OFX——二级安全？

Question

我们正在开发一个网站，该网站将利用 OFX 标准来提供对客户财务数据的访问。然而，为了安全起见，我们使用秘密问题/秘密答案、机器标记等。除了简单的用户名/密码之外，OFX 标准是否提供任何安全机制？我查看了架构和一些示例数据，但没有看到任何看起来适合我们需求的东西。有人在这方面有经验吗？

Answer 1

4.1.5 通道级别：通常对客户端或服务器是透明的，通道级别安全性内置于通信过程中，保护“管道”两端之间的消息。为了在 HTTP 传输期间保护消息的安全，客户端和服务器应用程序使用安全套接字层 (SSL) 协议。 SSL 透明地保护客户端和目标 Web 服务器之间交换的消息。 SSL 使用 Web 服务器的证书对目标 Web 服务器进行身份验证。此外，它还通过加密和 SSL 记录完整性来提供隐私，即每次传输中发送的数据块在未被检测到的情况下都无法更改。

应用程序级：应用程序级安全性对传输过程透明且独立于传输过程，可保护从客户端应用程序发送到处理 OFX 消息的服务器应用程序的用户密码。服务器应用程序通常驻留在目标 Web 服务器之外，并受到 Internet 防火墙的保护。应用级安全需要通道级安全。

他们有 2 个安全级别。您可能不需要更多。您采取了额外的安全措施，您会延迟发送财务数据。 OFX 有足够的手段来检查和验证消息，它可能应该适合您的应用程序。