Безопасность в Nemo.Travel: различия между версиями

В новой системе Немо предусмотрены механизмы поддержания безопасности и защиты пользовательских учетных записей. Система предусматривает несколько способов верификации пользователей и дополнительной защиты для безопасной аутентификации пользователей, обеспечивающие надежную защиту пользовательских данных.

Верификация пользователя

Для подтверждения авторизации, пользователю необходимо пройти процедуру верификации. Верификация осуществляется при помощи подтверждения email адреса или телефонного номера указанных в профиле пользователя. Запрос на подтверждение можно отправить из раздела в панели администрирования «Профиль пользователя» или из личного кабинета, вкладки «Мой профиль». Рядом с названием полей «Адрес электронной почты» и «Телефон» расположены ссылки «Подтвердить», при нажатии на которые вам будет отправлено сообщение содержащее одноразовый код, действующий в течении 15 минут, на указанный адрес электронной почты или на телефонный номер из поля «Телефон». Далее пользователю предлагается ввести полученный код. После успешного введения кода, около поля отобразится символ указывающий на то, что номер или почтовый адрес был успешно подтвержден. При смене почтового адреса или телефонного номера, статус верификации обнуляется и потребуется провести процедуру еще раз. При первом входе в систему, пользователю предлагается подтвердить свой электронный адрес или телефон (если у агентства заданы реквизиты для рассылки смс сообщений) а после выбрать тип защиты при входе в систему, данный шаг можно пропустить 5 раз, далее вход в систему будет невозможен без подтверждения своих данных.

Защита пароля

В системе реализована система защиты от перебора пароля. После 10 неудачных вводов паролей с одного IP адреса пользователь получит 5 минутную блокировку доступа. По истечению этого времени счётчик неудачных вводов сбрасывается.

Подтверждение IP адреса

Для безопасной авторизации пользователя рекомендуется использовать подтверждение IP адреса. Если при включенной проверке IP адреса пользователь попытается авторизоваться с неизвестного IP адреса, то пользователю будет предложено добавить текущий IP адрес в список разрешенных адресов. Для того, чтобы добавить текущий IP в список разрешенных, пользователю необходимо перейти по специальной одноразовой ссылке, которую он получит на свой почтовый адрес. Письмо с темой «Подтверждение IP адреса» отправляется автоматически в момент, когда пользователь пытается авторизоваться с неизвестного адреса и соглашается на добавление текущего IP адреса в список разрешенных. После перехода по специальной ссылке текущий адрес пользователя будет добавлен в список разрешенных и последующие авторизации с этого адреса будут проходить без запроса подтверждения.

Настройка безопасности в Nemo.Travel

Настройка авторизации пользователей

В разделе «Профиль пользователя» менеджеру агентства доступны настройки для выбора режимов защиты агентства/субагентства/определенного пользователя.

С помощью параметраДополнительная защита при авторизации менеджер агентства может включить или выключить дополнительную защиту. Значение настройки «Не определено» соответствует первой авторизации пользователя, когда ему предоставляется выбор типа защиты (используя cookie или IP). При включенной настройке Дополнительная защита при авторизации доступен выбор типа защиты(через cookie или через IP адрес).

• Подтверждение через браузер (используя cookie) - после подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе «Администрирование» - «Настройки системы» в поле «Время жизни cookie для дополнительной авторизации», значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.
• Подтверждение через IP - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения.

Рекомендуется использовать вариант подтверждения через IP адрес, т.к. такой вариант наиболее безопасен.
Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.

У менеджера агентства есть возможность задать шаблоны отправляемых сообщений при подтверждении (e-mail или телефонного номера) в разделе «Заказы» - «Шаблоны электронных писем», Подтверждение авторизации и Подтверждение контакта (e-mail, телефон). В шаблоне можно указать ссылку, перейдя по которой пользователь подтвердит свой e-mail/телефон и будет авторизован.

Опция Включить проверку IP адресов в разделе «Пользователи и группы» - «Профиль пользователя» включает дополнительную защиту через проверку IP адреса. В поле Разрешённые IP адреса можно добавить IP адреса, для которых не требуется подтверждение адреса при авторизации.

CSRF защита

В целях повышения надежности системы, в системе Nemo Travel реализована защита от CSRF атак. Так, при переходе с другого сайта по ссылке, ведущей в панель администрирования Nemo Travel, будет произведено перенаправление на специальную защитную страницу, с которой пользователь сможет попасть на интересующую его страницу.