не нашёл пор данному вопросу

также немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что надёжное...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от XoRe (ok) on 28-Авг-12, 03:37 
> также немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось
> бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на
> этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что
> надёжное...

Все на них есть.
Только учиться все равно придется.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от XoRe (ok) on 28-Авг-12, 03:37 
> нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа
> проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно
> чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы
> он у них не оставался вообще...я уже многое перерыл,но пока необходимого
> не нашёл пор данному вопросу

flash/silverlight/java

Кеш браузера слушается сервера.
Нужно отдавать файлы с заголовками, запрещающими кеширование, и все.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "совет по безопасности для организации работы скрипта по веб"  +/
Сообщение от YTR on 29-Авг-12, 03:00 
а пример есть?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру