Что такое сгенерированных статичных токенов
Процесс получения кодов маркировки защитят от злоумышленников
Источник: ЦРПТ
Для получения кодов маркировки производители, продавцы или импортеры маркируемой продукции направляют запросы в станцию управления заказами (СУЗ). При этом контроллер API СУЗ аутентифицирует клиентов с помощью так называемого клиентского токена.
В настоящее время механизм получения токена включает:
регистрацию в пользовательском интерфейсе СУЗ клиентского устройства;
на основе данных клиентского устройства СУЗ генерирует уникальный маркер безопасности (клиентский токен);
маркер безопасности отображается в пользовательском интерфейсе СУЗ.
В данном случае сгенерированный маркер безопасности (клиентский токен) является статичным, то есть постоянным. Соответственно, в случае кражи маркера безопасности злоумышленником, он сможет с его помощью направлять запросы в станцию управления заказами неограниченно долго. В целях повышения безопасности информационного взаимодействия осуществляется переход на целевой механизм получения клиентского токена.
Как пояснил на вебинаре директор департамента группы общих компонентов ЦРПТ Дмитрий Данков, после перехода на новый механизм время жизни маркера безопасности (аутентификационного токена) будет составлять всего 10 часов. При этом повышается уровень защиты СУЗ и гарантируется, что маркер безопасности (аутентификационный токен) был запрошен именно участником оборота товаров.
По словам Дмитрия Данкова, в сам API СУЗ не вносится никаких изменений. Авторизация в системе через программы будет проходить также как и ранее. Изменится только сам механизм получения клиентского токена. До 1 апреля 2021 года будут работать оба механизма получения клиентского токена. «С 1 апреля 2021 года статический токен из интерфейса будет удален и будет работать только идентификатор соединения», — отметил Дмитрий Данков.
В решениях «1С:Предприятие» необходимые изменения будут реализованы. Подробнее о поддержке маркировки товаров см. в «Мониторинге законодательства» в разделе «Маркировка».
Обувь, шины, парфюм, фототовары, одежда: переход на электронный оборот.
ЦРПТ отключит доступ к API маркировки по статичным токенам
1 октября ЦРПТ ограничит доступ к API СУЗ по старому способу аутентификации с помощью статичных токенов. Для перехода на новый механизм авторизации потребуется адаптировать используемые программы в соответствии с новыми инструкциями по получению динамических токенов.
Для чего нужны токены
При обращении к серверу по протоколу HTTPS (или HTTP) происходит только передача данных, предыдущее состояние запросов не отслеживается. То есть в новом запросе нет информации о том, кто авторизовался в предыдущий раз, и сервер не знает: обращается к нему все тот же пользователь или уже другой
Чтобы отслеживать, кто отправил запрос, пользователю нужно каждый раз авторизоваться, вводя логин и пароль, что, конечно, неудобно. Для решения этой задачи используются токены, которые приложение или сайт выдает авторизованному пользователю.
Токен – набор символов, содержащих в том числе подпись, которая удостоверяет, что запрос пришел от пользователя, которому токен был выдан. При дальнейшей работе с API (например, «Честного Знака») в тело запроса вставляется токен и авторизоваться для отправки каждого запроса не нужно.
Схема прямого доступа к API оператора маркировки обычно используется на этапе эксперимента, а также некоторое время после начала промышленной эксплуатации, например, для организации получения кодов на остатки товаров у участников оборота.
Со временем доступ по API будет отключаться. Например, с 1 января 2022 года по ряду маркируемых групп товаров планируется работа с системой маркировки только посредством электронного документооборота.
Но пока что доступ к API по токену активно используется – в том числе, в решениях 1С.
Настройка обмена с СУЗ в 1С
Например, токен указывается при настройке, чтобы отправлять данные напрямую в «Честный Знак», не оформляя УПД – так, при реализации товаров вместо УПД можно оформить документ «Отгрузка товаров ИС МП».
Документ прямой передачи данных об отгрузке из 1С в «Честный Знак»
Токены используются не только для отражения оптовых продаж или при вводе в оборот на производстве. Они также требуются в рознице, например, для контроля кодов маркировки. При реализации товара и сканировании кода маркировки программа отправляет запрос в систему маркировки. Если у кода маркировки статус «не в обороте» или марка не принадлежит продавцу, то программа не дает продавать товар с указанным кодом маркировки.
Переход со статических на динамические токены для обращения к API СУЗ
Изначально доступ к API оператора маркировки осуществлялся по статичному токену, который пользователь получал один раз и использовал постоянно.
Однако использование статичного токена небезопасно: его могут похитить и использовать бесконечно долго, например, заказывая от имени организации массу ненужных кодов.
Использование статичных токенов предполагалось ограничить уже 1 октября 2019 года, но по просьбе интеграторов срок продлили до 1 октября 2021 года.
Статичные токены могли быть получены участниками оборота, зарегистрированными до 1 апреля 2021 года. После этой даты участникам стали выдаваться только динамические токены.
Изменился механизм получения токена – после стандартного прохождения аутентификации пользователь с помощью усиленной электронной подписи получает динамический токен. Время жизни такого токена – 10 часов. Даже если злоумышленникам удастся похитить токен, его не получится использовать длительное время.
В связи с этим до 1 октября 2021 года для работы с API «Честного Знака» необходимо обновить используемые программы для возможности использовать динамические токены. Обновления для работы с динамическими токенами вышли по следующим продуктам 1С:
Мы подобрали актуальные программные продукты для адаптации оборудования и учетных систем на платформе 1С к очередной волне маркировки.
Что такое события генерации токенов (TGE)?
Термины «криптовалюта» и «токен» часто ошибочно используются взаимозаменяемо в криптопространстве. Это одна из растущих проблем современной децентрализованной сети: словарный запас все еще находится в стадии разработки.
Но сначала нам нужно прояснить несколько вещей.
Что такое криптовалюты?
криптовалюты широко рассматривались как новая форма инвестиций, хотя их стоимость основана на крайне нестабильном рынке, который также в значительной степени не регулируется. Монеты в основном используются в качестве единицы хранения стоимости, поскольку это относится к конкретной компании.
Что такое токены?
Токены могут быть проданы и могут принимать форму товаров, очков лояльности или игровых аватаров и генерируются с использованием системы интеллектуальных контрактов.
Токены имеют много одинаковых свойств с монетами, хотя и являются взаимоисключающими. Токены работают по системе smart контрактов, которая позволяет им быть гораздо более программируемыми и функциональными, чем монеты.
Токен имеет ценность для владельца, цель для компании и функцию, связанную с ее владением. Например, если у вас есть токен, он может помочь повысить заинтересованность компании, предоставляя вам право голоса в выборе того, какие проекты получают финансирование, а какие нет.
Существует множество ролей и видов использования токенов: от прав голоса, обмена стоимости, доступа к платным услугам, до использования валюты и доходов от распределения, и многое другие.
Что касается регулирования, SEC вместе со Швейцарским органом по надзору за финансовым рынком (FINMA) разделили токены на два лагеря, которые мы рассмотрим ниже.
Что такое Utility токены («полезные»)?
Эти токены предоставляют пользователям доступ к сервису, который может предоставить компания. Они позволяют владельцам использовать сеть и часто предлагают право голоса. Не существует неотъемлемого обещания получения прибыли, хотя стоимость токенов может колебаться в зависимости от спроса и предложения на доступность токенов.
Они не считаются ценными бумагами. Но нормативно-правовая среда постоянно меняется, поэтому, если решите покупать такие токены, изучите вопрос более подробно.
Что такое Security Токены («инвестиционные»)?
Это токен, который проходит тест Хауи. Другими словами, эти типы токенов получают ценность от использования в качестве торгуемых активов и подчиняются федеральным ценным бумагам и правилам.
Если токены создаются или предлагаются без соблюдения этих правил, на компанию налагаются штрафы и штрафы.
TGE против ICO, почему это важно?
В зависимости от того, что пытается сделать конкретная компания, они могут пойти по маршруту ICO или пути TGE, что иногда называют запуском токенов.
По мере развития рынка регулирующие органы стали уделять все больше внимания управлению ICO в качестве обеспечения безопасности и, таким образом, они стали облагаться налогом. События генерации токенов выстраиваются таким образом, чтобы не быть ценными бумагами, чтобы не нести налоговые санкции.
Вывод
Дискуссия о том, будут ли ICO и TGE классифицироваться как различные продукты с юридической точки зрения, продолжается. Сфера движется так быстро, что сложно прийти к единому мнению, и мы уверены, что мы будем обновлять эту статью по мере развития рынка.
А Вы что думаете про жизнеспособность TGE? Останется ли это отдельной технологией или станет ценной бумагой, как и ICO? Поделитесь своим мнением в комментариях!
Продавцов защитят от мошенников при получении кодов маркировки
Для того чтобы защитить производителей, импортеров и продавцов товаров от действий злоумышленников, оператор маркировки товаров «Честный знак» вносит изменения в процесс получения кодов маркировки для нанесения на товары.
По действующим правилам для получения кода маркировки товара заинтересованный в этом участник оборота должен направить запрос в адрес станции управления заказами (СУЗ). Запрос направляется посредством подключения через API (программный интерфейс приложения, позволяющий другим приложениям и пользователям подключаться к нему различными способами). Идентификация лица, обратившегося за кодом, производится с помощью так называемого клиентского токена (набор символов, которые присваиваются клиенту для его идентификации в системе), который генерируется и отображается после авторизации заявителя в интерфейсе СУЗ.
Проблема заключается в том, что сейчас клиентский токен не меняется со временем, то есть является статичным. Поэтому если он попадет в руки злоумышленников, они получат возможность направлять с его помощью запросы в СУЗ неограниченное время и получать коды маркировки от имени лица, которому этот токен был выдан изначально.
По новым правилам срок действия токена составит всего 10 часов. Получив его, клиент сможет запросить необходимое количество кодов маркировки. Если даже впоследствии токен попадет к мошенникам, использовать его для получения кодов они уже не смогут – токен будет недействительным.
Процедура оформления запроса кодов маркировки не изменится. До 1 апреля 2021 года будут работать оба механизма получения клиентского токена – старый и новый. С 1 апреля статичный токен в интерфейсе СУЗ отображаться больше не будет.
ЦРПТ отключит доступ к API маркировки по статичным токенам
1 октября ЦРПТ ограничит доступ к API СУЗ по старому способу аутентификации с помощью статичных токенов. Для перехода на новый механизм авторизации потребуется адаптировать используемые программы в соответствии с новыми инструкциями по получению динамических токенов.
Для чего нужны токены
При обращении к серверу по протоколу HTTPS (или HTTP) происходит только передача данных, предыдущее состояние запросов не отслеживается. То есть в новом запросе нет информации о том, кто авторизовался в предыдущий раз, и сервер не знает: обращается к нему все тот же пользователь или уже другой
Чтобы отслеживать, кто отправил запрос, пользователю нужно каждый раз авторизоваться, вводя логин и пароль, что, конечно, неудобно. Для решения этой задачи используются токены, которые приложение или сайт выдает авторизованному пользователю.
Токен – набор символов, содержащих в том числе подпись, которая удостоверяет, что запрос пришел от пользователя, которому токен был выдан. При дальнейшей работе с API (например, «Честного Знака») в тело запроса вставляется токен и авторизоваться для отправки каждого запроса не нужно.
Схема прямого доступа к API оператора маркировки обычно используется на этапе эксперимента, а также некоторое время после начала промышленной эксплуатации, например, для организации получения кодов на остатки товаров у участников оборота.
Со временем доступ по API будет отключаться. Например, с 1 января 2022 года по ряду маркируемых групп товаров планируется работа с системой маркировки только посредством электронного документооборота.
Но пока что доступ к API по токену активно используется – в том числе, в решениях 1С.
Настройка обмена с СУЗ в 1С
Например, токен указывается при настройке, чтобы отправлять данные напрямую в «Честный Знак», не оформляя УПД – так, при реализации товаров вместо УПД можно оформить документ «Отгрузка товаров ИС МП».
Документ прямой передачи данных об отгрузке из 1С в «Честный Знак»
Токены используются не только для отражения оптовых продаж или при вводе в оборот на производстве. Они также требуются в рознице, например, для контроля кодов маркировки. При реализации товара и сканировании кода маркировки программа отправляет запрос в систему маркировки. Если у кода маркировки статус «не в обороте» или марка не принадлежит продавцу, то программа не дает продавать товар с указанным кодом маркировки.
Переход со статических на динамические токены для обращения к API СУЗ
Изначально доступ к API оператора маркировки осуществлялся по статичному токену, который пользователь получал один раз и использовал постоянно.
Однако использование статичного токена небезопасно: его могут похитить и использовать бесконечно долго, например, заказывая от имени организации массу ненужных кодов.
Использование статичных токенов предполагалось ограничить уже 1 октября 2019 года, но по просьбе интеграторов срок продлили до 1 октября 2021 года.
Статичные токены могли быть получены участниками оборота, зарегистрированными до 1 апреля 2021 года. После этой даты участникам стали выдаваться только динамические токены.
Изменился механизм получения токена – после стандартного прохождения аутентификации пользователь с помощью усиленной электронной подписи получает динамический токен. Время жизни такого токена – 10 часов. Даже если злоумышленникам удастся похитить токен, его не получится использовать длительное время.
В связи с этим до 1 октября 2021 года для работы с API «Честного Знака» необходимо обновить используемые программы для возможности использовать динамические токены. Обновления для работы с динамическими токенами вышли по следующим продуктам 1С:
Мы подобрали актуальные программные продукты для адаптации оборудования и учетных систем на платформе 1С к очередной волне маркировки.