Как настроить мозилу для работы на сайте госзакупок


Заходим в личный кабинет на zakupki.gov.ru без Internet Explorer и другие полезные советы при работе с КриптоПро


В этой заметке я постараюсь обобщить опыт использования криптопровайдера КриптоПро для доступа к закрытой части официального сайта единой информационной системы в сфере закупок (zakupki.gov.ru) и сайта госуслуг (gosuslugi.ru). Сам криптопровайтер стал уже стандартом де-факто для госучреждений, в его формате выдает ЭЦП, например, удостоверяющий центр (УЦ) Федерального казначейства или УЦ Минздрава.

В первую очередь речь пойдет о сайте zakupki.gov.ru. Личный кабинет этого сайта доступен только через HTTPS с использованием ГОСТ-алгоритмов шифрования. Долгое время HTTPS через ГОСТ работал только в Internet Explorer, который целиком полагался на криптопровайдер. Развязка наступила не так давно, когда на сайте zakupki.gov.ru была прекращена поддержка старых версий IE, в том числе — IE8. Беда в том, что IE8 — последняя версия этого браузера, поддерживаемая в Windows XP, а государственные учреждения, как правило, очень консервативны в плане лицензирования. Таким образом, довольно большая часть пользователей в одночасье оказалась “за бортом”.

К счастью, компания КриптоПро выпускает специальную сборку браузера Firefox под названием КриптоПро Fox (CryptoFox), которая поддерживает ГОСТ-алгоритмы и работает, естественно, только в связке с соответствующим криптопровайдером. Было время, когда разработка сборки почти полностью прекратилась, однако сейчас новые версии выходят регулярно. Последняя сборка основана на Firefox 45, Скачать сборки можно тут, доступны версии под Windows, Linux и даже Apple OS X.

По ссылке доступна англоязычная версия браузера. Для ее локализации необходимо скачать пакет с переводом интерфейса. Обратите внимание, что версия пакета должна соответствовать версии самого браузера.

После установки пакета нужно открыть новую вкладку, набрать там about:config, а в открывшемся списке параметров ввести general.useragent.locale и изменить его значение с en-US на ru-RU. После перезапуска браузера интерфейс будет на русском языке.

Теперь можно ставить в хранилище “Доверенные корневые центры сертификации” корневой сертификат УЦ Федерального казначейства, в хранилище “Личные” — персональный сертификат пользователя, перезапускать браузер и заходить в личный кабинет zakupki.gov.ru по 44-ФЗ.

На моем рабочем месте не установлено действующих сертификатов уполномоченных лиц, поэтому доступ в личный кабинет запрещен. Однако шифрование соединения в любом случае проводится алгоритмом семейства ГОСТ.

В случае доступа к закрытой части сайта по 223-ФЗ авторизация будет проходить через ЕСИА (то есть через сайт gosuslugi.ru). Здесь ситуация упрощается, потому что у этого сайта плагин для Firefox существует уже давно и разрабатывается Ростелекомом. При первом заходе на сайт нам будет предложено скачать плагин. После установки плагин следует переключить в режим “Всегда включать” в настройках CryptoFox, иначе на сайте госуслуг не будет появляться окно с запросом сертификата.

К сожалению, подпись документов на сайте zakupki.gov.ru реализована через специфичесий компонет sing.cab, который использует технологию ActiveX. Естественно, в CryptoPro этот компонент не будет работать, так что будем ждать перехода на более распространенную технологию. К счастью, подписание документа — это лишь малая часть того, что должен делать оператор во время работы на zakupki.gov.ru, так что для повседневных операций CryptoFox вполне можно использовать.

Иногда бывает необходимо сохранить копию закрытого ключа на локальном компьютере. Это возможно сделать, если ключ при создании в УЦ помечен как выгружаемый. Копирование производится с помощью кнопки “Скопировать” (какая неожиданность) в интерфейсе апплета КриптоПро


Если два варианта хранения ключа на локальной машине — в считывателе “Реестр” и на виртуальном съемном диске. В принципе, безопасность хранения ключа в обоих случаях примерно одинакова, так что выбор средства остается за читателем.

В считывателе “Реестр” ключи хранятся в ветви

HKLM\SOFTWARE\Crypto Pro\Settings\Users\[SID пользователя]\Keys
для пользователя и в ветви

HKLM\SOFTWARE\Crypto Pro\Settings\Keys
для компьютера в целом.

В случае 64-битной ОС пути будут немного другими:

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\[SID пользователя]\Keys
и

HKLM\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys

При работе КриптоПро на терминальном сервере у пользователя может не хватить прав на запись ключа в эти ветви, поскольку они находятся не в профиле пользователя. Эту ситуацию можно исправить назначением соответствующих прав на ветви через утилиту Regedit.

КриптоПро ищет контейнеры ключей на дисках, которые имеют атрибут “съемный”, то есть флеш-диск или, прости господи, дискета будут считаться контейнерами ключей, а сетевой диск или диск, проброшенный через RDP — нет. Это позволяет хранить ключи на образах дискет по принципу один ключ — одна дискета и тем самым повысить безопасность. Для создания виртуального дисковода можно применить утилиту ImDisk, у которой есть версия и под 64-битные ОС. Заявляется совместимость с Windows вплоть до 8.1, нормально работает и в Windows 10.

Существует еще утилита Virtual Floppy Drive (VFD), в которой можно создавать дисковод, видимый только конкретным пользователем. К сожалению, она давно не развивается, и, кажется не будет работать на 64-битных ОС из-за неподписанного драйвера.

Применяя эти советы и не забывая о Положении ПКЗ-2005, которое, впрочем, носит рекомендательный характер, можно несколько облегчить жизнь как операторам, работающим на сайтах закупок, так и себе.

Безопасность веб-сайтов - Изучите веб-разработку

Безопасность веб-сайтов требует бдительности во всех аспектах дизайна и использования веб-сайтов. Эта вводная статья не сделает вас гуру безопасности веб-сайтов, но поможет понять, откуда берутся угрозы и что вы можете сделать, чтобы защитить свое веб-приложение от наиболее распространенных атак.

Предварительные требования: Базовая компьютерная грамотность.
Цель: Чтобы понять наиболее распространенные угрозы безопасности веб-приложений и что вы можете сделать, чтобы снизить риск взлома вашего сайта.

Что такое безопасность веб-сайта?

Интернет - опасное место! С большой регулярностью мы слышим о том, что веб-сайты становятся недоступными из-за атак типа «отказ в обслуживании» или отображают измененную (и часто наносящую ущерб) информацию на своих домашних страницах. В других громких случаях миллионы паролей, адресов электронной почты и данных кредитных карт стали достоянием общественности, что подвергло пользователей веб-сайта как личному затруднению, так и финансовому риску.

Целью безопасности веб-сайтов является предотвращение подобных (или любых) атак.Более формальное определение безопасности веб-сайтов - это действие / практика защиты веб-сайтов от несанкционированного доступа, использования, модификации, уничтожения или нарушения .

Эффективная безопасность веб-сайта требует усилий по проектированию всего веб-сайта: в вашем веб-приложении, конфигурации веб-сервера, ваших политик создания и обновления паролей и клиентского кода. Хотя все это звучит очень зловеще, хорошая новость заключается в том, что если вы используете веб-фреймворк на стороне сервера, он почти наверняка включит «по умолчанию» надежные и хорошо продуманные механизмы защиты от ряда наиболее распространенных атак. .Другие атаки можно уменьшить с помощью конфигурации вашего веб-сервера, например, включив HTTPS. Наконец, есть общедоступные инструменты сканирования уязвимостей, которые могут помочь вам узнать, сделали ли вы какие-либо очевидные ошибки.

В оставшейся части этой статьи вы найдете более подробную информацию о нескольких распространенных угрозах и некоторых простых шагах, которые вы можете предпринять для защиты своего сайта.

Примечание : Это вводная тема, призванная помочь вам начать думать о безопасности веб-сайтов, но она не является исчерпывающей.

Угрозы безопасности веб-сайтов

В этом разделе перечислены лишь некоторые из наиболее распространенных угроз для веб-сайтов и способы их устранения. По мере чтения обратите внимание на то, что угрозы наиболее успешны, когда веб-приложение либо доверяет, либо недостаточно параноидально относится к данным, поступающим из браузера.

Межсайтовый скриптинг (XSS)

XSS - это термин, используемый для описания класса атак, которые позволяют злоумышленнику внедрять клиентские сценарии с по веб-сайта в браузеры других пользователей.Поскольку внедренный код поступает в браузер с сайта, код является доверенным и может выполнять такие действия, как отправка файла cookie авторизации пользователя на сайт злоумышленнику. Когда у злоумышленника есть файл cookie, он может войти на сайт, как если бы он был пользователем, и делать все, что может пользователь, например, получать доступ к данным своей кредитной карты, просматривать контактные данные или изменять пароли.

Примечание : Уязвимости XSS исторически были более распространены, чем любые другие типы угроз безопасности.

XSS-уязвимости делятся на отраженных и постоянных , в зависимости от того, как сайт возвращает внедренные скрипты в браузер.

  • A отражает Уязвимость XSS возникает, когда пользовательский контент, который передается на сервер, возвращается немедленно и без изменений для отображения в браузере. Любые сценарии в исходном пользовательском контенте будут запускаться при загрузке новой страницы.
    Например, рассмотрим функцию поиска по сайту, где условия поиска кодируются как параметры URL, и эти термины отображаются вместе с результатами.Злоумышленник может создать поисковую ссылку, которая содержит вредоносный скрипт в качестве параметра (например, http://mysite.com?q=beer < / script> ) и отправьте его другому пользователю по электронной почте. Если целевой пользователь щелкает эту «интересную ссылку», скрипт будет выполнен при отображении результатов поиска. Как обсуждалось ранее, это дает злоумышленнику всю информацию, необходимую ему для входа на сайт в качестве целевого пользователя, потенциально делая покупки в качестве пользователя или передавая свою контактную информацию.
  • Постоянная XSS-уязвимость возникает, когда вредоносный сценарий хранится на веб-сайте, а затем повторно отображается в неизмененном виде, чтобы другие пользователи могли выполнить его непреднамеренно.
    Например, доска обсуждений, которая принимает комментарии, содержащие неизмененный HTML, может хранить вредоносный скрипт от злоумышленника. Когда отображаются комментарии, скрипт выполняется и может отправить злоумышленнику информацию, необходимую для доступа к учетной записи пользователя. Этот вид атак чрезвычайно популярен и мощен, потому что злоумышленник может даже не иметь прямого взаимодействия с жертвами.

Хотя данные из запросов POST или GET являются наиболее распространенным источником уязвимостей XSS, любые данные из браузера потенциально уязвимы, например данные файлов cookie, отображаемые браузером, или загружаемые и отображаемые файлы пользователей.

Лучшая защита от уязвимостей XSS - это удалить или отключить любую разметку, которая потенциально может содержать инструкции для запуска кода. Для HTML это включает такие элементы, как

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий