Ввести идентификатор получателя с паролем для данного вида документов.
Ограничения доступа в WWW серверах
Защита WEB-серверов
Сервер Web организации обеспечивает ее присутствие в Internet. Однако распространяемые этим сервером данные могут содержать сведения частного характера, не предназначенные для чужих глаз.
Очевидно, что серверы Web защищены далеко не так надежно, как хотелось бы. В некоторых простых случаях все дело в незаметных, но небезопасных огрехах в сценариях CGI. В других ситуациях угрозу представляет недостаточная защита операционной системы хоста.
Лучшие варианты защиты:
Ø Размещение сервера Web в его собственной сет;
Ø Запрет внешних соединений или ограничение доступа к внутренним серверам;
Ø Разграничение доступа к объектам Web-сервиса.
В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности - HTML-файлы, CGI-процедуры и т.п.
Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.
В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.
Ø Регулярный анализ регистрационной информации;
Ø Максимальное упрощение.
Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии - упорядочены в соответствии со служебными обязанностями.
Ø Минимизировать объем информации о сервере, которую могут получить пользователи.
Многие серверы в случае обращения по имени каталога и отсутствия файла index.HTML в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода “дополнительные возможности” целесообразно отключать.
Рассмотрим два из них:
• Ограничить доступ по IP адресам клиентских машин;
Ø Ограничения по IP адресам:
Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
Ø Ограничения по идентификатору получателя:
Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.
Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.
Рис.9 Пример списка вестников издательства
Выберем Вестник предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение:
Рис.10 Окно ввода пароля
Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае - получает сообщение:
Рис.11. Окно неправильного ввода пароля