Безопасность

RedHelper – онлайн виджет, требующий особого подхода к безопасности, т.к. связан с личными данными пользователя. Поэтому мы уделяем особое внимание безопасности нашего продукта и добились в этом отличных результатов. В этой статье будет рассказано о том, как обеспечивается защита данных в виджете на сайте, приложении оператора и серверной части.

Безопасность виджета

Безопасность виджета RedHelper, который видят посетители сайтов, заключается в том, что он загружается через <iframe>. Iframe можно сравнить с посольством какого-либо государства на территории другой страны. Какие бы страшные законы и обычаи не действовали в этой стране – на территории посольства действуют законы той страны, которой оно принадлежит. Точно так же для iframe виджета RedHelper абсолютно не важно, что происходит на сайте и какие угрозы на нем присутствуют, все данные пользователя вводятся только в защищенный виджет. Далее вступает в действие безопасность серверной части.

Безопасность серверной части

RedHelper защищен по высшей категории от всех имеющихся угроз. Это подтверждается постоянно проводимыми аудитами компаниями по интернет-безопасности. Всего есть 5 типов интернет-угроз, которым в принципе подвержен онлайн-консультант RedHelper.

MITM - Man in the Middle – Человек посередине

Ситуация, когда злоумышленник способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале. Ближайший аналог – прослушка телефона.

Защита от этого – защищенный https-протокол с обязательным ssl-шифрованием вне зависимости от того, как прописано подключение скрипта (https или http в src установленного на сайт скрипта). RedHelper использует SSL-сертификат Comodo – это один из самых защищенных сертификатов в мире.

Рассмотрим на простом примере, как это работает на примере отправки посылки Почтой России. Допустим, Вам необходимо отправить посылку своему клиенту. Вы идете на почту, упаковываете посылку, и, подозревая почтальона Печкина в нечестной игре, вешаете замок на посылку. Ключ, при этом, у Вас. Печкин срежещет зубами, но доставляет посылку адресату. Который тоже не может открыть посылку, т.к. у него нет ключа. Тогда он вешает на нее второй замок, от которого у него есть ключ, и отсылает ее обратно отправителю. Печкин видя, что теперь на посылке аж два замка, горюет, но доставляет посылку обратно. Где отправитель снимает первый замок, и снова заставляет Печкина отнести посылку адресату. Получив во второй раз посылку, адресат открывает ее своим ключом. Вуаля – посылка доставлена без потерь.

SQL-injection - Внедрение SQL-кода

Один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Защита RedHelper в данном случае заключается в том, что любой исполняемый код, который попытается передать злоумышленник, будет преобразован в текст, без возможности его исполнения.

XSS – cross site scripting - межсайтовый скриптинг

Тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Защита от него точно такая же, как и от SQL-injection – все необходимые для работы приложения, виджета и серверной части данные передаются в виде текста, без возможности исполнения команд.

XSRF - Сross Site Request Forgery - Межсайтовая подделка запроса

Вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер RedHelper), осуществляющий некую вредоносную операцию (например, удаление аккаунта или смена пароля). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом. Именно в этом и заключается защита RedHelper – любое действие, которое может привести к нежелательным последствиям, требует подтверждения со стороны пользователя. Кроме того системой генерируются секретные ключи для проверки запросов.

Безопасность приложения оператора

Приложение так же защищено максимально возможным образом. Доступ приложению осуществляется через учетную запись operator_login@xmpp.redhelper.ru, где operator_login – логин оператора. Авторизация происходит по ssl-зашифрованному каналу, пароль передается в md5 (зашифрованный вариант). Таким образом злоумышленнику не удастся получить доступ к приложению без ведома оператора.

Заключение

Безопасность RedHelper неоднократно подтверждалась аудитами от независимых компаний. Наши специалисты постоянно своевременно предпринимают необходимые меры по улучшению безопасности – регулярно обновляют программное обеспечение и сертификаты безопасности, отслеживают все возможные варианты взлома системы и вводят новые степени защиты. На данный момент – онлайн-консультант RedHelper является одной из наиболее защищенных систем онлайн-консультирования.

Помощь
Вы всегда можете обратиться за помощью к нашим специалистам. Для вас доступны:

  • онлайн-чат и бесплатный обратный звонок на сайте RedHelper.ru
  • телефон +7 (495) 212 92 57
  • почта info@redhelper.ru
Еще есть вопросы? Отправить запрос
На базе технологии Zendesk