Вход | Регистрация


1С:Предприятие :: 1С:Предприятие 8 общая

Использование сертификатов в 1С

Использование сертификатов в 1С
Я
   AlexRevolt
 
13.02.18 - 11:21
Всем привет!

Есть полностью самописная конфа серверная, пользователи будут подключаться через веб-клиент. У пользователей будет что-то вроде уникальной флешки в компах, етокена и т.д. там будет что-то вроде сертификата записанного, заказчик ещё не определился.

Суть задачи, при проведении определённого документа необходимо проверять соответствует ли пользователь, который проводит документ, его уникальной флешки (етокена и т.д.), и если да, то документ проводится.

Не могу сообразить в какую сторону хотя бы капать, чтобы сваять что-то подобное. Подскажите, пожалуйста!=)
 
 
   Cyberhawk
 
1 - 13.02.18 - 11:26
Не "капать", а "копать"
   zzzzz
 
2 - 13.02.18 - 11:42
Вообще-то подобное давно уже разжевано. К примеру можно залезть на сайт алладина и найти там документацию. Или у мультисофта посмотреть.
   cons74
 
3 - 13.02.18 - 12:30
У нас проще - пользователь сканирует свой бейдж (со штрихкодом).
   МимохожийОднако
 
4 - 13.02.18 - 12:40
Пользователя достаточно проверить один раз при входе в систему, а документы открывать для редактирования только при наличии прав на этот документ. Например, если он автор или входит в список "посвящённых".
   AlexRevolt
 
5 - 15.02.18 - 09:07
(4) в том то и дело, что надо двойная проверка.
Непосредственно пользователя базы 1С
Но так как заказчик рассматривает вероятность, что данные для входа пользователя могу быть украдены, случайно кому-то сообщили, либо подобраны перебором, то и вариант запроса ввода какого-то второго пароля на проверку при непосредственно проводкой документа отпадает.

А вот ключ защиты, который будет физическим предметом (флешка), уже устраивает, типа даже если смогут попасть в 1С под чужим пользователем, то его уникальный ключ защиты не получат, разве что флешку украдут как-то, но тут уже будет на полной ответственности пользователя этой флешки тогда, типа сам недосмотрел за флешкой.
   AlexRevolt
 
6 - 15.02.18 - 09:09
(3) штрихкод типа тоже можно подделать, в этом плане тут большая заморочка.

Вдобавок это тогда ещё сканер штрихкодов каждому пользователю вручить!=)
   AlexRevolt
 
7 - 15.02.18 - 09:11
(2) заходил на сайт алладина, посмотрел там в документации различной, что-то ничего не увидел подходящего по описанию.
Может плохо смотрел.

Можете, пожалуйста, ткнуть прям в какой документ там смотреть и т.д.
   1ctube
 
8 - 15.02.18 - 09:11
Ну так можно заморочится, и установить сканер сетчаки глаза или пальцев при входе
   Сияющий в темноте
 
9 - 15.02.18 - 09:14
Нужен криптопровайдер и электронная подпись документа,тогда взлетит,посмотрите крипто про или лисси,если денег нет
   AlexRevolt
 
10 - 15.02.18 - 09:16
(8) Это было бы наверное круто, но что-то мне подсказывает, что заказчик не оценит.
 
 Рекламное место пустует
   mistеr
 
11 - 15.02.18 - 09:32
(5) >даже если смогут попасть в 1С под чужим пользователем, то его уникальный ключ защиты не получат

Не совсем верный подход. Нужно, чтобы пользователь мог попасть в 1С, только имея И пароль, И аппаратный ключ. Называется двухфакторная аутентификация.

В одной компании реализовали на Rutoken. Правда приложение было не 1С. Веб приложение для внешних пользователей. при масштабе более 10К пользователей работало со скрипом, но в целом работало.
   Cyberhawk
 
12 - 15.02.18 - 10:29
Пусть входят через Гугл Аутентификатор
   vde69
 
13 - 15.02.18 - 10:34
автор занимается бредом...

поставь для всех юзеров аутентификацию виндовс и скажи, что теперь за безопасность отвечают админы, пусть лепят вход в винду по смарт ключам или по сетчатки глаза или еще как, но это будет уже ИХ забота
   vde69
 
14 - 15.02.18 - 10:36
ну и кроме того есть

СИ    = Новый СистемнаяИнформация;
Строка(СИ.ИдентификаторКлиента) - однозначно уникальный идентификатор компа+юзера
   AlexRevolt
 
15 - 15.02.18 - 15:22
(14) Касательно "автор занимается бредом... " я бы с удовольствием остановился на двойной проверке пароля и т.д., но заказчик хочет реализацию через какой-то ключ защиты (флешку) и хоть убейся


"Новый СистемнаяИнформация" раньше сталкиваться не приходилось, даже не знал про такую возможность, но также не подойдёт
Задумка заказчика состоит в том, что пользователь может с какого-то другого компа зайти, но принести с собой флешку
   Cyberhawk
 
16 - 15.02.18 - 15:29
(15) С клиентскими SSL-сертификатами (для HTTPS) платформа не ниже 8.3.9 нормально работает (режим совместимости не влияет), учти
   Базис
 
17 - 15.02.18 - 15:48
Использованную карточку из общественного транспорта, считыватель стандарта mifare и готовое решение с ИС.

Модель угрозы и квалификация возможного взломщика (или бюджет взлома) какие?
   kossmatiy
 
18 - 15.02.18 - 15:56
Формируй сертификаты используя ид флешки и учетные данные пользователя. А при старте 1с проверяй все съемные носители на наличие сертификата в корне диска. Можно это делать с какой то периодичностью.
   XMMS
 
19 - 15.02.18 - 16:08
Если замечали - в сбере так работает.
Раньше у них были магнитные домофонные ключи(ну такого типа), теперь вроде пластиковые магнитные карты. При операциях требуется авторизация.
И, кстати, нужная вещь - они там между рабочими местами ходят совершенно свободно. То кто-то не справился, и операцию приходит проводить другой сотрудник.
   AlexRevolt
 
20 - 15.02.18 - 17:41
(18) А вот это уже звучит очень похоже на то, что хотят

Из веб-клиента возможно проверять съёмные носители?
   Cyberhawk
 
21 - 15.02.18 - 17:48
(20) Держи карман шире :) Если бы браузеры такое умели, это был бы ахтунг
   AlexRevolt
 
22 - 15.02.18 - 17:51
(21) А надежда была так близка(


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Тема не обновлялась длительное время, и была помечена как архивная. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует