OFX - Безопасность второго уровня?

Question

Мы работаем над сайтом, который будет использовать стандарт OFX для обеспечения доступа к финансовым данным клиентов. Однако для обеспечения безопасности мы используем секретный вопрос/секретный ответ, теги машин и т. Д. Обеспечивает ли стандарт OFX какие-либо механизмы безопасности помимо простого имени пользователя/пароля? Я взглянул на схему и некоторые примеры данных, но не видел ничего похожего, которое бы соответствовало нашим потребностям. Любой, кто имеет опыт в этой области?

Answer 1

4.1.5 Уровень канала: в целом прозрачный для клиента или сервера, уровень безопасности канала встроен в процесс связи, защищая сообщения между двумя концами «трубы». Чтобы защищать сообщения при транспортировке HTTP, клиент а серверные приложения используют протокол Secure Sockets Layer (SSL). SSL прозрачно защищает сообщения, обмениваемые между клиентом и целевым веб-сервером. SSL аутентифицирует целевой веб-сервер, используя сертификат веб-сервера. Кроме того, он обеспечивает конфиденциальность с помощью шифрования и целостность протокола SSL, т. Е. Блок данных, отправленных в каждой передаче, не может быть изменен без обнаружения.

Уровень приложения: прозрачный и не зависящий от процесса транспортировки, защита на уровне приложений защищает пароль пользователя, отправленный из клиентского приложения, вплоть до серверного приложения, которое обрабатывает сообщения OFX. Серверное приложение обычно находится за пределами целевого веб-сервера, защищенного за брандмауэром Интернета. Безопасность на уровне приложений требует безопасности на уровне канала.

У них есть 2 уровня безопасности. Вам, вероятно, не понадобится больше. Вы добавили дополнительную безопасность, вы отложите отправку своих финансовых данных. Существует достаточное усилие для проверки и проверки сообщений с OFX, и это, вероятно, должно соответствовать вашему приложению.