Плагин недоступен. авторизация по сертификату невозможна в госуслугах

Свойства

Разгребая говны.

Вообще настоятельно рекомендую воспользоваться инструкциями с Закупок там настройки весьма похожи плюс есть Крипто про нормальный. Ключ активации криптопро подходит от четвертого, обязательно проверьте активацию, а то внезапно слетит через три месяца. Поверх 3.6 не ставиться Криптопро 4.0.9944, выдает какую-то идиотскую ошибку типа не найден файл. Обязательно обновляем криптопро эцп browser plug-in. В документации с закупок узнаем, что надо отключить: Сервис — Свойства браузера — ДополнительноИспользовать TLS 1.1Использовать TLS 1.2. Не надо отключать TLS 1.0, тогда версия Криптопро 4.0.9842 не будет выключать компьютер. В случае с версией 4.0.9944 верните галочки как было, может оно где еще понадобится (там же в инструкциях упоминается в Крипто-Про включить режим усиленного контроля использования ключей, у меня все и без него завелось). 

Для 4.0.9944 убирать не надо

Но и это еще не все. Мы только зашли, подписать возможно не выйдет. Версия 4.0.9842 выдаст ошибку при подписании документов типа — ошибка обращения к контейнеру закрытого ключа (заборол только обновлением до исправленной версии). И наконец rosim.ru с Криптопро 4.0.9944 уже даже призывно манит выбором сертификата пользователя при подписании, но выдает ошибку — ошибка при вызове криптоплагина. signhash error. Это результат того что у вас подпись еще по Гост 2001, на сколько понял с 4го Крипто с таким не особо работает. Решение с zakupki.gov.ru рабочее. Если у вас все подписи по Гост 2012, возможно все норм и ничего делать не надо.

На этом у меня все заработало. Заодно и Закупки пересадились на новый гост и я пошатываясь ушел в закат.

В общем и целом порадовали те кто занимаются zakupki.gov.ru, пользуясь их инструкциями реально можно многое решить, плюс достаточно адекватно складывают руководство софт и сертификаты необходимые для настройки. Правда инфу про то что 4 версия Крипто-про не работает с подписями Гост 2001 я во второй раз еле нашел. На Росимуществе же класть хотели на поддержку системы, инструкции не обновляются, на форуме тухляк с миллионом вопросов в никуда. Шлем им дружно тугую струю ненависти в карму.

Инфа актуальна на март 2019.

Open redirect attacks

Будьте аккуратнее с редиректами. Следующий код очень опасен:

Атакующий может добавить ссылку на свой сайт. А пользователь же, увидев, что URL начинается с хорошего сайта, может не рассматривать адрес полностью (особенно если он длинный) а кликнуть ссылку, таким образом перейдя на вредный сайт с вашего. Эта уязвимость может использоваться в частности для фишинга. Пример фишинговой ссылки:http://www.goodwebsite.com/Redirect?url=http://www.goodweebsite.com

Этот вид атак касается и MVC. В следующем примере происходит проверка на то является ли ссылка локальной:

Для защиты от этого типа атак можно использовать и вспомогательный метод LocalRedirect

Вообще, старайтесь никогда не доверять полученным данным.

Этап 1. Установка и настройка Java

Стоит отметить, что это необходимый инструмент. Но также учтите, что далеко не каждая версия подойдет. Профессионалы рекомендуют использовать для таких нужд Java 7.67. Именно эта версия работает так, как нужно.

Но ее нужно еще найти, скачать и установить. А также запретить обновляться. Для этого и понадобится подробная инструкция с четким алгоритмом действий. Нужно точно ей следовать, иначе из нашей задумки ничего не получится.

1. Скачиваем установочный пакет Java по этому адресу.
2. Дожидаемся  завершения загрузки и запускаем «Проводник Windows». Находим там только что скачанный файл и запускаем его двойным кликом.
3. Далее следуем указаниям мастера установки.

Теперь нужная версия Java установлена. Половина работы сделана. Но нужно еще запретить этому компоненту обновляться для того, чтобы вся наша система не вышла из строя. И делать это лучше при помощи инструментов Windows. Вот инструкция:

1. Нажимаем на клавиатуре сочетание Win + R и вызываем инструмент «Выполнить». В соответствующую строку вводим и жмем «ОК» .
2. Запускается редактор реестра. В адресной строке сверху прописываем путь и жмем Enter.
3. Находим в списке записей ключ с именем «EnableJavaUpdate» и запускаем его двойным кликом.
4. Меняем в соответствующей графе значение с «1» на «0» и жмем кнопку «ОК».
5. Закрываем редактор реестра и перезагружаем машину.

Вот теперь установка и настройка необходимой версии Java завершена. Об этом компоненте можно уже не волноваться. Теперь стоит озаботиться «правильной» версией Mozilla Firefox. Здесь тоже не без сюрпризов.

Добавление домена в зоне РФ в Яндекс.Маркет

Ну для начала один большой косяк с дветысячи лохматого года, который яндекс так и не удосужился решить. Маркет до сих пор не принимает сайты в доменной зоне РФ. Хоть puny-код, хоть чего — «технически невозможно» пишет техподдержка маркета. Но добавляться как-то надо. Решение есть.

Заводим домен в зоне ru. Скажем у нас есть ОЙ-КАКОЙ.РФ, делаем что-то созвучное (хотя и не обязательно), пусть OI-KAKOI.ru. Регистрируем, указываем те же нейм-серверы у регистратора, что и основной в зоне РФ. Далее добавляем домен ru АЛИАСОМ для РФ. В каждой панели это делается по разному. Вот решение для ISP менеджера:

1. Заходим в Веб-домены. 2. Выбираем ОЙ-КАКОЙ.РФ 3. В поле псевдонимы пишем OI-KAKOI.ru

После того как ваш прайс-лист будет доступен на новом домене делаем вот такой скрипт price_for_ya_market.php. Он конвертирует урлы ОЙ-КАКОЙ.РФ в OI-KAKOI.ru. Более ни для чего и не нужен

http://xn—-oi-kakoi.xn--p1ai.xn--p1ai/ !si’,’ http://OI-KAKOI.ru/ ’,$contents); // замена главного урла $contents=preg_replace(‘!http://xn—-oi-kakoi.xn--p1ai.xn--p1ai!si’,’http://OI-KAKOI.ru’,$contents); echo $contents; ?>

Проверяем, что все работает как надо. Добавляем сайт в зоне ru в маркет. Процедура стандартна.

Самые страшные ошибки конфигурирования

Хранение строки подключения к базе данных

Если вы работаете в полноценном ASP.NET, то лучший вариант хранения строки подключения это web.config файл. Причем храните строку не в открытом виде, а в зашифрованном. Сделать это можно с помощью утилиты aspnet_regiis.exe Самый простой вариант — это запустить Developer Command Prompt в режиме администратора и выполнить команду

2 параметра команды это раздел который необходимо зашифровать (в данном случае connectionStrings) и путь к директории в которой находится файл web.config

Если вы работаете в ASP.NET Core, то вы можете использовать Secret Manager tool для хранения строк во время процесса разработки.
Никакого готового варианта для production для .NET Core пока что нет. Но если вы хостите приложение в Azure, то можете сохранить конфиденциальную информацию в параметрах приложения

При этом саму строку подключения вы можете вынести в отдельный файл. Из соображений безопасности этот файл лучше исключить из системы контроля версий.

Таким же образом можно вынести и конфиденциальные параметры:

В самом файле необходимо просто указать то содержимое, которое было бы использовано в качестве содержимого тегов.

Скрытие сообщений об ошибке

Возможно вы видели когда-либо «желтый экран смерти» с текстом кода, в котором возникла ошибка. Я не случайно поместил эту рекомендацию сразу после строки подключения. Тем нагляднее будет пример в котором злоумышленник может искусственным образом создать ошибку и получить какую-либо полезную для себя информацию. В идеальном случае это может быть строка подключения. Иногда даже мелочь может сократить время поиска уязвимостей сайта. Если у вас классическое приложение ASP.NET, то в web.config режим CustomErrors обязательно оставляем On или хотя бы RemoteOnly:

В ASP.NET Core можно разделить отображение для режима разработки и для продакшн с помощью NuGet пакета Microsoft.AspNetCore.Diagnostics. Например, для настройки отображения сообщения об ошибке в метод Configure класса StartUp можно добавить:

Еще несколько ошибок конфигурирования web.config

Если вдруг у вас в web.config случайно попали настройки трейсинга или дебага, то на продакшен сервере обязательно ставим значения false.

Для того, чтобы взломщик не смог получить доступ к файлу куки (скажем, с помощью XSS или каким-нибудь другим способом), необходимо чтобы значением следующего параметра было true

Broken Authentication and Session Management

Для хранения паролей и другой конфиденциальной информации используйте только стойкие хаши с salt. OWASP рекомендует Argon2, PBKDF2, scrypt and bcrypt.

Используйте Forms authentication только для интранет сайтов. Если вы хотите использовать аутентификацию в веб, то переходите на Identity.

Если вы уже используете Identity с ASP.NET Core приложением, то вы можете ограничить число попыток ввода пароля добавив в метод ConfigureServices файла Startup.cs следующий код:

Если вы разрешаете пользователю отредактировать какие-то его данные, то проверяйте редактирует ли он свои данные (помним о том, что полученным данным не стоит доверять):

Как устранить ошибку при переходе на защищенный сайт?

В большинстве случаев пользователь сталкивается с ошибкой при установлении защищенного подключения при переходе на защищенный сайт.

О том, что сайт защищен, пользователю может говорить «https» в адресной строке перед названием самого сайта.

Если вы столкнулись с сообщением «Ошибка при установлении защищенного соединения», то под ним вы сможете увидеть разъяснение причины возникновения проблемы.

Причина 1: Сертификат не будет действителен до даты

При переходе на защищенный веб-сайт Mozilla Firefox в обязательном порядке проверяет у сайта наличие сертификатов, которые позволят быть уверенным в том, что ваши данные будут передаваться только туда, куда они были предназначены.

Как правило, подобного типа ошибка говорит о том, что на вашем компьютере установлены неправильные дата и время.

В данном случае вам потребуется изменить дату и время. Для этого щелкните в правом нижнем углу по иконке даты и в отобразившемся окне выберите пункт «Параметры даты и времени».

На экране отобразится окно, в котором рекомендуется активировать пункт «Установить время автоматически», тогда система самостоятельно установит верные дату и время.

Причина 2: Сертификат истек

Эта ошибка как также может говорить о неправильно установленном времени, так и может являться верным знаком того, что сайт все-таки вовремя не обновил свои сертификаты.

Если дата и время установлены на вашем компьютере, то, вероятно, проблема в сайте, и пока он не обновит сертификаты, доступ к сайту может быть получен только путем добавления в исключения, который описан ближе к концу статьи.

Причина 3: к сертификату нет доверия, так как сертификат его издателя неизвестен

Подобная ошибка может возникнуть в двух случаях: сайту действительно не стоит доверять, или же проблема заключается в файле cert8.db, расположенном в папке профиля Firefox, который был поврежден.

Если вы уверены в безопасности сайта, то, вероятно, проблема все же заключается в поврежденном файле. И чтобы решить проблему, потребуется, чтобы Mozilla Firefox создала новый такой файл, а значит, необходимо удалить старую версию.

Чтобы попасть в папку профиля, щелкните по кнопке меню Firefox и в отобразившемся окне щелкните по иконке со знаком вопроса.

В той же области окна отобразится дополнительное меню, в котором потребуется щелкнуть по пункту «Информация для решения проблем».

В открывшемся окне щелкните по кнопке «Показать папку».

После того, как на экране появится папка профиля, необходимо закрыть Mozilla Firefox. Для этого щелкните по кнопке меню браузера и в отобразившемся окне кликните по кнопке «Выход».

Теперь вернемся к папке профиля. Найдите в ней файл cert8.db, щелкните по нему правой кнопкой мыши и выберите пункт «Удалить».

Как только файл будет удален, можете закрыть папку профиля и снова запустить Firefox.

Причина 4: к сертификату нет доверия, т.к. отсутствует цепочка сертификатов

Подобная ошибка возникает, как привило, из-за антивирусов, в которых активирована функция SSL-сканирования. Перейдите в настройки антивируса и отключите функцию сетевого (SSL) сканирования.

Для продолжения требуется криптокомпонент госуслуги

1. Нажмите кнопку «Очистить историю посещений».
2. Поставьте галочки напротив нужных пунктов (см. скриншот).
3. Очистка браузера Mozilla Firefox

• Нажмите сочетание клавиш Ctrl + Shift + Del.
• В выпадающем списке выберите период, за который необходимо удалить файлы. В нашем случае это «Все».
• Поставьте галочки напротив нужных пунктов (см.

скриншот).

Нажмите кнопку «Удалить сейчас».

Даже если вы решили просто почистить кэш и cookie у вашего основного браузера, и ваша проблема не решилась, есть смысл использовать другой браузер. Возможно, в вашем интернет-обозревателе произошли обновления, которые сейчас не позволяют корректно работать с порталом Госуслуг. В таком случае простая очистка истории не поможет вам.

А вот использование другого браузера повысит вероятность решения проблемы. Установка плагина для юридических лиц является обязательной настройкой браузера для корректной работы с Госуслугами и электронной подписью. Проблема может заключаться в неустановленном плагине, некорректно работающем плагине, антивирусной системе компьютера и т.

п. А для ЕПГУ необходима квалифицированная электронная подпись, так как, с помощью ЕПГУ можно производить значимые юридические операции. Госуслуги, которые становятся доступнее и проще для физических лиц, которые имеют электронную подпись: повторное получение паспорта гражданина РФ; получение ИНН; получение загранпаспорта; открытие частного предпринимательства; регистрация

Как получить электронную подпись для сайта Госуслуги

При совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, а также при совершении иных юридически значимых действий через интернет используется электронная цифровая подпись (ЭП или ЭЦП).

По сути электронная подпись является аналогом собственноручной подписи.

Отличие лишь в том, что ЭЦП помогает подписывать любые цифровые документы. Активно цифровая подпись используется на портале «Госуслуги».

С помощью ЭЦП можно , а также использовать её с целью получения различных государственных и муниципальных онлайн-услуг.

В связи с этим перед многими пользователями портала возникает необходимость выяснить, как получить электронную подпись для сайта Госуслуги.

Способ получения электронной подписи будет зависеть от её вида.

Если цель создания ЭЦП заключается в том, чтобы существенно ускорить процесс получения государственных услуг за счет отсутствия необходимости

Подготовка

Итак, пользователи будут храниться в базе, так что добавим в проект зависимости для работы с базой.

Maven-зависимость

Во-первых, это стартер для работы с базой через JPA:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>

Во-вторых,  In-Memory база данных H2 (она удобна для учебных примеров, поскольку не нужно ставить на компьютер реальную базу):

<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <scope>runtime</scope>
    <version>1.4.199</version>
</dependency>

Модель пользователя

Пусть пользователь содержит логин, пароль, роль и еще, к примеру, должность:

@Entity
public class MyUser {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    long id;
    private String login;
    private String password;
    private String position;
    private String role;

    //сеттеры/геттеры
}

Репозиторий

Пропишем в репозитории метод, который понадобится в дальнейшем:

@Repository
public interface MyUserRepository extends JpaRepository<MyUser, Long> {
    MyUser findByLogin(String login);
}

Схема и данные

Наконец, заполним базу парой пользователей с помощью data.sql (этот файл надо положить в папку resources):

insert into my_user(login, position, password, role) values('user', 'position1', 'password', 'USER');
insert into my_user( login, position, password, role) values('admin', 'position2', 'password', 'ADMIN');

Чтобы на старте приложения таблица создавалась на основе помеченным аннотацией @Entity класса MyUser, а sql-код из data.sql запускался, поставим такие настройки в application.yml:

spring:
  jpa:
    hibernate:
      ddl-auto: create
      show-sql: true
  datasource:
    initialization-mode: always

Все готово для реализации пользовательской аутентификации.

Authentication and Authorization

Authentication and Authorization are often used in conjunction because they play an essential, and equally important, role when it comes to granting access to the system.

However, they have different meanings and apply different constraints when validating a request:

• Authentication – precedes Authorization; it’s about validating the received credentials; it’s where we verify that both username and password match the ones that our application recognizes
• Authorization –it’s about verifying if the successfully authenticated user has permissions to access a certain functionality of the application

We can customize both authentication and authorization failures handling, however, in this application, we’re going to focus on authentication failures.