View Source

Парольная защита.

Самая распространенная защита компьютерной информации - защита на основе пароля. При реализации парольной защиты вход в систему, запуск приложения, запрос на доступ к данным сопровождается запросом пароля и последующим сравнением введенного пароля с оригиналом.
Само собой разумеется, что вход на сайт и в Mid Office Manager защищён паролем.

Настротить доступ на сайт и в Mid Office Manager можно в разделе "Редактор прав доступа",

При входе на сайт, вы увидите форму входа с двумя полями, куда нужо ввести данные настроеной учётной записи.
Internet Booking Engine > Безопасность сайта > image2022-1-27_12-35-17.png

Если в профиле указано несколько ролей в месте работы, то при входе потребуется выбрать, под какой ролью вы хотите зайти на сайт.
Появится поле с выпадающим списком.

Internet Booking Engine > Безопасность сайта > image2022-1-27_13-12-7.png

Парольная защита хоть и добавляет безопасности при использовании продукта, но не защищает полностью.
Для увеличения безопасности пользования сайтом реализована двухфакторная аутентификация.

Двухфакторная аутентификация.

Двухфакторная аутентификация пресекает попытки входа на сайт злоумышленниками, которые каким-то образом узнали данные вашей учётной записи.

Включить данный функционал для своей учётной записи можно на сайте в разделе "Данные пользователя" → "Использовать двухфакторную аутентификацию"..

Internet Booking Engine > Безопасность сайта > image2022-1-24_13-41-43.png

Функционал реализован с использованием бесплатного приложения Google Authenticator.
Данный QR-код нужно просканировать в приложении или использовать ключ для ручного ввода.

Перед сканированием QR-кода убедитесь, что все части QR-кода хорошо видны и ничем не перекрыты, иначе приложение запишет неверный ключ и при входе на сайт вы не сможете пройти проверку.
Так же, по возможности, лучше выставить максимальную яркость экрана.

Далее при входе на сайт появится дополнительное поле для ввода шестизначного кода авторизации из приложения.

Internet Booking Engine > Безопасность сайта > image2022-1-27_13-32-23.png

Если в профиле указано несколько ролей, то при входе потребуется выбрать, под какой ролью вы хотите зайти на сайт, а после этого ввести уже новый код авторизации из приложения.

SSL сертификаты.

SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

В этом случае браузер сначала преобразует данные пользователя в случайный набор символов и только потом отправляет его на сервер. Расшифровать сообщение получится только специальным ключом, который хранится на сервере. Если мошенники и перехватят информацию, они не поймут, что она означает.

Использование сертификата безопасности для сайта гарантирует:

Подлинность ресурса, к которому обращается пользователь.
Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
Конфиденциальность. 256-разрядное шифрование исключает доступ злоумышленников к информации.

Процесс работает следующим образом:

Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL.
Браузер или сервер запрашивает идентификацию у веб-сервера.
В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата.
Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу.
Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.
Зашифрованные данные используются совместно браузером или сервером и веб-сервером.

Этот процесс иногда называют подтверждением SSL-соединения. Хотя по описанию этот процесс выглядит длительным, в реальности он занимает миллисекунды.

Если веб-сайт защищен SSL-сертификатом, в веб-адресе появляется аббревиатура HTTPS (безопасный протокол передачи гипертекста). Для сайтов без SSL-сертификата отображается аббревиатура HTTP, без буквы S, соответствующей Secure (безопасный). Также в адресной строке веб-адреса будет отображаться значок замка. Это свидетельствует о безопасности и обеспечивает уверенность посетителям веб-сайта.

Чтобы просмотреть сведения об SSL-сертификате, можно щелкнуть значок замка, расположенный на панели браузера. Данные, входящие в SSL-сертификат, обычно включают:

Доменное имя, для которого выпущен сертификат.
Лицо, организация или устройство, для которого выпущен сертификат.
Центр сертификации, выдавший сертификат.
Цифровая подпись центра сертификации.
Связанные поддомены.
Дата выдачи сертификата.
Срок действия сертификата.
Открытый ключ (закрытый ключ не раскрывается).

Временная сессия.

Последний, но не по значению механизм защиты сайта - это временная сессия.

Данный разрешает посылать запросы на сервер только при условии, что вы прошли авторизацию и у вас имеется токен сессии.

Механизм сессии строится следующим образом:

Клиент обращается к хосту при помощи уникального запроса.(запрос на авторизацию)
Хост регистрирует обращение и присваивает клиенту ID-сессии.(токен сессии)
Этот идентификатор затем используется во время регистрации последующих обращений.
Происходит определенное событие, и сессия завершается.

В качестве события завершения сессии могут выступать:

Бездействие пользователя в течение 15 минут.
Достижение определенного временного интервала.
Обращение с авторизацией.
Завершение сеанса.
Обращение с некорректным ID сессии.

При переходе с раздела на другой, при поиске услуг, оформлении заказа и т.п. таймер сессии обновляется.
При отсутствии активности на сайте в течении пятнадцати минут, вас автоматически "выкинет" с сайта с похожим сообщением.
Internet Booking Engine > Безопасность сайта > image2022-1-27_15-5-3.png