Всем привет!

Есть полностью самописная конфа серверная, пользователи будут подключаться через веб-клиент. У пользователей будет что-то вроде уникальной флешки в компах, етокена и т.д. там будет что-то вроде сертификата записанного, заказчик ещё не определился.

Суть задачи, при проведении определённого документа необходимо проверять соответствует ли пользователь, который проводит документ, его уникальной флешки (етокена и т.д.), и если да, то документ проводится.

Не могу сообразить в какую сторону хотя бы капать, чтобы сваять что-то подобное. Подскажите, пожалуйста!=)

Не "капать", а "копать"

Вообще-то подобное давно уже разжевано. К примеру можно залезть на сайт алладина и найти там документацию. Или у мультисофта посмотреть.

У нас проще - пользователь сканирует свой бейдж (со штрихкодом).

Пользователя достаточно проверить один раз при входе в систему, а документы открывать для редактирования только при наличии прав на этот документ. Например, если он автор или входит в список "посвящённых".

(4) в том то и дело, что надо двойная проверка.
Непосредственно пользователя базы 1С
Но так как заказчик рассматривает вероятность, что данные для входа пользователя могу быть украдены, случайно кому-то сообщили, либо подобраны перебором, то и вариант запроса ввода какого-то второго пароля на проверку при непосредственно проводкой документа отпадает.

А вот ключ защиты, который будет физическим предметом (флешка), уже устраивает, типа даже если смогут попасть в 1С под чужим пользователем, то его уникальный ключ защиты не получат, разве что флешку украдут как-то, но тут уже будет на полной ответственности пользователя этой флешки тогда, типа сам недосмотрел за флешкой.

(3) штрихкод типа тоже можно подделать, в этом плане тут большая заморочка.

Вдобавок это тогда ещё сканер штрихкодов каждому пользователю вручить!=)

(2) заходил на сайт алладина, посмотрел там в документации различной, что-то ничего не увидел подходящего по описанию.
Может плохо смотрел.

Можете, пожалуйста, ткнуть прям в какой документ там смотреть и т.д.

Ну так можно заморочится, и установить сканер сетчаки глаза или пальцев при входе

Нужен криптопровайдер и электронная подпись документа,тогда взлетит,посмотрите крипто про или лисси,если денег нет

(8) Это было бы наверное круто, но что-то мне подсказывает, что заказчик не оценит.

(5) >даже если смогут попасть в 1С под чужим пользователем, то его уникальный ключ защиты не получат

Не совсем верный подход. Нужно, чтобы пользователь мог попасть в 1С, только имея И пароль, И аппаратный ключ. Называется двухфакторная аутентификация.

В одной компании реализовали на Rutoken. Правда приложение было не 1С. Веб приложение для внешних пользователей. при масштабе более 10К пользователей работало со скрипом, но в целом работало.

Пусть входят через Гугл Аутентификатор

автор занимается бредом...

поставь для всех юзеров аутентификацию виндовс и скажи, что теперь за безопасность отвечают админы, пусть лепят вход в винду по смарт ключам или по сетчатки глаза или еще как, но это будет уже ИХ забота

ну и кроме того есть

СИ    = Новый СистемнаяИнформация;
Строка(СИ.ИдентификаторКлиента) - однозначно уникальный идентификатор компа+юзера

(14) Касательно "автор занимается бредом... " я бы с удовольствием остановился на двойной проверке пароля и т.д., но заказчик хочет реализацию через какой-то ключ защиты (флешку) и хоть убейся


"Новый СистемнаяИнформация" раньше сталкиваться не приходилось, даже не знал про такую возможность, но также не подойдёт
Задумка заказчика состоит в том, что пользователь может с какого-то другого компа зайти, но принести с собой флешку

(15) С клиентскими SSL-сертификатами (для HTTPS) платформа не ниже 8.3.9 нормально работает (режим совместимости не влияет), учти

Использованную карточку из общественного транспорта, считыватель стандарта mifare и готовое решение с ИС.

Модель угрозы и квалификация возможного взломщика (или бюджет взлома) какие?

Формируй сертификаты используя ид флешки и учетные данные пользователя. А при старте 1с проверяй все съемные носители на наличие сертификата в корне диска. Можно это делать с какой то периодичностью.

Если замечали - в сбере так работает.
Раньше у них были магнитные домофонные ключи(ну такого типа), теперь вроде пластиковые магнитные карты. При операциях требуется авторизация.
И, кстати, нужная вещь - они там между рабочими местами ходят совершенно свободно. То кто-то не справился, и операцию приходит проводить другой сотрудник.

(18) А вот это уже звучит очень похоже на то, что хотят

Из веб-клиента возможно проверять съёмные носители?

(20) Держи карман шире :) Если бы браузеры такое умели, это был бы ахтунг

(21) А надежда была так близка(