Самая распространенная защита компьютерной информации - защита на основе пароля. При реализации парольной защиты вход в систему, запуск приложения, запрос на доступ к данным сопровождается запросом пароля и последующим сравнением введенного пароля с оригиналом.
Само собой разумеется, что вход на сайт и в Mid Office Manager защищён паролем.
Настроить доступ на сайт и в Mid Office Manager можно в разделе "Пользователи".
Откроется форма создания пользователя, в которой нужно заполнить логин и пароль, название-имя пользователя, описание-любой комментарий, подсказка, а также привязать профиль физ.лица, который укажет роль пользователя на сайте (агент/субагент/путешественник). В форме можно посмотреть подсказку о требованиях к паролю. Если пароль не будет удовлетворять указанным правилам, сохранение данных пользователя будет невозможным.
При входе на сайт, вы увидите форму входа с двумя полями, куда нужно ввести данные настроенной в Mid Office Manager учётной записи.
Если в профиле пользователя указано несколько ролей в месте работы, то на сайте в форме входа появится поле с выпадающим списком, в котором нужно будет задать роль и место работы для входа на сайт.
Также для усиления защищенности учетной записи пользователя на сайте реализована двухфакторная аутентификация.
Двухфакторная аутентификация пресекает попытки входа на сайт злоумышленников, которые каким-то образом узнали данные вашей учётной записи.
Включить данный функционал для своей учётной записи можно на сайте в разделе "Данные пользователя" → "Использовать двухфакторную аутентификацию"..
Функционал реализован с использованием бесплатного приложения Google Authenticator. Установите это приложение на мобильное устройство.
Предложенный QR-код нужно отсканировать в приложении Google Authenticator (получите QR-код, который будете использовать при входе на сайт).
Также как вариант, можно использовать ключ для ручного ввода, который можно получить на сайте.
Перед сканированием QR-кода убедитесь, что все части QR-кода хорошо видны и ничем не перекрыты, иначе приложение запишет неверный ключ и при входе на сайт вы не сможете пройти проверку. Так же, по возможности, лучше выставить максимальную яркость экрана. |
После активации настройки двухфакторной авторизации при входе на сайт появится дополнительное поле для ввода шестизначного кода авторизации.
Если в профиле указано несколько ролей, то при входе потребуется выбрать, под какой ролью вы хотите зайти на сайт, а после этого ввести уже новый код авторизации из приложения.
SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.
В этом случае браузер сначала преобразует данные пользователя в случайный набор символов и только потом отправляет его на сервер. Расшифровать сообщение получится только специальным ключом, который хранится на сервере. Если мошенники и перехватят информацию, они не поймут, что она означает.
Использование сертификата безопасности для сайта гарантирует:
Процесс работает следующим образом:
Этот процесс иногда называют подтверждением SSL-соединения. Хотя по описанию этот процесс выглядит длительным, в реальности он занимает миллисекунды.
Если веб-сайт защищен SSL-сертификатом, в веб-адресе появляется аббревиатура HTTPS (безопасный протокол передачи гипертекста). Для сайтов без SSL-сертификата отображается аббревиатура HTTP, без буквы S, соответствующей Secure (безопасный). Также в адресной строке веб-адреса будет отображаться значок замка. Это свидетельствует о безопасности и обеспечивает уверенность посетителям веб-сайта.
Чтобы просмотреть сведения об SSL-сертификате, можно щелкнуть значок замка, расположенный на панели браузера. Данные, входящие в SSL-сертификат, обычно включают:
Сертификат с проверкой домена выдается любому человеку, который доказал, что он владеет доменом, для которого запросил SSL. Это доказательство — обычно уникальный серийный номер, который центр сертификации берет с вашего веб-сервера или из DNS-записей.
SSL с проверкой организации значит, что центр сертификации также проверил имя компании и ее адрес в публичных базах данных. Информация вводится в сертификат и обычно отображается только когда пользователь нажимает на иконку с замочком.
Расширенная проверка более тщательная, чем проверка домена или организации. При выдаче EV сертификатов проверяются права на домен, существование и местоположение компании.
В отличие от DV и OV сертификатов, EV сертификаты не могут выдаваться для субдоменов.
EV сертификаты также по-особому отображаются во всех браузерах кроме Google Chrome. Сайт с таким сертификатом отображается с именем компании в зеленой строке браузера. Пользователи обычно больше обращают внимание на сайты с зеленой строкой и больше им доверяют.
Это сертификат, который защищает не только основной домен www.abc.com, но и все его субдомены — www.one.abc.com, www.two.abc.com.
Такой сертификат может быть OV или DV.
Сертификаты варьируются по цене, выбирайте исходя из ваших возможностей и нужд.
Если сайт настроен на ресурсах ДатаЦентра, то Gridnine сам подкладывает сертификат. От вас потребуется прислать приобретённый сертификат.
Если сайт настроен на ваших ресурсах, обратите внимание на следующую инструкцию:
Apache
Создайте на вашем сервере в каталоге /etc/ssl/ файлы domain_name.crt, private.key и chain.crt со следующим содержимым:
После вставки всех сертификатов файл должен иметь вид:
-----BEGIN CERTIFICATE-----
#Ваш сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Промежуточный сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Корневой сертификат#
-----END CERTIFICATE-----Откройте файл конфигурации Apache. В зависимости от особенностей вашего сервера этот файл находится по одному из следующих адресов:
В конце файла создайте копию блока «VirtualHost». Укажите для блока порт 443 и добавьте внутри него строки:
SSLEngine on
SSLCertificateFile /etc/ssl/domain_name.crt
SSLCertificateKeyFile /etc/ssl/private.key
SSLCertificateChainFile /etc/ssl/chain.crtПример конфигурационного файла:
Объедините три сертификата (сам SSL-сертификат, корневой и промежуточный сертификаты) в один файл. Для этого создайте на ПК новый текстовый документ с именем your_domain.crt (your_domain — доменное имя сайта, который вы хотите защитить). Создать его можно при помощи блокнота или другого текстового редактора. Поочередно скопируйте и вставьте в созданный документ каждый сертификат.
cat intermediate.key root.key > your_domain.crt - консольная команда для объединения сертификатов.
После вставки всех сертификатов файл должен иметь вид:
-----BEGIN CERTIFICATE-----
#Ваш сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Промежуточный сертификат#
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
#Корневой сертификат#
-----END CERTIFICATE-----Обратите внимание: один сертификат идёт следом за другим, без пустых строк.
Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, который вы хотите защитить сертификатом. Выполните минимальную для работы настройку, добавив в файл следующие строки:
server {
listen 443 ssl;
server_name your_domain.com;
ssl_certificate /etc/ssl/your_domain.crt;
ssl_certificate_key /etc/ssl/your_domain.key;
}Где:
your_domain.com — домен сайта,
/etc/ssl/your_domain.crt — путь до созданного файла с тремя сертификатами,
/etc/ssl/your_domain.key — путь до файла с приватным ключом.
Минимальная установка и настройка выполнена.
Дополнительный механизм защиты сайта - это временная сессия.
Данный механизм защиты позволяет отправлять запросы на сервер только при условии, что вы прошли авторизацию и у вас имеется токен сессии.
Механизм сессии строится следующим образом:
В качестве события завершения сессии могут выступать:
При переходе с раздела на другой, при поиске услуг, оформлении заказа и т.п. таймер сессии обновляется.
При отсутствии активности на сайте в течении пятнадцати минут вас автоматически "выкинет" из сайта с сообщением: