...
- Kjører som HTTPS server på port 31505
- Krever lite ressurser
- Aksepterer bare henvendelser over https fra lokal maskin (127.0.0.1)
- Implementerer Cross-Origin Resource Sharing (CORS) og kan bare kalles fra script i nettsider fra Buypass.
- Beskytter PIN-koder på en sikker måte
Hvorfor HTTPS og selvsignert sertifikat?
Nettsider som bruker smartkortet leveres over https fra en Buypass server. Av sikkerhetshensyn håndhever nettleserne en «Same-origin policy» som blant annet innebærer at script i en nettside som er levert over https ikke kan bruke en annen protokoll (f.eks. http) ved henvendelser til en annen nettside. SCProxy må derfor opptre som en https-server og må presentere et SSL-sertifikat som er tiltrodd i nettleseren.
Ved installasjon av SCProxy genereres derfor et RSA nøkkelpar og et selvsignert SSL-sertifikat utstedt til IP-adresse 127.0.0.1. Nøkkelpar og sertifikat er altså unike for hver installasjon, slik at sertifikatet ikke vil være tiltrodd på andre maskiner. Privatnøkkelen legges i standard nøkkellager i Windows, og tilgang til nøkkelen gis til https-server på port 31505. Sertifikatet installeres i Windows-sertifikatlageret for «Trusted Certification Authorities» og vil dermed betraktes som tiltrodd av Internet Explorer, Chrome og Opera. Dersom Firefox er installert, legges sertifikatet også inn i listen over tiltrodde sertifikater i alle FirSefox-profilene på maskinen.
Beskyttelse av PIN-kode
PIN-koder håndteres på en slik måte at de ikke kan gjenfinnes i nettleserens cache eller andre logger.
I tillegg til at data mellom nettleser og proxy overføres via TLS, er PIN-kodene også beskyttet med engangsnøkler.
Kompatibilitetskrav
Grunnet den kontinuerlige utviklingen av nettlesere og operativsystem forvaltes SCProxy programmet kontinuerlig for å være kompatibelt med de nyeste versjoner av nettlesere og operativsystem.
...