Безопасность в Nemo.Travel: различия между версиями

Материал из Центр поддержки системы бронировании
Перейти к навигации Перейти к поиску
(Настройка авторизации пользователей)
Строка 17: Строка 17:
 
Режим защиты агентства/субагентства/определенного пользователя настраивается в разделе '''Профиль пользователя''', доступном менеджеру агентства.
 
Режим защиты агентства/субагентства/определенного пользователя настраивается в разделе '''Профиль пользователя''', доступном менеджеру агентства.
  
*'''Дополнительная защита при авторизации''' включает дополнительную защиту:
+
*'''Дополнительная защита при авторизации''':
**''Не определено'' - соответствует первой авторизации пользователя, когда ему предоставляется выбор типа защиты (используя cookie или IP),
+
**''Не определено'' - режим дополнительной защиты соответствует выбранному пользователем при первой авторизации,
**''Нет'' - не использовать,
+
**''Нет'' - не использовать дополнительную защиту,
**''Да'' - использовать. При выборе опции ниже появляется параметр настройки способа подтверждения:
+
**''Да'' - использовать дополнительную защиту. При выборе опции ниже появляется параметр настройки режима дополнительной защиты:
***''Подтверждение через браузер (используя cookie)'' - после подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе '''Администрирование → Настройки системы''' в поле ''Время жизни cookie для дополнительной авторизации'', значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.  
+
***''Подтверждение через браузер'' - использует cookie. После подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе '''Администрирование → Настройки системы''' в поле ''Время жизни cookie для дополнительной авторизации'', значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.  
 
***''Подтверждение через IP'' - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения. Более безопасный способ. <br/>Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.
 
***''Подтверждение через IP'' - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения. Более безопасный способ. <br/>Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.
  

Версия 19:58, 8 апреля 2016

В системе Немо налажены механизмы поддержания безопасности и защиты пользовательских учетных записей. Система предусматривает несколько способов верификации пользователей и дополнительной защиты для безопасной аутентификации для надежной защиты пользовательских данных.

Верификация пользователя

Для подтверждения авторизации, пользователю необходимо пройти процедуру верификации. Верификация осуществляется при помощи подтверждения email адреса или телефонного номера указанных в профиле пользователя. Запрос на подтверждение можно отправить из раздела в панели администрирования Профиль пользователя или из личного кабинета, вкладки Мой профиль. Рядом с названием полей Адрес электронной почты и Телефон расположены ссылки «Подтвердить», при нажатии на которые вам будет отправлено сообщение содержащее одноразовый код, действующий в течении 15 минут, на указанный адрес электронной почты или на телефонный номер из поля «Телефон». Далее пользователю предлагается ввести полученный код. После успешного введения кода, около поля отобразится символ указывающий на то, что номер или почтовый адрес был успешно подтвержден. При смене почтового адреса или телефонного номера, статус верификации обнуляется и потребуется провести процедуру еще раз. При первом входе в систему, пользователю предлагается подтвердить свой электронный адрес или телефон (если у агентства заданы реквизиты для рассылки смс сообщений) а после выбрать тип защиты при входе в систему, данный шаг можно пропустить 5 раз, далее вход в систему будет невозможен без подтверждения своих данных.

Защита пароля

В системе реализована система защиты от перебора пароля. После 10 неудачных вводов паролей с одного IP адреса пользователь получит пятиминутную блокировку доступа. По истечению этого времени счётчик неудачных вводов сбрасывается.

Подтверждение IP адреса

Для безопасной авторизации пользователя рекомендуется использовать подтверждение IP адреса. Если при включенной проверке IP адреса пользователь попытается авторизоваться с неизвестного IP адреса, то пользователю будет предложено добавить текущий IP адрес в список разрешенных адресов. Для того, чтобы добавить текущий IP в список разрешенных, пользователю необходимо перейти по специальной одноразовой ссылке, которую он получит на свой почтовый адрес. Письмо с темой «Подтверждение IP адреса» отправляется автоматически в момент, когда пользователь пытается авторизоваться с неизвестного адреса и соглашается на добавление текущего IP адреса в список разрешенных. После перехода по специальной ссылке текущий адрес пользователя будет добавлен в список разрешенных и последующие авторизации с этого адреса будут проходить без запроса подтверждения.

Настройка безопасности в Nemo.Travel

Настройка авторизации пользователей

Режим защиты агентства/субагентства/определенного пользователя настраивается в разделе Профиль пользователя, доступном менеджеру агентства.

  • Дополнительная защита при авторизации:
    • Не определено - режим дополнительной защиты соответствует выбранному пользователем при первой авторизации,
    • Нет - не использовать дополнительную защиту,
    • Да - использовать дополнительную защиту. При выборе опции ниже появляется параметр настройки режима дополнительной защиты:
      • Подтверждение через браузер - использует cookie. После подтверждения с помощью одноразового кода отправленного на почтовый адрес или телефонный номер, данные об успешной авторизации будут сохранены в браузере пользователя в cookie файлах. Подтверждение через браузер необходимо периодически проходить повторно, время существования данных об успешном подтверждении через браузер может быть ограниченным и может задаваться менеджером в разделе Администрирование → Настройки системы в поле Время жизни cookie для дополнительной авторизации, значение задается в часах. Для неограниченного времени существования cookie файла необходимо задать 0.
      • Подтверждение через IP - после подтверждения пользователя при попытке входа на сайт, будет сохранен текущий IP адрес пользователя. При последующем входе на сайт не потребуется повторное подтверждение если у пользователя не сменится IP адрес. Возможно сохранение неограниченного количества IP адресов, что позволит заходить на сайт с различных устройств без подтверждения. Более безопасный способ.
        Пользователям у которых происходит частая смена IP адреса подойдет вариант с подтверждением через cookie файлы, но в таком случае следует быть уверенным, что на устройстве пользователя не стоит вредоносного ПО.

В шаблонах отправляемых при подтверждении сообщений (e-mail или телефонного номера) в разделе Заказы → Шаблоны электронных писем менеджер может указать ссылку для подтверждения e-mail/телефона, перейдя по которой пользователь авторизуется.

Опция Включить проверку IP адресов в разделе Пользователи и группы → Профиль пользователя включает дополнительную защиту через проверку IP адреса. В поле Разрешённые IP адреса можно добавить IP адреса, для которых не требуется подтверждение адреса при авторизации.

CSRF защита

В целях повышения надежности системы, в системе Nemo Travel реализована защита от CSRF атак. Так, при переходе с другого сайта по ссылке, ведущей в панель администрирования Nemo Travel, будет произведено перенаправление на специальную защитную страницу, с которой пользователь сможет попасть на интересующую его страницу.