Безопасность в Nemo.Travel: различия между версиями
м (Кирилл Фимченко переименовал страницу Безопасная аутентификация пользователей в Безопасность Nemo Travel: Статья расширяется фичами, ко…) |
|||
Строка 20: | Строка 20: | ||
У менеджера агентства есть возможность задать шаблоны отправляемых сообщений при подтверждении (e-mail или телефонного номера) в разделе '''«Заказы»''' - '''«Шаблоны электронных писем»''', Подтверждение авторизации и Подтверждение контакта (e-mail, телефон). | У менеджера агентства есть возможность задать шаблоны отправляемых сообщений при подтверждении (e-mail или телефонного номера) в разделе '''«Заказы»''' - '''«Шаблоны электронных писем»''', Подтверждение авторизации и Подтверждение контакта (e-mail, телефон). | ||
В шаблоне можно указать ссылку, перейдя по которой пользователь подтвердит свой e-mail/телефон и будет авторизован. | В шаблоне можно указать ссылку, перейдя по которой пользователь подтвердит свой e-mail/телефон и будет авторизован. | ||
+ | |||
+ | |||
+ | === CSRF защита === | ||
+ | |||
+ | В целях повышения надежности системы, в системе Nemo Travel реализована защита от [https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0 CSRF] атак. Так, при переходе с другого сайта по ссылке, ведущей в панель администрирования Nemo Travel, будет произведено перенаправление на специальную защитную страницу, с которой пользователь сможет попасть на интересующую его страницу. |
Версия 13:36, 5 октября 2015
В системе Немо предусмотрены механизмы направленные на повышение безопасности и защиту пользовательских учетных записей. В системе есть различные варианты дополнительной защиты для безопасной аутентификации пользователей и различные способы верификации пользователей.
Верификация пользователя
Для подтверждения авторизации, пользователю необходимо пройти процедуру верификации. Верификация осуществляется при помощи подтверждения email адреса или телефонного номера указанных в профиле пользователя. Запрос на подтверждение можно отправить из раздела в панели администрирования «Профиль пользователя» или из личного кабинета, вкладки «Мой профиль». Рядом с названием полей «Адрес электронной почты» и «Телефон» расположены ссылки «Подтвердить», при нажатии на которые вам будет отправлено сообщение содержащее одноразовый код, действующий в течении 15 минут, на указанный адрес электронной почты или на телефонный номер из поля «Телефон». Далее пользователю предлагается ввести полученный код. После успешного введения кода, около поля отобразится символ указывающий на то, что номер или почтовый адрес был успешно подтвержден. При смене почтового адреса или телефонного номера, статус верификации обнуляется и потребуется провести процедуру еще раз. При первом входе в систему, пользователю предлагается подтвердить свой электронный адрес или телефон (если у агентства заданы реквизиты для рассылки смс сообщений) а после выбрать тип защиты при входе в систему, данный шаг можно пропустить 5 раз, далее вход в систему будет невозможен без подтверждения своих данных.
Настройка авторизации пользователей
В разделе «Профиль пользователя» менеджеру агентства доступны настройки позволяющие выбрать режимы защиты для агентства/субагентства/определенного пользователя.
С помощью настройки Дополнительная защита при авторизации менеджер агентства может включить или выключить дополнительную защиту. Значение настройки «Неопределено» соответствует первой авторизации пользователя, когда ему предоставляется выбор типа защиты (используя cookie или IP). При включенной настройке Дополнительная защита при авторизации доступен выбор типа защиты(через cookie или через IP адрес).
- Подтверждение через браузер (используя cookie) - после подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе «Администрирование» - «Настройки системы» в поле «Время жизни cookie для дополнительной авторизации», значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.
- Подтверждение через IP - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения.
Рекомендуется использовать вариант подтверждения через IP адрес, т.к. такой вариант наиболее безопасен.
Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.
У менеджера агентства есть возможность задать шаблоны отправляемых сообщений при подтверждении (e-mail или телефонного номера) в разделе «Заказы» - «Шаблоны электронных писем», Подтверждение авторизации и Подтверждение контакта (e-mail, телефон). В шаблоне можно указать ссылку, перейдя по которой пользователь подтвердит свой e-mail/телефон и будет авторизован.
CSRF защита
В целях повышения надежности системы, в системе Nemo Travel реализована защита от CSRF атак. Так, при переходе с другого сайта по ссылке, ведущей в панель администрирования Nemo Travel, будет произведено перенаправление на специальную защитную страницу, с которой пользователь сможет попасть на интересующую его страницу.