Promotic

Zabezpieczenie Web aplikacji

Bezpieczeństwo Web aplikacji polega na zabezpieczeniu aplikacji przed nieuprawnionym użyciem (system użytkowników oraz uprawnień) oraz również w zabezpieczeniu Web serwera oraz protokołu HTTP (szyfrowanie, ustawienie zabezpieczenia w nagłówkach, itd.).

Administracja oraz ustawienie użytkowników oraz grup użytkowników

Przy wszystkich PROMOTIC użytkownikach (lokalnych i sieciowych) można definiować kryteria, które podczas logowania musi użytkownik spełnić, żeby został uwierzytelniony przez system. Chodzi zwłaszcza o nazwę oraz hasło użytkownika. Uwierzytelnienie tożsamości użytkownika ma duże znaczenie przy następującym ograniczeniu dostępu użytkowników do krytycznych części aplikacji przy pomocy wytwarzania uprawnień w poszczególnych częściach aplikacji lub przy pomocy skryptów. Do właściwego ograniczenia dostępu poszczególnych użytkowników do krytycznych części aplikacji jest wykorzystywane przyszeregowanie użytkownika do grup użytkowników (można zastosować także przyszeregowanie priorytetu użytkownika)
 
W celu uwierzytelnienia użytkowników PROMOTIC można zastosować uwierzytelnienie Basic lub Digest, w celu uwierzytelnienia użytkowników Windows w domemie można zastosować uwierzytelnienie NTLM. Wybór rodzaju uwierzytelnienia należy wykonać w konfiguratorze "Ustawienia zaawansowane".
 
Uwaga! W przypadku uwierzytelniania Basic nazwa oraz hasło jest zawarte w nagłówkach zapytań HTTP w kodowaniu Base64 (w postaci nieszyfrowanej, której treść można podejżeć). Dlatego lepszym jest stosowanie szyfrowanego protokołu HTTPS, który eliminuje to niebezpieczeństwo. Następnym sposobem jest zasosowanie uwierzytelniania bezpiecznym uwierzytelnieniem Digest, wtedy hasło nie można podejżeć. Zamiast hasła jest zawarty tylko stępel hasła (Hash) tzn. Digest. Najwyższy stopień zabezpieczenia umożliwia uwierzytelnienie NTLM użytkowników Windows w domenie, gdzie uwierzytelnienie wykonuje bezpośrednio przeglądarka wobec domeny. Najczęściej stosuje się w zakładowych sieciach intranet.

Patrz Użytkownicy, Uprawnienia, PmUser, Użytkownicy oraz uprawnienia.

HTTPS - zabezpieczony protokół HTTP

Ustawieniem konfiguratora "usługa https" można zabiezpieczyć szyfrowane połączenie pomiędzy przeglądarką internetową oraz Web serwerem jako ochronę przed podsłuchem oraz podmianą danych. HTTPS (Hypertext Transfer Protocol Secure) wykorzystuje protokoł HTTP, przy czym transmitowane dane są szyfrowane przy pomocy SSL/TLS. Podstawą zabezpieczenia oferowanego przez protokoły SSL/TLScertyfikaty cyfrowe.

Patrz HTTPS - zabezpieczony protokół HTTP.

Ustawienie nagłówków w HTTP odpowiedzi Web serwerowi

Istnieja nagłówki HTTP zapytania (RequestHeaders), te ustawia przeglądarka internetowa. Następnie istnieją HTTP odpowiedzi (ResponseHeaders), te ustawia Web serwer PROMOTIC. Przy pomocy nagłówków można w dużej mierze wpłynąć na poziom zabezpieczenia oraz zachowanie przeglądarek i komunikacji HTTP.

Patrz Ustawienia zaawansowane.
© MICROSYS, spol. s r. o.