14.05.2013

глобальная авторизация с помощью SSL

Ниже описаны особенности клиентских SSL-сертификатов в сравнении с обычным вводом логина и пароля.

  • Логин и пароль вводится только при запуске броузера. При входе на сайт только выбирается, с каким сертификатом входить, или можно не выбирать, если сертификат один. Ну, это должна гарантировать любая схема глобальной авторизации.
  • Ввод пароля происходит в окне броузера — меньше возможностей для фишинга.
  • В традиционной схеме вы загружали страничку, на которой вводился логин и пароль, то есть одну страничку лишнюю. SSL-сертификат передаётся до загрузки каких-либо страничек.
  • Технически всё готово к использованию — клиентские сертификаты поддерживает как Firefox, так и Apache.
  • Чтобы сгенерировать сертификат, пользователю не нужно дополнительных инструментов, кроме броузера (и какого-нибудь сайта, который подпишет ему сертификат).
  • В традиционной схеме пользователь зависит от сайта, на котором он завёл аккаунт. Администратор сайта может заблокировать пользователя, сайт может не работать временно или его просто закрыли. Если человек создал аккаунт, например, на LiveJournal, а потом через аккаунт заходил на другие сайты с помощью OpenID, то, лишившись аккаунта на LiveJournal, он теряет свою «личность» и на остальных сайтах. Поэтому администратор имеет довольно большую власть. С SSL-сертификатом проблемы с одним сайтом не влияют на работу с другим сайтом.
  • В традиционной схеме сайт, где происходит ввод пароля, являлся уязвимым местом. Прослушивая его, можно записать пароли всех пользователей. Теперь уязвимым местом является только компьютер пользователя.
  • SSL, кроме сертификатов пользователя, позволяет использовать сертификаты для сайтов (эта возможность исторически появилась даже раньше) и шифрование канала связи, как приятные дополнения.
  • SSL предлагает только привязку пользователя к некоторому сертификату. Например, связывание аккаунтов одного человека на разных сайтах воедино можно реализовать независимо от SSL, может быть даже несколько таких конкурирующих инфраструктур.

Комментариев нет :

Отправить комментарий