Come posso implementare un'area di download sicura su un sito Web che richiede una firma elettronica?

Naviga le tue risposte
7

Per scopi di gestione della qualità, la società per cui lavoro vorrebbe un sistema che richiede a un cliente di leggere una dichiarazione di non responsabilità e quindi fornire un firma elettronica , riconoscendo detto disclaimer, prima di concedere l'accesso a un'area download. Dopo che la dichiarazione di non responsabilità è stata firmata, vorremmo anche un sistema di feedback sotto forma di un'email automatica, che viene rispedita a un indirizzo designato. Sono incompetente in questo dipartimento, quindi mi sto chiedendo quale sia il modo migliore per implementarlo, molto probabilmente meglio lasciato ad un professionista, ma qualsiasi risposta qui sarebbe fantastica!

Avevo immaginato che il processo fosse il seguente: -

  1. La società invia al cliente un numero di pin e un numero di riferimento del progetto che è unico per una particolare area di download (ogni progetto su cui lavoriamo e che intendiamo inviare a un cliente avrebbe in teoria la propria area di download)
  2. Il cliente visita una pagina sul nostro sito Web dove inserisce il numero di riferimento e il numero di pin che gli forniamo, che li porta al suo specifico disclaimer (la dichiarazione di non responsabilità è diversa per ogni progetto)
  3. Il cliente legge la dichiarazione di non responsabilità, firma una firma elettronica fornendo nome, titolo di lavoro e probabilmente altre informazioni ancora da decidere.
  4. Il client ha accesso all'area di download specifica per quel progetto ed è in grado di scaricare i file all'interno.
  5. Una volta firmata la firma elettronica, viene inviata un'email automatica a un indirizzo designato per fornirci conferma e prova dell'accesso del cliente.

Alcune note aggiuntive: -

  • Un sistema basato sul Web sarebbe l'ideale per poter essere integrato nel nostro sito Web: abbiamo impostato il progetto su una pagina web, inserendo i dettagli specifici della dichiarazione di non responsabilità e caricando i file pertinenti.
  • Se il cliente desidera accedere nuovamente all'area del file, deve solo inserire nuovamente il numero di riferimento e il numero del pin che poi ignora il modulo di dichiarazione di non responsabilità. Tuttavia, dobbiamo avere la possibilità di forzare il client a firmare nuovamente se ad esempio aggiorniamo alcuni file nell'area di download.
  • Per evitare il rischio che vengano emessi pin duplicati a causa di errori umani o altro, un certo livello di automazione che fornisce un pin generato casualmente sarebbe ottimo. Potremmo utilizzare un generatore di numeri casuali ogni volta, ma sarebbe utile se il processo fosse semplificato.

Ho trovato il seguente - link - che sembra essere quello che sto cercando, ma ancora una volta, il l'implementazione in un sito Web è oltre me.

    
posta Phizzy 07.01.2016 - 11:26
fonte

2 risposte

2

Vale la pena notare che esistono numerosi servizi online che fanno questo genere di cose. Accellion, LiquidFiles, Dropbox, Box.com e numerosi altri ti garantiscono questo tipo di funzionalità. A seconda del volume e della complessità, potresti anche essere in grado di sfruttare alcuni servizi online orientati al marketing come salesforce.com o hubspot.

Ci sono un migliaio di cose che sbaglia quando provi a farlo da solo. Dovresti assolutamente prendere in considerazione l'iscrizione a un servizio online esistente o l'installazione di software che faccia questo.

    
risposta data 31.01.2016 - 14:20
fonte
1

Quindi ecco un rapido abbozzo di ciò che farei qui.

  1. Assegna a ogni utente un pin sulla registrazione. Assicurati che sia segreto. link Ti dovrebbe dare un buon modo per farlo senza ripetizioni. Assicurati di scegliere un numero sufficientemente grande di cifre!
  2. Avere una pagina con caselle per il numero di riferimento e il pin, insieme a un test di Turing come un CAPTCHA [1] per prevenire la forzatura bruta.
  3. Quando l'utente vuole scaricare un file, presenta una casella ToS con tutti i legalese, quindi ha le caselle per Nome, Titolo lavoro, ecc. Chiedi loro di spuntare la casella.
  4. Come parte della routine di download, cerca l'email e invia una conferma.
  5. Assicurati che non possano forzatamente navigare nel percorso del file. Fai un controllo per assicurarti di aver effettivamente completato il processo cercando ogni volta un token univoco (indicato nei passaggi 1 o 2). Non consentire che questo valore sia riutilizzato.

Per ulteriori informazioni sui grandi problemi dello sviluppo del software, ti consigliamo di leggere l'OWASP Top 10: link

[1]: Si noti che CAPTCHA non è accessibile al W3C. Ulteriori informazioni: link , link

    
risposta data 26.01.2016 - 02:26
fonte

Leggi altre domande sui tag

Quanto posso fidarmi del "factory restore / reset" su un (n) (potenzialmente compromesso) androide? Mega.co.nz utilizza il mio browser per crackare le password?