- Cell Phones 609
- Editors 247
- Education, Science & Engineering 289
- Games 1650
- Internet 544
- Stock Market 15
- Web Design 88
- Scripts 354
- Miscellaneous 87
- Mobile Software 26
- Multimedia & Graphics 1036
- PC 389
- Programming 345
- Security 1319
- SEO 60
- Utilities 832
eSSL - клиент для безопасного доступа к интерфейсам платёжных систем
Uploaded: 03.10.2004
Content: essl.exe 59,08 kB
Product description
Данная разработка представляет собой модуль, написанный на языке perl, и предназначенный для организации БЕЗОПАСНОГО доступа к серверам платёжных систем из Ваших программ. Опыт эксплуатации данной библиотеки в системах iXCHANGER™ показал её высокую надёжность и удобство в применении.
ПРОБЛЕМА:
Как известно, наиболее распространённые open-source решения (модуль Net::SSLeay и основанные на нём SSL-функции модуля LWP) НЕ ПРЕДОСТАВЛЯЮТ функций проверки серверного сертификата перед отправкой информации по протоколу SSL. Это представляет достаточно серьёзную УГРОЗУ безопасности транзакций, т.к. путём нескольких нехитрых операций можно перенаправить траффик Вашей системы с сайта платёжной системы на сервер злоумышленника и произвести кражу ценной информации. Например, для скриптов, взаимодействующих с платёжной системой e-gold (казино, обменники, процессинговые системы) таким образом можно произвести КРАЖУ ОСНОВНОГО ПАРОЛЯ с последующим входом в аккаунт и КРАЖЕЙ ВСЕХ ДЕНЕГ, что уже наблюдалось нами на практике.
ПРИМЕЧАНИЕ: По нашим оценкам, ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО автоматических обменных пунктов имеют подобную УЯЗВИМОСТЬ, что и становится одной из причин частых ВЗЛОМОВ обменников.
РЕШЕНИЕ:
Нами разработан модуль eSSL, представляющий собой БЕЗОПАСНЫЙ SSL-клиент, производящий ПРОВЕРКУ серверного сертификата ПЕРЕД соединением. Его преимущества:
- перед соединением с сайтом производится сверка сертификата сервера с эталонным сертификатом, хранящимся на Вашем сервере. В случае несовпадения (в результате перехвата траффика, использования "троянов", подмены ДНС и т.д.) попытка соединения блокируется;
- перед соединением производится проверка совпадения IP-адреса, возвращённого ДНС, и эталонного IP-адреса. В случае несовпадения (в результате атаки на ДНС) попытка соединения также блокируется;
- ведётся подобный журнал (log) соединений по протоколу SSL, в т.ч. возможна запись всего траффика.
Таким образом, используя данный модуль Вы обезопасите себя от большинства угроз, связанных с перехватом контрольной информации между Вашей системой и серверами платёжных систем.
ЗАВИСИМОСТИ:
Данная библиотека требует установки следующих модулей perl:
Socket
Net::SSLeay
Эти модули Вы можете найти на CPAN.org
УСТАНОВКА И ВНЕДРЕНИЕ:
Данный модуль предназначена для внедрения в Ваши программы на языке perl. Для того, чтобы использовать его, добавьте файлы из данного архива в каталог с Вашими скриптами, выставьте соответствующие права и добавьте в файлы скриптов, из которых предполагается вызов функций модуля следующую строку:
require "essl.pm";
Вместо "essl.pm" желательно указывать полный путь до файла на сервере.
В каталоге logs находится файл essl.log, в который производится запись журнала соединений. Вы можете перенести его в любое место на сервере, поменяв $essl_log_path в настройках модуля.
В файле certs/certs.pem находятся эталонные сертификаты в формате PEM. Его также можно перенести в любое место / переименовать, изменив $cert_file в настройках модуля.
ПРИМЕЧАНИЕ: Чтобы перекодировать файл с сертификатом из кодировки DER (например, сохранённого из MSIE в файл) следует (при установленном OpenSSL) дать такую команду:
openssl x509 -inform DER -outform PEM -in file.cer -out file.pem
Где file.cer - файл сертификата в формате DER, file.pem - результатирующий файл сертификата в формате PEM, содержимое которого потом следует добавить в файл certs.pem.
В комплекте поставки данного скрипта уже сохранены соотв. эталонные сертификаты WebMoney и e-gold.
ФУНКЦИИ:
(подробное описание в архиве)
ЗАПРОС HTTPS GET
=================
($page, $response, $headers, $server_cert) = eSSL::get($site, $port, $path, $wanted_ip, $content, $mime_type, $crt_path, $key_path);
ЗАПРОС HTTPS POST
==================
($page, $response, $headers, $server_cert) = eSSL::post($site, $port, $path, $wanted_ip, $content, $mime_type, $crt_path, $key_path);
Additional information
ПРАВА:
ДАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ НЕ ПРОДАЁТСЯ, А ЛИЦЕНЗИРУЕТСЯ. ОБЪЁМ ЛИЦЕНЗИИ ПРЕДПОЛАГАЕТ ИСПОЛЬЗОВАНИЕ В НЕОГРАНИЧЕННОМ КОЛИЧЕСТВЕ ПРИЛОЖЕНИЙ НА ОДНОМ ХОСТЕ (КОМПЬЮТЕРЕ, ИМЕЮЩЕМ ПОСТОЯННЫЙ ДОСТУП К СЕТИ ИНТЕРНЕТ). ПРОДАЖА, СДАЧА В АРЕНДУ, ПУБЛИКАЦИЯ И ИНЫЕ ФОРМЫ ПЕРЕУСТУПКИ ПРАВ ПО ДАННОМУ СОГЛАШЕНИЮ ЗАПРЕЩЕНЫ. ЛЮБОЕ ИСПОЛЬЗОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ОТЛИЧНОЕ ОТ ВЫШЕОПИСАННОГО ДОЛЖНО ОГОВАРИВАТЬСЯ С ПРАВООБЛАДАТЕЛЕМ ОТДЕЛЬНО. В СЛУЧАЕ НАРУШЕНИЯ УСЛОВИЙ ДАННОГО СОГЛАШЕНИЯ ПРАВООБЛАДАТЕЛЬ ОСТАВЛЯЕТ ЗА СОБОЙ ВОЗМОЖНОСТЬ ПРИВЛЕЧЕНИЯ НАРУШИТЕЛЯ К УГОЛОВНОЙ, ГРАЖДАНСКОЙ И ИНЫМ ВИДАМ ОТВЕТСТВЕННОСТИ.
ОТКАЗ ОТ ГАРАНТИЙ:
ДАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ РАССМАТРИВАЕТСЯ НАМИ КАК НАДЁЖНОЕ. ОДНАКО МЫ ПРЕДОСТАВЛЯЕМ ЕГО НА УСЛОВИЯХ "КАК ЕСТЬ", СО ВСЕМИ ПРИСУТСТВУЮЩИМИ И ВОЗМОЖНЫМИ НЕИСПРАВНОСТЯМИ, И ОТКАЗЫВАЮТСЯ ОТ ЛЮБЫХ ДРУГИХ СВЯЗАННЫХ С НИМИ ГАРАНТИЙ, ОБЯЗАТЕЛЬСТВ И УСЛОВИЙ, КАК ЯВНЫХ, ТАК И ПОДРАЗУМЕВАЕМЫХ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ЛЮБЫЕ ВОЗМОЖНЫЕ ГАРАНТИИ В ОТНОШЕНИИ ПРИГОДНОСТИ ДЛЯ ИСПОЛЬЗОВАНИЯ, ПРИГОДНОСТИ ДЛЯ ОПРЕДЕЛЕННОЙ ЦЕЛИ, ОТСУТСТВИЯ ОШИБОК, ТОЧНОСТИ ИЛИ ПОЛНОТЫ ФУНКЦИЙ И РЕЗУЛЬТАТОВ ИХ РАБОТЫ, ОТСУТСТВИЯ НЕБРЕЖНОСТИ. ТАКЖЕ НЕ ПРЕДОСТАВЛЯЮТСЯ ГАРАНТИИ, НЕ ПРИНИМАЮТСЯ ОБЯЗАТЕЛЬСТВА ПО СОХРАНЕНИЮ СОБСТВЕННОСТИ, СПОКОЙНОМУ ВЛАДЕНИЮ И СПОКОЙНОМУ ПРАВООБЛАДАНИЮ, СООТВЕТСТВИЯ ОПИСАНИЮ И НЕНАРУШЕНИЯ ЧЬИХ-ЛИБО ПРАВ. ВЫ ПРИНИМАЕТЕ НА СЕБЯ ВЕСЬ РИСК, СВЯЗАННЫЙ С ИСПОЛЬЗОВАНИЕМ ИЛИ КАЧЕСТВОМ РАБОТЫ ПРИОБРЕТАЕМОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.
КОНТАКТНЫЕ ДАННЫЕ:
По всем вопросам, связанным с данным ПО обращайтесь:
iXCHANGER.net Services
boss@kemtel.ru
http://www.ixchanger.net
ICQ UIN: 154948543
Feedback
0Period | |||
1 month | 3 months | 12 months | |
0 | 0 | 0 | |
0 | 0 | 0 |