Nazor na sluzbu

Zdravim Vas,Mel bych takovou mozna uzitecnou sluzbu pro Vas, co vyvyjite ruzne systemy a chtel bych se zeptat, jak velky by byl o ni zajem a jaka by mohla byt spoluprace.Jedna se o zpusob prihlasovani do Vasich systemu za pomoci klientskych certifikatu.Mam jednoduchou stranku s formularem, kde vydani prihlasovaciho certifikatu je otazka cca jeho vyplneni. System generuje klientsky certifikat na pockani. Ten je bud hned ke stazeni nebo by se dal zasilat emailem.Instalace je jednoducha kliknutim na certifikat ve windows a parkrat na tlacitko dalsi se nainstaluje. Format PKCS#12.Dale je zde jednoduche API. Vase adresa pro prihlaseni se posle pres get do skriptu na serveru, tam dojde k autentizaci pomoci certifikatu a okamzite dochazi po uspesnem prihlaseni k presmerovani zase na Vase skripta, kde si jen overite, zda-li uzivatel existuje. Pres get je poslano jmeno a email, mozno pridavat i dalsi informace. Dalo by se to resit i nejakym pluginem, aby uzivatel zustaval porad na vasi strance a ta se nemusela podruhe nacitat.Vse probiha sifrovane.V dalsi fazi bude overovani platnoti a moznost zneplatneni.Ma to podle mne nekolik vyhod. Clovek si nemusi pamatovat zadna hesla.Uzivatel a mozna ani vy se nemusite obavat, ze databazi s hesly hackne nejaky hacker.Implementace slozitejsich systemu pro autentifikaci jsou jinak slozita, narocna a draha reseni.Pusobi duveryhodne a bezpecne.Co vy na to? Mate sluzby, kde by jste to vyuzili?

nevidim v tom zadnou vyhodu za A) vetsina lidi si hesla uklada a tak si je stejen pamatovat nemusi za B) to zavira moznost prihlasit se odkudkoliv nebo by musela simultanne existovat normalne varianta pres heslo... a za C) i certifikat se da ukrast... Vysledek? na svych webech bych to nikde nepouzil...

ad A) Vetsina lidi si neuklada hesla a dobre vsichni vime, jaka jsouB) vsak pres heslo se prihlasovat neni problem a napr. banky maji prihlaseni certifikatem jako doplnek oproti hesluC) Certifikat se da ukrast a je stejne k nicemu bez klice. Kdyz uz se da ukrast i s klicem, tak rozhodne ne ve velkem a bavime se zde o jednotlivych kusech.

Jak prosím dojde k opětovnému přihlášení? Případně k odhlášení?

To už bych raději implementoval OpenID / MojeID .

ad A) prakticky kazdy koho znam ma na svem osobni pc hesla v prohlizeci poukladana a nezadava je... Jen do sdilenych pc je neukladaji, to je fakt... ale tak by necpali ani ten certifikat... Jako je to vsehcno moc hezky, ale tohel je afkt dobry na banky kde jde o prachy... ne na fora nebo proste obycejny weby... nedokazu ted najit priklad kde by hardcore zabezpeceni certifikatem k necemu bylo...

kdekoliv, kde si člověk objednává a mění služby formou potvrzení v samoobsluze: provideři mobilní a internetoví, apod. Tam by to smysl mělo, představ si, že máš placenou TV za 300 měsíčně, někdo se zaloguje za tebe a objedná ti extra balík za 2k měsíčně. U fór, informačních serverů, apod. to samozřejmě moc smysl nemá

ad A) prakticky kazdy koho znam vyuziva fce prohlizece k ukladani hesel... ad zbytek - nedokazu si predstavit co krome naky banky nebo podobnejch fakt citlivejch systemu by vyzadovalo takove zabezpeceni abych prihlaseni omezil jen na vlastnictvi certifikatu (=bud ho u sebe budu porad tahat nekde na flashce nebo co ja vim, nebo se proste neprihlasim)... Tohle ma fakt cenu jen u banky a i tam je to sporne, pac i pres certifikat se vetsinou transakce jeste precijen overuji smskou s kodem - tudiz i kdyz ti slohnou certifikat tak uvidi max. vypis a to je vse... Ja osobne nenavidim zadavani hesel a hesla neukladam kvuli bezpecnosti... ale stejne bych to nepouzival... strasne omezujici

@James MojeID taky pouziva prihlaseni pres certifikat a nejak jim to nefunguje.https://mojeid.cz/endpoint/authentication/ssllogin/Navic MojeID funguje uplne jinak a heslo je k ni zapotrebi take a nakonec to znamena dalsi heslo pro uzivatele.@web-waySluzba sama o sobe neuklada cookies ani nic jineho, to uz je pak ve vasi reziiOpetovne prihlaseni se provede pres get dotazem a vyhoda je ta, ze pokud je certifikat jiz odsouhlasen a vybran uzivatelem, tak po celou dobu spusteni prohlizece uz se nemusi znovu zadavat. Plati i pro vicero sluzeb.@jiricekberme zde certifikat jako jeden klic do vice zamku, nemusi to byt paranoidni zabezpecovani.

Napsal Caesar;825215

kdekoliv, kde si člověk objednává a mění služby formou potvrzení v samoobsluze: provideři mobilní a internetoví, apod. Tam by to smysl mělo, představ si, že máš placenou TV za 300 měsíčně, někdo se zaloguje za tebe a objedná ti extra balík za 2k měsíčně. U fór, informačních serverů, apod. to samozřejmě moc smysl nemá

dobre, ale tak on to chce asi zavest na fora nebo nevim proc se an to pta, sluzeb kde to ma smysl je minimum a ty si to vyresi podle sebe urcite nebudou pouzivat nejake jeho pofiderni reseni (resp. jako pofiderni jim bude pripadat - netvrdim ze pofiderni bude, treba to bude spica)---------- Příspěvek doplněn 30.07.2012 v 01:59 ----------

Napsal Bluemoon;825217

@jiricek

berme zde certifikat jako jeden klic do vice zamku, nemusi to byt paranoidni zabezpecovani.

tohle uz vyresili sluzby pred vami a to podstatne jednoduseji :) nicmene berte to jako muj nazor... svoje uzivatele si to najit muze... ale bude jich asi sakra malo

O tom že by to nefungovalo nevím.. Funguje to sice jinak, ale má to alespoň nějaké přínosy pro uživatele/provozovatele. Klientské certifikáty jsou dobré maximálně pro zabezpečení nějaké vnitrofiremní aplikace, ale na nějaké masové využití to moc neni..

@james_scottmas na svych strankach sprateleny web ...Je to takovy jednoduchy redakcni system ale ma hroznou nevyhoduPrihlasovani se provadi na strance ...jmeno je admin a heslo je adminAsi si je nikdo nechtel zapisovat, tak zvolil jednoduchou variantu a tohle dela spousta lidi a hlavne i ti, co by na bezpecnost meli dbat.Dle meho jsou bezni frantove hloupy a pristup nekam za pomoci hesla je vice omezujici a melo by byt do budoucna prezitkem.

Ja si to predstavujem v budúcnosti tak, že podľa biometrických údajov (odtlačok prsta atď.) počítač identifikuje užívateľa a táto identita bude môcť byť dostupná na vzdialenom servery cez hlavičky zabezpečeného pripojenia. Keď bude týmto spôsobom pracovať väčšina zariadení, prihlasovanie prakticky nebude potrebné. Čo si o tom myslíte?

Prihlasovani klientskym certifikatem pouzivame v aplikaci a ma smysl pouze tehdy, kdyz potrebujeme zajistit identitu cloveka. Tj. davame mu certifikat pod heslem, ktery je neexportovatelny (tj. musime mu provadet rucni instalaci nebo na to mame instalacni program ktery jde spustit pouze 1x) a tim mame zajisteno, ze i kdyz vykvaka nekde jmeno a heslo, tak bez 3 identifikatoru - certifikatu, mu to je naprd. Nicmene na to nepotrebuji API - pokud jsem pod IIS, tak v .NET si to cele server vyresi sam. Maximalne, tak pokud chci - do aplikace se mi dostane retezec odpovidajici domenovemu uzivateli. Pokud pouzivam PHP a Apache, tam je situace o kousek slozitejsi, kazdopadne vysledkem je opet nejaky identifikaci retezec z certifikatu. Kazdopadne stejne potrebuji (a ma smysl) mit vlastni CA, kterou certifikaty vydavam, protoze prohlizec pak nabidne klientske certifikaty odpovidajici teto CA, pokud navstivim tyto stranky. Vzhledem k tomu, ze stejne musim na pocitace instalovat klientsky, muzu zaroven ve stejnem kroku pridat i rootovsky muj a pak neni problem s neznamou bezpecnosti autoritou. Rozhodne to nema smysl pouzivat na to nastroje 3 ti strany. Jedine co by smysl melo je, kdyby jsi rozbel vlasti certifikacni autoritu, protoze to ne kazdej je schopen asi naklikat. Tim spis kdyby jsi si jako zaklad pro tuto CA poridil kvalifikovany certifikat treba od Verisgn, nebo alespon 1CA ci Postsignum (ty uz jsou ve Woknech jako rootovske) tak aby tebou vydavane certifikaty byli duveryhodne. A poskytoval pak certifikat pro server a klienty a choval se defacto jako lokalni CA.---------- Příspěvek doplněn 30.07.2012 v 07:13 ----------@Peter.B: ad Biometrie - to je pochopitelne nejlepsi - uzivatel si nemusi nic pamatovat a nemuze zapomenout identifikacni prvek doma :-) Ale napriklad co se tyce ctecky otisku prstu, doporucuji si na jednom ceskem stahovacim serveru vyhledat: mythbusters-s04-054-zlociny-motivovane-fikci - je tam krasne videt jak se daji ochcat a kdyz jsem to videl, tak jsem se valel smichy - obvzlast u zamku co NEJDE OBELSTIT Podle vyrobce a oni ho zmatli otiskem prstu z kopirky :-D Nicmene my ted pro jednu lokalni aplikaci pouzivame RFID ctecky. Je to sice trosku orisek napojit RFID ctecku tak, aby k ni mela pristup webova aplikace, ale na druho stranu stejne vyzaduje fyzickou instalaci, takze doinstalovani sluzby co poskytuje mini web server pro AJAXove volani a cteni dat z ni, uz neni problem. Je to spolehlive, rychle a navic v silach bezneho uzivatele neni mozne vytvorit duplikat karty. ps: pokud by toto resen nekoho zajimalo, muzeme poskytnout :-)---------- Příspěvek doplněn 30.07.2012 v 07:33 ----------

Napsal James_Scott;825220

O tom že by to nefungovalo nevím.. Funguje to sice jinak, ale má to alespoň nějaké přínosy pro uživatele/provozovatele. Klientské certifikáty jsou dobré maximálně pro zabezpečení nějaké vnitrofiremní aplikace, ale na nějaké masové využití to moc neni..

Hlavnim problemem je to, ze klientske certifikaty (pokud na ne poklepu jako na inkonku a nainstaluju jak psal v uvodnim prispevku) takto umi pouzivat pouze Internet Explorer a Google Chrome!!!!! Firefox a Opera, (netusim ted jak Safari, ale asi taky) maji vlastni certifikatove uloziste, takze se certifikat musi instalovatl rucne tam. Opera navic vzdy chranene heslem. Z Firefoxu jde ulozit i certifikat oznaceny za neexportovatelny, coz je chyba ktera ho vylucuje z provozu. V Opere musim vzdy pred pouzitim certifikatu zadat heslo do jejich uloziste. Otravne - pta se na nej pomerne casto. Takze suma sumarum - IE je debil jako prohlizec a tak zbyva pouze Chrome. A donute uzivatele pouzivat prave a jen ten.

Já bych měl spíš jiný problém. Jak mi zabezpečíš že nedojde ke zneužití mých údajů přímo od tebe?