Вообщем тема такая...
есть скрипт-он имеет свою задачу одинм словом-принимает занные от пользователя-передаёт ему результаты работ и т.п.-там много всего вообщем...
А тут один умник изъявил желание поработать на дому..причём у него белый(внешний) ип есть(и тут надумал ещё пару умников так же сделать)...
вообщем вроде бы всё равно,но инфа-банковская и сами понимаете вопрос безопасности стоит на 1-ом месте...уже голову сломал как бы ещё обезопасить доступ к ресурсу...вообщем если есть обращение к адресу-то скрипт выдаёт окно авторизации-т.е. авторизацию я сделал на уровне скрипта....
у меня вопрос-можно ли как-то иначе дополнительно установить что-то для ограничения вообзе к этому адресу?т.е. может на уровне сертификатов(винда 2003-центр сертификации и т.п.)?т.е. если мол нет сертификата-то значит даже не откроится страница авторизации-ка-то так...сам лично не делал так,но гепотитически думаю так можно реализовать как-то..буду рад услышать любую полезную информацию.
Система везде винда.
vpn
> vpnили OpenVPN (вроде есть под винду реализация) или хардкорный вариант с IPSec
o_O и эти люди работают в банке... PCI DSS вам в помощь.
PS Сам работаю в крупном европейском...
> o_O и эти люди работают в банке... PCI DSS вам в помощь.
> PS Сам работаю в крупном европейском...ну и как сделано у нас cisco anyconnect+ сертификат + citrix xenapp с ограничением
> o_O и эти люди работают в банке... PCI DSS вам в помощь.
> PS Сам работаю в крупном европейском...поподробнее и по проще можно?не отказалс бы на ссылку с примером
1. сделать скрипт доступным только по https
2. авторизация на уровне веб сервера, а не скрипта
3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским сертификатам доверять).
4. Если человек заходит с определенного ip адреса, сделать доступ только с этого ip адреса.В *nix это делается за 10 минут.
В win (IIS) - хз, тоже наверное как-то делается)
Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее.
Появится хотя бы ощущение защищенности)
Но авторизацию нужно перенести на веб сервер обязательно.
>[оверквотинг удален]
> 2. авторизация на уровне веб сервера, а не скрипта
> 3. авторизация по ssl сертификатам (т.е. на сервере хранится список, каким клиентским
> сертификатам доверять).
> 4. Если человек заходит с определенного ip адреса, сделать доступ только с
> этого ip адреса.
> В *nix это делается за 10 минут.
> В win (IIS) - хз, тоже наверное как-то делается)
> Если очень тяжко настроить авторизацию по сертификатам, поставьте хотя бы пароль подлиннее.
> Появится хотя бы ощущение защищенности)
> Но авторизацию нужно перенести на веб сервер обязательно.пункт 3 поподробее можно с примером?
> пункт 3 поподробее можно с примером?Если кратко (цитата из статьи):
1. Создать собственный доверенный сертификат (Certificate Authority),
для того чтобы с помощью него подписывать и проверять клиентские
сертификаты.
2. Создать клиентские сертификаты, подписанные доверенным
сертификатом, для последующей передачи их клиентам.
3. Сконфигурировать веб-сервер для запроса и проверки клиентских
сертификатов.Сама статья:
http://www.opennet.me/base/sec/ssl_cert.txt.htmlВам остается только найти инфу, как это реализуется на IIS.
P.S. (цитата из статьи)
Наиболее наглядным примером использования авторизации посредством
клиентских сертификатов является система платежей WebMoney Transfer, а
точнее реализация WM Keeper Light. Данная схема авторизации признана
наиболее надежной и, в том или ином виде, широко используется в сфере
предоставления банковских услуг.
>[оверквотинг удален]
> Сама статья:
> http://www.opennet.me/base/sec/ssl_cert.txt.html
> Вам остается только найти инфу, как это реализуется на IIS.
> P.S. (цитата из статьи)
> Наиболее наглядным примером использования авторизации посредством
> клиентских сертификатов является система платежей WebMoney Transfer, а
> точнее реализация WM Keeper Light. Данная схема авторизации признана
> наиболее надежной и, в том или ином виде, широко
> используется в сфере
> предоставления банковских услуг.кокой день гуглю-никак не могу найти где расписано как это всё реалзуется на IIS(((Был бы очень признателен на ссылку!
/Кроме того, вроде конечно всё хорошо, но есть у нас ткая вещь-как типа голосовой набор-при авторизации...вообщем вопрос не в самом реализации голосового набора и распознавания..а в том,что человек говорит, а ему отвечает псевдо-оператор на поставленный вопрос...естесвенно никаого реального оператора нет, а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл,исходя из того какой вопрос задан-алгорит собсвенно прост...так вот-не могу понять почему,но у нас требования такие,что именно трансляция этого голосового сообщения-должен слышать только клиент, т.е. опять же вопрос безопсности-каким-то образом нужно шифровать голосовой трафик от этого файла...т.е. iSS я так понимаю зашифрует используя сертификат данные на странице, а вот как быть с проигрыванием речевого файла wav?((
> кокой день гуглю-никак не могу найти где расписано как это всё реалзуется
> на IIS(((Был бы очень признателен на ссылку!Ну... может у него такого функционала и нет)
Спросите у техподдержки MS.
Если что (шепотом) всегда можно сделать финт ушами - поставить нормальный веб сервер перед IIS.
Ну как фронтенд - бекенд.
На фронтенд ложится авторизация по сертификату и шифрование трафика.
А от фронтенда до бекенда можно настроить обычный http.> а лишь выбирается wav файл на серваке и транслируется клиенту для прослушивания необходимый wav файл
Я надеюсь, вы это не веб сервером делать будете?)
Для общения голосом есть специальное ПО.
Есть бесплатные - Asterisk, FreeSwitch.
А записанные звуки можно не только в wav хранить.
Вы можете копать в сторону DRM (Digital Right Mangement).
Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их не прослушаешь.
У голосового ПО будет ключ, или пароль, с помощью которого он будет декодировать звуквой файл и отправлять звук клиенту.
Что там в банках для голосового меню используется - хз.
>[оверквотинг удален]
> Я надеюсь, вы это не веб сервером делать будете?)
> Для общения голосом есть специальное ПО.
> Есть бесплатные - Asterisk, FreeSwitch.
> А записанные звуки можно не только в wav хранить.
> Вы можете копать в сторону DRM (Digital Right Mangement).
> Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их
> не прослушаешь.
> У голосового ПО будет ключ, или пароль, с помощью которого он будет
> декодировать звуквой файл и отправлять звук клиенту.
> Что там в банках для голосового меню используется - хз.нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы он у них не оставался вообще...я уже многое перерыл,но пока необходимого не нашёл пор данному вопросу
>[оверквотинг удален]
>> Грубо говоря, звуковые файлы могут быть закодированы так, что просто так их
>> не прослушаешь.
>> У голосового ПО будет ключ, или пароль, с помощью которого он будет
>> декодировать звуквой файл и отправлять звук клиенту.
>> Что там в банках для голосового меню используется - хз.
> нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа
> проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно
> чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы
> он у них не оставался вообще...я уже многое перерыл,но пока необходимого
> не нашёл пор данному вопросутакже немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что надёжное...
> также немаловажный момент..мне бы не хотелось иметь дело с MS...подобную задачу хотелось
> бы решить используя за основу ОС Linux (RedHat,Fedora,Centos) ... что-то на
> этих осях есть подобное? IIS-дело может хорошее,но сложнова-то и не факт,что
> надёжное...Все на них есть.
Только учиться все равно придется.
> нет..немного не то..я смотрел в сторону Астерикса..но немного не то...что-то нужен типа
> проигрывателя на веб-странице...и воспроизведение должно быть защищённое..причём естесвенно
> чистить кеши у клиентов-нет возможности..надо как-то транслировать звук таким образом,чтобы
> он у них не оставался вообще...я уже многое перерыл,но пока необходимого
> не нашёл пор данному вопросуflash/silverlight/java
Кеш браузера слушается сервера.
Нужно отдавать файлы с заголовками, запрещающими кеширование, и все.
а пример есть?