Документ представляет семинар о безопасной доставке веб-контента, освещая тенденции и проблемы, связанные с использованием технологий, таких как SSL, одноразовые пароли и электронная цифровая подпись. Основное внимание уделяется уязвимостям, связанным с передачей данных и клиентскими компьютерами. Также обсуждается 'secure web player' как решение для безопасного исполнения веб-приложений независимо от состояния клиентского устройства.

1. Безопасная доставка веб-контентаГурин Олег, Директор по развитию бизнесаКомпания «Защищенные контент-системы»Семинар RISSPA 08 июля 2010

2. ТенденцииСеминар RISSPA 08 июля 2010 Модель SaaS Тонкие клиенты Облачные вычисленияWeb-frontend и web-приложения – это наше все!

3. Средства безопасностиСеминар RISSPA 08 июля 2010 SSL – шифрование канала связи Одноразовые пароли по SMS ЭЦП

4. Известные проблемы – SSLSSL защищает канал связи, но не сам контентИзвестные атаки:SSLstripSideJackingPhoneFactor Фальшивый сертификат Это не уязвимости самого протокола SSL, а следствие лоскутной защитыСеминар RISSPA 08 июля 2010

5. Известные проблемы – SMS-паролиПозволяет более надежно аутентифицировать пользователя: контент – за кадромМножественные уязвимости: инсайд на стороне сервера инсайд на стороне сотового оператора при передаче (GSM использует нестойкий криптоалгоритм А5/1) утрата телефонаперевыпуск SIM-карты по фальшивой доверенностиСеминар RISSPA 08 июля 2010

6. Известные проблемы – ЭЦПСеминар RISSPA 08 июля 2010Обеспечивает целостность (подлинность) данныхСильные стороны: стойкий криптоалгоритм обеспечивает юридическую значимостьНедостатки: не обеспечивает конфиденциальность возможна подмена документа перед подписью

7. Известные проблемыОсновная проблема – контент в браузере содержится в открытом виде

8. УгрозыСеминар RISSPA 08 июля 2010Написание malware под конкретное web-приложениеКлиентский (пользовательский) компьютер – самое слабое звено и начало большинства атак

9. Secure Web PlayerСеминар RISSPA 08 июля 2010ПредназначениеСоздать безопасную среду для доставки и исполнения веб-приложенийСнять требования к чистоте клиентского компьютера

10. Secure Web Player – как работаетСеминар RISSPA 08 июля 2010Динамически загружаемые компонентыЗащищенный обменПервичный запросЗапуск виртуальной машины

11. Secure Web Player – компонентыСерверЗагружает клиенту динамические компоненты Шифрует контент перед отдачейРасшифровывает полученный от клиента контентКлиентСоздает защищенную областьв браузереРасшифровывает полученный с сервера контентШифрует отправляемый пользователем контентОтображает контентСеминар RISSPA 08 июля 2010

12. Secure Web Player – клиентВ зависимости от платформы клиента его терминал может быть реализован по одной из технологий:.NetFrameworkSilverlightна базе плагинаActiveXСеминар RISSPA 08 июля 2010

13. Secure Web Player - совместимостьСеминар RISSPA 08 июля 2010Операционные системыMS WindowsLinuxMac OSSolarisFreeBSDБраузерыInternetExplorerFireFoxMozillaNetscapeOpera

14. Secure Web Player –преимуществаБезопасность – исполнение веб-приложений на стороне клиента независимо от доверия к компьютеруКроссплатформенность – исполнение в контексте браузера Отсутствие ограничений к контенту – можно использовать имеющие приложения без измененийПользователю не нужно устанавливать дополнительное ПОИнтеграция – одноразовые пароли, токены, ЭЦПСеминар RISSPA 08 июля 2010

15. Дополнительная информацияwww.safesystems24.ruoleg.gurin@safesystem24.ruСеминар RISSPA 08 июля 2010