4. Известные проблемы – SSL SSL защищает канал связи, но не сам контент Известные атаки: SSLstrip SideJacking PhoneFactor Фальшивый сертификат Это не уязвимости самого протокола SSL, а следствие лоскутной защиты Семинар RISSPA 08 июля 2010
5. Известные проблемы – SMS-пароли Позволяет более надежно аутентифицировать пользователя: контент – за кадром Множественные уязвимости: инсайд на стороне сервера инсайд на стороне сотового оператора при передаче (GSM использует нестойкий криптоалгоритм А5/1) утрата телефона перевыпуск SIM-карты по фальшивой доверенности Семинар RISSPA 08 июля 2010
6. Известные проблемы – ЭЦП Семинар RISSPA 08 июля 2010 Обеспечивает целостность (подлинность) данных Сильные стороны: стойкий криптоалгоритм обеспечивает юридическую значимость Недостатки: не обеспечивает конфиденциальность возможна подмена документа перед подписью
8. Угрозы Семинар RISSPA 08 июля 2010 Написание malware под конкретное web-приложение Клиентский (пользовательский) компьютер – самое слабое звено и начало большинства атак
9. Secure Web Player Семинар RISSPA 08 июля 2010 Предназначение Создать безопасную среду для доставки и исполнения веб-приложений Снять требования к чистоте клиентского компьютера
10. Secure Web Player – как работает Семинар RISSPA 08 июля 2010 Динамически загружаемые компоненты Защищенный обмен Первичный запрос Запуск виртуальной машины
11. Secure Web Player – компоненты Сервер Загружает клиенту динамические компоненты Шифрует контент перед отдачей Расшифровывает полученный от клиента контент Клиент Создает защищенную областьв браузере Расшифровывает полученный с сервера контент Шифрует отправляемый пользователем контент Отображает контент Семинар RISSPA 08 июля 2010
12. Secure Web Player – клиент В зависимости от платформы клиента его терминал может быть реализован по одной из технологий: .NetFramework Silverlight на базе плагина ActiveX Семинар RISSPA 08 июля 2010
13. Secure Web Player - совместимость Семинар RISSPA 08 июля 2010 Операционные системы MS Windows Linux Mac OS Solaris FreeBSD Браузеры InternetExplorer FireFox Mozilla Netscape Opera
14. Secure Web Player –преимущества Безопасность – исполнение веб-приложений на стороне клиента независимо от доверия к компьютеру Кроссплатформенность – исполнение в контексте браузера Отсутствие ограничений к контенту – можно использовать имеющие приложения без изменений Пользователю не нужно устанавливать дополнительное ПО Интеграция – одноразовые пароли, токены, ЭЦП Семинар RISSPA 08 июля 2010