Безопасность Web-решений
Большинство Web-сервисов, обеспечивающих получение определенных услуг или доступ к Web-приложениям, прочно вошли в нашу жизнь. При проектировании этих сервисов следует помнить о минимальном наборе средств, которые позволят обеспечить необходимый уровень безопасности при использовании Web-сервиса. В этот набор входят:
- Безопасная регистрация на Web-сервисе;
- Аутентификация на Web-сервисе;
- Электронная подпись данных;
- Защита обмена информацией с Web-сервисом;
- Защита от атак, связанных с подменой Web-сервиса (фишинг, спуфинг и т. п. );
- Обеспечение доверенной среды.
Последнее означает, что операционная система, в которой работает получатель услуги, должна быть свободной от вирусов, программ-шпионов и иного вредоносного софта. Помимо этого она должна быть защищена от удаленного управления USB-over-IP. В противном случае наиболее значимые операции следует производить на отдельно подключаемом устройстве.
Компанией «Актив» разработан специальный кроссплатформенный и мультибраузерный плагин, который позволяет использовать функциональность устройств Рутокен ЭЦП 2.0 непосредственно из скриптов и апплетов Web-страницы.
Рутокен Плагин реализует электронную подпись, шифрование и строгую двухфакторную аутентификацию для Web-cервисов, при этом используется аппаратная реализация российских криптоалгоритмов в устройствах Рутокен. Для интеграции с PKI в продукте реализована поддержка цифровых сертификатов формата X.509, запросов на сертификаты PKCS#10 и защищенных сообщений в формате CMS.