Как относиться к Windows Vista, которая будет выпущена в конце года? С одной стороны, на мой взгляд, некоторые ее особенности не стоят внимания - например, такие, как UAP (User Access Protection - защита пользовательского доступа), требующая постоянных подтверждений каждый раз, когда выполняется действие, отдаленно напоминающее административное. Кроме того, в новом графическом интерфейсе сложно найти базовые административные компоненты, а из-за сравнительно высоких требований графики снижается быстродействие. С другой стороны, пользователям понравятся возможность восстановления одним щелчком мыши удаленных старых версий документов, легко отыскиваемая утилита для виртуальных папок и тегов, а также исчерпывающая функция аппаратной безопасности BitLocker.
Для меня в этой системе ценна возможность отключить с помощью групповой политики раздражающий механизм UAP и отыскать скрытые административные инструменты. Кроме того, как приверженец командной строки, я рад, что ее интерфейс изменился мало. Соедините эти достоинства с любовью к новым игрушкам, и мне придется признать, что я с нетерпением жду Vista, и в частности, превосходный, но незаслуженно забытый компонент: InfoCard.
InfoCard - клиентская реализация набора технологий на базе стандартов, которая значительно повышает безопасность электронной коммерции. Чтобы оценить важность технологии, рассмотрим различия в процессах электронной коммерции до и после InfoCard.
Делая сегодня покупку на сайте поставщика - назовем его Bigfirm.com - клиент посещает сайт, выбирает несколько товаров, а затем рассчитывается за покупку. На Bigfirm.com, как на большинстве торговых сайтов, покупателя просят создать учетную запись. В этой учетной записи требуется указать адрес, номер телефона и другую личную информацию, необходимую для доставки, даже если покупатель всего лишь загружает программное обеспечение. Необходимо также указать имя пользователя и пароль. После того, как учетная запись будет создана, нужно ввести информацию о кредитной карте: имя, 16-значный номер кредитной карты и номер в графе "образец подписи клиента" (надпись выцветшими чернилами на оборотной стороне карты). Только после этого процедура оформления покупки считается завершенной, и товар отправляется заказчику.
Благодаря InfoCard, процедура значительно упрощается. InfoCard - набор данных на жестком диске, служащий для тех же целей, что и обычные пластиковые карточки в бумажнике. Как и эти карточки, InfoCard могут быть выпущены и удостоверены внешней организацией, так же, как банк выпускает кредитную карту, а работодатель выдает удостоверение сотрудника. Так же, как карточки в бумажнике, данные InfoCard могут быть созданы самостоятельно и никем не удостоверены, подобно визиткам. Никто не мешает хозяину визитной карточки назвать себя победителем драконов и воскресителем мертвых, но при этом никто, кроме него самого, не гарантирует, что он действительно обладает перечисленными талантами.
При покупке на сайте Bigfirm.com с использованием InfoCard транзакция совершается следующим образом. Обратите внимание, что поддержка InfoCard на сайтах может быть реализована различными способами. Как и раньше, покупатель выбирает товары и, возможно, указывает некоторые сведения о себе, но, скорее всего, объем информации будет меньше, чем при обычных оперативных закупках. При покупках загружаемых товаров может быть достаточно указать только адрес электронной почты. При расчете покупателю предоставляется несколько вариантов: заплатить по кредитной карте, послать чек, поручение на покупку или заплатить с помощью InfoCard.
Если выбран вариант InfoCard, то на экране всплывает окно, заполненное миниатюрными изображениями различных принадлежащих покупателю кредитных карт. После того, как будет выбрана одна из них, на Web-сервере компании, выпустившей кредитную карту, потребителя попросят идентифицировать себя с помощью пароля, смарт-карты или любым другим способом. Затем Web-сервер Bigfirm.com выдаст страницу с подтверждением успешной покупки.
На первый взгляд, сценарий InfoCard мало отличается от метода, применяемого в настоящее время, но внутренние механизмы существенно изменились к лучшему.
Объем информации, вводимой при покупке с использованием InfoCard, гораздо меньше, чем при обычной оперативной покупке. Больше не придется набивать шестнадцатизначные номера кредитных карт или напрягать зрение, считывая номер в графе "образец подписи клиента". Новый метод удобнее и безопаснее, чем, например, функции автоматического заполнения Google Toolbar. Эти приложения должны хранить номер кредитной карты где-то на жестком диске в зашифрованном виде. Решение InfoCard в этом отношении более удачное. Информация, сохраняемая InfoCard на жестком диске, надежно шифруется с использованием 2048-разрядного ключа, защищенного Windows DSS API. Даже если злоумышленник завладеет ноутбуком и взломает этот длинный ключ, он получит только ключ, который идентифицирует владельца кредитной карты для кредитного учреждения в данной области InfoCard, но не номер кредитной карты, а также список сведений, которые издатель карты готов обнародовать о потребителе, например его имя и подтверждение, что на счете достаточно денег для покупки товара. Например, если на жестком диске записана InfoCard, изданная правительством, то эта InfoCard подтверждает набор идентификаторов, среди которых могут быть имя, номер социального обеспечения, рост и цвет глаз. Если эти данные попадут к злоумышленнику, он не узнает, что у меня серые глаза, если не выполнит правильного доступа к данным; только в этом случае издатель InfoCard сообщит ему цвет глаз потребителя.
Кроме того, InfoCard защищает от мошенничества. Компании Bigfirm.com требуется много информации о покупателе из-за попыток потребителей совершить мошенничество с кредитной картой. Как известно, мошенничество в оперативной торговле - серьезная проблема для продавца. Если кто-то совершает покупку с ворованной кредитной картой, а владелец карты оспаривает покупку, то издатель кредитной карты принимает сторону держателя карты (если только продавец не докажет, что покупка действительно сделана владельцем карты). Если я куплю что-то в Bigfirm.com, а потом буду отрицать факт покупки, то издатель кредитной карты поверит мне. Как бы то ни было, именно продавцы, а не издатели кредитных карт, и не потребители, несут основные убытки от мошенничества. Это одна из причин того, почему сетевые продавцы хотят получить так много информации о покупателе. После того, как издатель кредитной карты сообщит Bigfirm.com, что транзакция была мошеннической, Bigfirm.com проанализирует всю собранную информацию об оперативной продаже и может ответить издателю кредитной карты: "Если мистер Минаси не делал этой покупки, то откуда известны имя г-на Минаси, адрес, номер телефона, номер в графе "образец подписи клиента" кредитной карты и девичья фамилия его матери?" Другая причина, по которой электронные продавцы собирают информацию о потребителе - желание сохранить ее в базе данных, чтобы отправлять потребителю спам и следить за ним, оправдываясь при этом, что сбор личной информации - вынужденная необходимость.
С появлением InfoCard ситуация меняется; по щелчку на InfoCard покупатель проходит проверку на Web-сервере издателя кредитной карты, а не торговца, и продавец передает коммерческую транзакцию издателю карты, поэтому издатель знает лицо, совершившее покупку. Только издатель кредитной карты проверяет личность покупателя, а не сайт электронной коммерции в Web. При использовании InfoCard я могу купить загружаемую программу на сайте поставщика, загрузить ее и оставить очень мало информации в базе данных. Зачем продавцу знать улицу, на которой я живу? Я только загружаю программу!
Даже потребители, не охраняющие свои личные данные так ревниво, как я, озабочены проблемой кражи конфиденциальных сведений, и совершенно обоснованно. Технология InfoCard полезна и в этом случае. Как отмечалось выше, Web-торговцы просят покупателей создать учетные записи на своих сайтах. В результате, если я делал покупки у 50 различных торговцев, я должен назначить 50 различных пользовательских имен и паролей. По крайней мере, мне СЛЕДУЕТ назначить 50 различных пользовательских имен и паролей. Многие из нас используют одинаковые имя пользователя и пароль на разных сайтах. Поэтому если коварный администратор Bigfirm.com украдет список пользовательских имен и паролей, он сможет с успехом использовать их на сайтах других поставщиков. Управление всеми этими учетными записями - кропотливый труд, а многие потребители небрежны. Благодаря InfoCard можно без проблем завести учетные записи и пароли на десятках сайтов, так как единственная функция учетных записей - облегчить распознавание потребителя на сайте. Эти учетные записи не будут использоваться для денежных операций.
Об InfoCard можно написать гораздо больше, но статья и без того получилась слишком длинной. Я надеюсь, этот материал привлечет внимание читателей к InfoCard. Для знакомства с этим продуктом не нужно дожидаться Vista; технология реализована в Microsoft Internet Explorer (IE) 7.0, ее можно протестировать с Windows Server 2003 Service Pack 1 (SP1) или Windows XP SP2.
Марк Минаси (help@minasi.com) - Редактор Windows IT Pro, имеет сертификат MCSE; является автором книги Mastering Windows Server 2003 (издательство Sybex).