Безопасность Web-решений

Большинство Web-сервисов, обеспечивающих получение определенных услуг или доступ к Web-приложениям, прочно вошли в нашу жизнь. При проектировании этих сервисов следует помнить о минимальном наборе средств, которые позволят обеспечить необходимый уровень безопасности при использовании Web-сервиса. В этот набор входят:

  • Безопасная регистрация на Web-сервисе;
  • Аутентификация на Web-сервисе;
  • Электронная подпись данных;
  • Защита обмена информацией с Web-сервисом;
  • Защита от атак, связанных с подменой Web-сервиса (фишинг, спуфинг и т. п. );
  • Обеспечение доверенной среды.

Последнее означает, что операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ-шпионов и иного вредоносного софта. Помимо этого она должна быть защищена от удаленного управления USB-over-IP. В противном случае наиболее значимые операции следует производить на отдельно подключаемом устройстве.

Компанией «Актив» разработаны специальные кроссплатформенные и мультибраузерные плагины, которые позволяют использовать функциональность устройств Рутокен ЭЦП 2.0, Рутокен PINPad и Рутокен Web непосредственно из скриптов и апплетов Web-страницы. На данный момент существуют следующие варианты плагинов:

  • Плагин Рутокен Web позволяет реализовать строгую двухфакторную аутентификацию на Web-сервисе.
  • Рутокен Плагин реализует электронную подпись, шифрование и строгую двухфакторную аутентификацию для Web-cервисов, при этом используется аппаратная реализация российских криптоалгоритмов в устройствах Рутокен. Для интеграции с PKI в продукте реализована поддержка цифровых сертификатов формата X.509, запросов на сертификаты PKCS#10 и защищенных сообщений в формате CMS.