форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Изначальное сообщение		[ Отслеживать ]

"совет по безопасности для организации работы скрипта по веб"	+/–
Сообщение от YTR on 01-Авг-12, 08:14
Вообщем тема такая... есть скрипт-он имеет свою задачу одинм словом-принимает занные от пользователя-передаёт ему результаты работ и т.п.-там много всего вообщем... А тут один умник изъявил желание поработать на дому..причём у него белый(внешний) ип есть(и тут надумал ещё пару умников так же сделать)... вообщем вроде бы всё равно,но инфа-банковская и сами понимаете вопрос безопасности стоит на 1-ом месте...уже голову сломал как бы ещё обезопасить доступ к ресурсу...вообщем если есть обращение к адресу-то скрипт выдаёт окно авторизации-т.е. авторизацию я сделал на уровне скрипта.... у меня вопрос-можно ли как-то иначе дополнительно установить что-то для ограничения вообзе к этому адресу?т.е. может на уровне сертификатов(винда 2003-центр сертификации и т.п.)?т.е. если мол нет сертификата-то значит даже не откроится страница авторизации-ка-то так...сам лично не делал так,но гепотитически думаю так можно реализовать как-то..буду рад услышать любую полезную информацию. Система везде винда.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "совет по безопасности для организации работы скрипта по веб"	+/–
Сообщение от reader (ok) on 01-Авг-12, 12:59
vpn
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от Анонимус42 on 01-Авг-12, 16:47
	> vpn или OpenVPN (вроде есть под винду реализация) или хардкорный вариант с IPSec
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "совет по безопасности для организации работы скрипта по веб"	+/–
Сообщение от Mikhail (??) on 01-Авг-12, 21:45
o_O и эти люди работают в банке... PCI DSS вам в помощь. PS Сам работаю в крупном европейском...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от Mikhail (??) on 01-Авг-12, 22:11
	> o_O и эти люди работают в банке... PCI DSS вам в помощь. > PS Сам работаю в крупном европейском... ну и как сделано у нас cisco anyconnect+ сертификат + citrix xenapp с ограничением
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 03-Авг-12, 11:40
	> o_O и эти люди работают в банке... PCI DSS вам в помощь. > PS Сам работаю в крупном европейском... поподробнее и по проще можно?не отказалс бы на ссылку с примером
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "совет по безопасности для организации работы скрипта по веб"	+/–
Сообщение от XoRe (ok) on 02-Авг-12, 00:49
1. сделать скрипт доступным только по https 2. авторизация на уровне веб сервера, а не скрипта 3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским сертификатам доверять). 4. Если человек заходит с определенного ip адреса, сделать доступ только с этого ip адреса. В *nix это делается за 10 минут. В win (IIS) - хз, тоже наверное как-то делается) Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее. Появится хотя бы ощущение защищенности) Но авторизацию нужно перенести на веб сервер обязательно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 03-Авг-12, 11:40
	>[оверквотинг удален] > 2. авторизация на уровне веб сервера, а не скрипта > 3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским > сертификатам доверять). > 4. Если человек заходит с определенного ip адреса, сделать доступ только с > этого ip адреса. > В *nix это делается за 10 минут. > В win (IIS) - хз, тоже наверное как-то делается) > Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее. > Появится хотя бы ощущение защищенности) > Но авторизацию нужно перенести на веб сервер обязательно. пункт 3 поподробее можно с примером?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от XoRe (ok) on 03-Авг-12, 12:38
	> пункт 3 поподробее можно с примером? Если кратко (цитата из статьи):    1. Создать собственный доверенный сертификат (Certificate Authority),        для того чтобы с помощью него подписывать и проверять клиентские        сертификаты.     2. Создать клиентские сертификаты, подписанные доверенным        сертификатом, для последующей передачи их клиентам.     3. Сконфигурировать веб-сервер для запроса и проверки клиентских        сертификатов. Сама статья: https://www.opennet.ru/base/sec/ssl_cert.txt.html Вам остается только найти инфу, как это реализуется на IIS. P.S. (цитата из статьи)    Наиболее наглядным примером использования авторизации посредством    клиентских сертификатов является система платежей WebMoney Transfer, а    точнее реализация WM Keeper Light. Данная схема авторизации признана    наиболее надежной и, в том или ином виде, широко используется в сфере    предоставления банковских услуг.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 08-Авг-12, 08:11
	>[оверквотинг удален] > Сама статья: > https://www.opennet.ru/base/sec/ssl_cert.txt.html > Вам остается только найти инфу, как это реализуется на IIS. > P.S. (цитата из статьи) >    Наиболее наглядным примером использования авторизации посредством >    клиентских сертификатов является система платежей WebMoney Transfer, а >    точнее реализация WM Keeper Light. Данная схема авторизации признана >    наиболее надежной и, в том или ином виде, широко > используется в сфере >    предоставления банковских услуг. кокой день гуглю-никак не могу найти где расписано как это всё реалзуется на IIS(((Был бы очень признателен на ссылку! /Кроме того, вроде конечно всё хорошо, но есть у нас ткая вещь-как типа голосовой набор-при авторизации...вообщем вопрос не в самом реализации голосового набора и распознавания..а в том,что человек говорит, а ему отвечает псевдо-оператор на поставленный вопрос...естесвенно никаого реального оператора нет, а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл,исходя из того какой вопрос задан-алгорит собсвенно прост...так вот-не могу понять почему,но у нас требования такие,что именно трансляция этого голосового сообщения-должен слышать только клиент, т.е. опять же вопрос безопсности-каким-то образом нужно шифровать голосовой трафик от этого файла...т.е. iSS  я так понимаю зашифрует используя сертификат данные на странице, а вот как быть с проигрыванием речевого файла wav?((
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от XoRe (ok) on 09-Авг-12, 02:36
	> кокой день гуглю-никак не могу найти где расписано как это всё реалзуется > на IIS(((Был бы очень признателен на ссылку! Ну... может у него такого функционала и нет) Спросите у техподдержки MS. Если что (шепотом) всегда можно сделать финт ушами - поставить нормальный веб сервер перед IIS. Ну как фронтенд - бекенд. На фронтенд ложится авторизация по сертификату и шифрование трафика. А от фронтенда до бекенда можно настроить обычный http. > а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл Я надеюсь, вы это не веб сервером делать будете?) Для общения голосом есть специальное ПО. Есть бесплатные - Asterisk, FreeSwitch. А записанные звуки можно не только в wav хранить. Вы можете копать в сторону DRM (Digital Right Mangement). Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их не прослушаешь. У голосового ПО будет ключ, или пароль, с помощью которого он будет декодировать звуквой файл и отправлять звук клиенту. Что там в банках для голосового меню используется - хз.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 09-Авг-12, 03:03
	>[оверквотинг удален] > Я надеюсь, вы это не веб сервером делать будете?) > Для общения голосом есть специальное ПО. > Есть бесплатные - Asterisk, FreeSwitch. > А записанные звуки можно не только в wav хранить. > Вы можете копать в сторону DRM (Digital Right Mangement). > Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их > не прослушаешь. > У голосового ПО будет ключ, или пароль, с помощью которого он будет > декодировать звуквой файл и отправлять звук клиенту. > Что там в банках для голосового меню используется - хз. нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы он у них не оставался вообще...я уже многое перерыл,но пока необходимого не нашёл пор данному вопросу
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 09-Авг-12, 03:16
	>[оверквотинг удален] >> Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их >> не прослушаешь. >> У голосового ПО будет ключ, или пароль, с помощью которого он будет >> декодировать звуквой файл и отправлять звук клиенту. >> Что там в банках для голосового меню используется - хз. > нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа > проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно > чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы > он у них не оставался вообще...я уже многое перерыл,но пока необходимого > не нашёл пор данному вопросу также немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что надёжное...
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от XoRe (ok) on 28-Авг-12, 03:37
	> также немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось > бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на > этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что > надёжное... Все на них есть. Только учиться все равно придется.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	13. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от XoRe (ok) on 28-Авг-12, 03:37
	> нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа > проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно > чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы > он у них не оставался вообще...я уже многое перерыл,но пока необходимого > не нашёл пор данному вопросу flash/silverlight/java Кеш браузера слушается сервера. Нужно отдавать файлы с заголовками, запрещающими кеширование, и все.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "совет по безопасности для организации работы скрипта по веб"	+/–
	Сообщение от YTR on 29-Авг-12, 03:00
	а пример есть?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема