Bezpieczeństwo

Bezpieczeństwo

Wraz z wciąż rozwijającą się gałęzią naszych produktów dostępnych przez WWW, chciałbym Państwa uczulić na pewne aspekty związane z bezpieczeństwem w trakcie korzystania z aplikacji internetowych. Dziś poruszyć chciałem dwie kwestie, które mogą znacząco zwiększyć pewność siebie użytkowników, a przez to ich chęć do korzystania z wdrażanych w urzędach programów. Chodzi mi mianowicie o zapewnienie adresu domenowego oraz szyfrowanie komunikacji przy wykorzystaniu zaufanego certyfikatu. Wpis ten skierowany jest w głównej mierze do osób odpowiedzialnych w urzędzie za obsługę informatyczną, ale starałem się tak go napisać, żeby dotrzeć do jak najszerszego grona.

Domena internetowa to nic innego jak nazwa aplikacji, pod którą można ją wyszukać w sieci Internet i którą wprowadza się w pasku adresu przeglądarki w celu uruchomienia tej aplikacji. Na schemacie, wygląda to następująco:

  • <protokół>://<nazwa_aplikacji>.<domena>

Za przykład niech posłuży nam wdrożenie GEO-INFO 7 i.Kerg w powiecie będzińskim, który można odnaleźć pod adresem:

W tym wypadku domeną jest fragment .powiat.bedzin.pl.

Dlaczego jest to takie ważne? Przede wszystkim pozwala łatwo odszukać daną stronę w Internecie. Strona bez zdefiniowanej domeny jest dużo trudniejsza w lokalizacji, z tego względu, że trzeba wówczas pamiętać jej tzw. adres IP, złożony z czterech liczb oddzielonych kropkami. W ten sposób dużo łatwiej o pomyłkę i w efekcie można trafić pod inny (potencjalnie niebezpieczny) adres. W naszym przykładzie z powiatem będzińskim, ten sam program znaleźć można również pod następującym adresem:

Co jeszcze daje domena? Adres domenowy będzie też łatwiejszy do zindeksowania przez wyszukiwarki internetowe (z których najbardziej znaną jest Google), a przez to później łatwiej będzie użytkownikom odnaleźć go przez taką wyszukiwarkę. Ponadto taki adres zwiększa pewność siebie użytkowników - dużo większym zaufaniem darzy się stronę, która ma w adresie słowo "Będzin" niż taką, w której są tylko liczby z adresu IP. Osobiście nie miałbym dużego przekonania do aplikacji dostępnej jedynie pod adresem IP, zwłaszcza w kontekście uruchomionego mechanizmu płatności elektronicznej.

Podsumowując zalety adresu domenowego w punktach:

Łatwiejszy dostęp
Łatwiejsze wyszukiwanie
Większe bezpieczeństwo

Drugim zagadnieniem na dziś jest certyfikat bezpieczeństwa aplikacji. W klasycznym przypadku komunikacja pomiędzy przeglądarką a serwerem jest nieszyfrowana i odbywa się poprzez protokół HTTP. Zwracam uwagę, że w takim wypadku nieszyfrowane są także informacje potrzebne do uwierzytelnienia - login i hasło. Z tego powodu standardem jest uruchamianie aplikacji w trybie szyfrowanym - wówczas transmisja odbywa się poprzez protokół HTTPS (S - secure, czyli bezpieczny). W takim przypadku serwer i przeglądarka szyfrują za pomocą wspólnego certyfikatu wszystkie komunikaty.

Pytanie, skąd brać taki certyfikat. Najprostszą metodą jest wygenerowanie go samemu na dowolnym komputerze i wgranie na serwer, aby był dostępny dla przeglądarek. Niestety, w takim wypadku - wystawiając certyfikat sami dla siebie - nie jesteśmy wiarygodni dla sieci WWW i przeglądarek użytkowników. Taki sam certyfikat mogłaby przecież wygenerować każda inna osoba. Z tego względu powszechną praktyką jest zakup certyfikatu od tzw. centrum certyfikacji. Taki certyfikat jest powszechnie akceptowany i uznawany za bezpieczny.

Powoli dochodząc do końca, chciałem zwrócić uwagę Państwa na fakt, że wybór domeny oraz certyfikatu leży w gestii urzędu. W momencie wdrażania aplikacji, z naszej strony dokładamy wszelkich starań, aby zapewnić jak największy poziom bezpieczeństwa udostępnianych zasobów. Jednak jeśli na etapie uruchomienia aplikacji zabraknie potrzebnej infrastruktury (czyli domeny i certyfikatu), wówczas wystąpią problemy omówione powyżej. Z tego względu uczulam na konieczność dostarczenia obu narzędzi - dzięki temu razem zwiększymy poziom bezpieczeństwa i komfort pracy zarówno od strony urzędu, jak i od strony użytkowników.

 

Hubert Świetlicki
Kierownik działu R&D GEO-INFO i.Apps