Безопасность Web-решений

Большинство Web-сервисов, обеспечивающих получение определенных услуг или доступ к Web-приложениям, прочно вошли в нашу жизнь. При проектировании этих сервисов следует помнить о минимальном наборе средств, которые позволят обеспечить необходимый уровень безопасности при использовании Web-сервиса. В этот набор входят:

  • Безопасная регистрация на Web-сервисе;
  • Аутентификация на Web-сервисе;
  • Электронная подпись данных;
  • Защита обмена информацией с Web-сервисом;
  • Защита от атак, связанных с подменой Web-сервиса (фишинг, спуфинг и т. п. );
  • Обеспечение доверенной среды.

Последнее означает, что операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ-шпионов и иного вредоносного софта. Помимо этого она должна быть защищена от удаленного управления USB-over-IP. В противном случае наиболее значимые операции следует производить на отдельно подключаемом устройстве.

Компанией «Актив» разработан специальный кроссплатформенный и мультибраузерный плагин, который позволяет использовать функциональность устройств Рутокен ЭЦП 2.0 непосредственно из скриптов и апплетов Web-страницы:

  • Рутокен Плагин реализует электронную подпись, шифрование и строгую двухфакторную аутентификацию для Web-cервисов, при этом используется аппаратная реализация российских криптоалгоритмов в устройствах Рутокен. Для интеграции с PKI в продукте реализована поддержка цифровых сертификатов формата X.509, запросов на сертификаты PKCS#10 и защищенных сообщений в формате CMS.