Я хотел бы знать, возможно ли иметь безопасный единый вход для двух веб-сервисов, из которых 1 более безопасен, чем другой. Точнее, менее безопасным будет форум vbulletin, а более безопасным — веб-сервис, где зарабатываются, выводятся реальные деньги и т. д. Ради удобства пользователей я хотел бы реализовать безопасный единый вход, но, глядя судя по послужному списку безопасности vbulletin, особенно уязвимостям xss, даже внедрению sql, я не уверен, что sso будет жизнеспособным вариантом, если это ухудшит безопасность более безопасного сервиса.
Безопасный единый вход как для безопасных, так и для уязвимых веб-сервисов
comment
Я знаю, что предпочитаю соло дуэтам, поэтому меня также очень интересует одиночное пение. Я надеюсь, что вы получите хороший ответ на свой вопрос. :-)
- person Omnifarious schedule 15.08.2011
Ответы (2)
Может быть разрешено использовать учетные данные с высокой степенью надежности для аутентификации в системе с низкой степенью надежности при условии, что долговременные общие секреты аутентификации не раскрываются системе с низкой степенью надежности (см., например, Специальную публикацию NIST 800-63, уровень - 2 и выше). Обычно для этого требуется подтверждение (например, SAML) от поставщика услуг учетных данных проверяющей стороне. CSP, которому доверяют, принимает учетные данные и подтверждает свою подлинность и, возможно, другие атрибуты, связанные с подписчиком, проверяющей стороне (приложению), которому не доверяют. Поскольку секретные токены, связанные с учетными данными (например, паролем), никогда не отправляются проверяющей стороне, взлом этой службы не предоставит злоумышленнику полезных знаний для атаки на систему с высокой степенью надежности. Существует ряд отраслевых стандартов, таких как OpenID и OATH, для федерации учетных данных таким образом.
person
drf
schedule
14.08.2011
если в системе с низким уровнем надежности произошло нарушение безопасности, и злоумышленник украдет файл cookie сеанса пользователя, сможет ли злоумышленник использовать его для получения доступа к системе с высоким уровнем надежности, если я использую, скажем, OpenID?
- person jaz; 15.08.2011
Нет — злоумышленник сможет выдать себя за пользователя только для этого приложения. Нет глобальной сессии; сеанс приложения является отдельным от любого открытого сеанса, который пользователь может иметь с CSP. Следовательно, когда злоумышленник попытается пройти аутентификацию в защищенной службе, CSP не распознает этого пользователя и потребует повторной аутентификации. Этот процесс подтверждения подробно описан в федеральном профиле OpenID 2.0 (PDF).
- person drf; 15.08.2011
Я думаю, что это не применимо, когда я пытаюсь запустить менее безопасное приложение на домене.com и более безопасное на поддомене, например, secure.domain.com. Я задал новый вопрос для дальнейшего изучения, если это так, и возможные обходные пути - stackoverflow.com/questions/7065978/
- person jaz; 15.08.2011
Хватит изобретать собственные системы входа. Используйте OpenID, как это делает сам StackOverflow. Это аккуратно решит вашу проблему, и ваши пользователи будут очень довольны тем, что вы не заставите их запоминать еще один пароль.
person
Omnifarious
schedule
14.08.2011
Кто сказал, что я пытаюсь что-то изобретать ;) Если OpenId может то, что мне нужно, то отлично, я обязательно им воспользуюсь.
- person jaz; 15.08.2011
