Средства безопасности в jBASE Web Builder
ВВЕДЕНИЕ
jBASE Web Builder позволяет разработчикам проектировать и распространять
безопасные и мощные транзакционные web-приложения "end-to-end"
в коротких интервалах времени. При экспозиции приложений во всемирной
сети безопасность должна быть предметом особого внимания, и поэтому
некоторые особенности, связанные с безопасностью, встроены в Web
Builder.
АРХИТЕКТУРА WEB BUILDER
Большинство серверов приложений позволяют приложениям хранить
нужную информацию о состоянии и сведения о сеансе данного приложения.
Web Builder не является исключением. Большинство приложений хранят
свое состояние, передавая информацию через URL или используя на
стороне клиента так называемые "куки"-файлы (cookies).
Web Builder хранит всю информацию о состоянии и сеансе на стороне
сервера в мощной базе данных jBASE, чтобы обеспечить ее быстрое
получение. Ключ, необходимый для получения этих данных, представляет
собой псевдо-случайное скрытое (hidden) поле, передаваемое пользователю
как часть web-страницы.
Скрытый ключ сеанса - это постоянно меняющееся значение, основанное
на числе (PIN-коде), хранящемся на стороне сервера. Ключ сеанса
для любого неавторизованного пользователя совершенно непредсказуем,
и воссоздать его нельзя даже если раскрыто число, хранящееся в
PIN-коде, и известен алгоритм шифрования.
Сверх этого, при инициализации сеанса Web Builder перехватывает
IP-адрес машины клиента. Этот IP-адрес проверяется при каждом
взаимодействии с Web Builder, чтобы затруднить 'подмену' сеанса.
Web Builder можно сконфигурировать так, чтобы блокировать кэширование
вырабатываемых страниц. Это означает, что никакая копия страницы
Web Builder не хранится ни на машине клиента, ни на любой другой
машине между клиентом и сервером. Можно также отключить кнопки
"вперед/назад" и в самом web-броузере, чтобы еще больше
усилить защиту.
В систему Web Builder встроено полное 128-битовое шифрование
PKI, доступное для применения в приложениях web builder. Кроме
того, на сервере Web Builder может быть установлен SSL, чтобы
добавить дополнительный уровень безопасности.
БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЯ
Web builder поставляется со встроенной системой управления пользователями,
но также позволяет для хранения сведений о пользователях применять
репозитории или приложения от третьих фирм. В этом случае для
аутентификации пользователя может применяться удостоверение от
операционной системы, либо LDAP может хранить подробные сведения
об авторизованных пользователях Web Builder.
Каждому пользователю назначается пароль, который Web Builder
шифрует. Для пароля можно сконфигурировать период, после которого
пароль перестанет действовать, а также фиксированное число попыток
ввода неправильного пароля (после чего доступ блокируется).
Пользователи назначаются в группы, чтобы вам легче было организовать
права и привилегии, допустимые для каждого пользователя в каждом
приложении. Для каждого элемента приложения, начиная со страницы
в целом, далее вниз через коллекции объектов, и вплоть до отдельных
компонентов, можно назначить индивидуальные уровни безопасности.
Если пользователь не обладает достаточными полномочиями, то соответствующие
элементы страницы не будут ему выданы.
Для максимальной безопасности рекомендуется строить работу с
приложениями Web Builder следующим образом
Ключевые элементы
1. Web Browser - Броузер в Internet
Web-броузеры в открытой части Internet должны иметь возможности
Microsoft Internet Explorer 4.0 или выше, а также должны быть
способны поддерживать шифрование 128bit SSL.
2. Public Access Web Server - Общедоступный
Web-сервер
Этот сервер действует как общедоступный web-сайт. Он должен содержать
только статическую / некритичную информацию, и не должен обрабатывать
какие-либо скрипты, связанные с бизнес-логикой.
Этот сервер должен быть сконфигурирован для применения сертификатов
128bit SSL certificate. Все вызовы скриптов к этому серверу должны
быть "прокси"-делегированы (proxied) к серверу jWB server.
Делегирование (Proxy re-direction) сквозь вторичный межсетевой
экран (secondary firewall) может проходить через любой конфигурируемый
номер порта TCP/IP port number. Шифрование SSL сквозь вторичный
межсетевой экран является опцией - но потребуется дополнительный
сертификат для сервера jWB server.
Этот сервер материально не участвует в цикле jWB submit / result
cycle, кроме поддержки шифрования и дешифрования SSL для трафика
HTTPS.
3. jBASE Web Builder Server
Этот сервер должен включать программное обеспечение web server
software (если он не сконфигурирован для взаимодействия jWB Servlet).
Технологии web server для этого сервера такие же, как и для web-сервера
публичного доступа.
4. Middleware - Средства промежуточного слоя
Этот сервер действует как редиректор сообщений (message re-director)
между сервером jWB server и сервером приложений (application server).
5. Application Server - Сервер Приложений
6. Internet Firewall - Межсетевой экран Internet
7. jWB / DMZ Firewall - Межсетевой экран jWB
/ DMZ
8. Intranet Firewall - Внутренний межсетевой
экран Intranet
