Nazor na sluzbu

30. 7. 2012 01:11:30

Zdravim Vas,

Mel bych takovou mozna uzitecnou sluzbu pro Vas, co vyvyjite ruzne systemy a chtel bych se zeptat, jak velky by byl o ni zajem a jaka by mohla byt spoluprace.

Jedna se o zpusob prihlasovani do Vasich systemu za pomoci klientskych certifikatu.

Mam jednoduchou stranku s formularem, kde vydani prihlasovaciho certifikatu je otazka cca jeho vyplneni. System generuje klientsky certifikat na pockani. Ten je bud hned ke stazeni nebo by se dal zasilat emailem.

Instalace je jednoducha kliknutim na certifikat ve windows a parkrat na tlacitko dalsi se nainstaluje. Format PKCS#12.

Dale je zde jednoduche API. Vase adresa pro prihlaseni se posle pres get do skriptu na serveru, tam dojde k autentizaci pomoci certifikatu a okamzite dochazi po uspesnem prihlaseni k presmerovani zase na Vase skripta, kde si jen overite, zda-li uzivatel existuje. Pres get je poslano jmeno a email, mozno pridavat i dalsi informace. Dalo by se to resit i nejakym pluginem, aby uzivatel zustaval porad na vasi strance a ta se nemusela podruhe nacitat.

Vse probiha sifrovane.

V dalsi fazi bude overovani platnoti a moznost zneplatneni.

Ma to podle mne nekolik vyhod. Clovek si nemusi pamatovat zadna hesla.

Uzivatel a mozna ani vy se nemusite obavat, ze databazi s hesly hackne nejaky hacker.

Implementace slozitejsich systemu pro autentifikaci jsou jinak slozita, narocna a draha reseni.

Pusobi duveryhodne a bezpecne.

Co vy na to? Mate sluzby, kde by jste to vyuzili?

30. 7. 2012 01:11:30

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790804

(20 hodnocení)

30. 7. 2012 01:16:56

nevidim v tom zadnou vyhodu za A) vetsina lidi si hesla uklada a tak si je stejen pamatovat nemusi za B) to zavira moznost prihlasit se odkudkoliv nebo by musela simultanne existovat normalne varianta pres heslo... a za C) i certifikat se da ukrast... Vysledek? na svych webech bych to nikde nepouzil...

30. 7. 2012 01:16:56

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790803

Dominique

(5 hodnocení)

30. 7. 2012 01:26:07

ad A) Vetsina lidi si neuklada hesla a dobre vsichni vime, jaka jsou

B) vsak pres heslo se prihlasovat neni problem a napr. banky maji prihlaseni certifikatem jako doplnek oproti heslu

C) Certifikat se da ukrast a je stejne k nicemu bez klice. Kdyz uz se da ukrast i s klicem, tak rozhodne ne ve velkem a bavime se zde o jednotlivych kusech.

30. 7. 2012 01:26:07

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790802

Marek Zak

(25 hodnocení)

30. 7. 2012 01:37:43

Jak prosím dojde k opětovnému přihlášení? Případně k odhlášení?

30. 7. 2012 01:37:43

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790801

James_Scott

(7 hodnocení)

30. 7. 2012 01:37:52

To už bych raději implementoval OpenID / MojeID .

30. 7. 2012 01:37:52

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790800

(20 hodnocení)

30. 7. 2012 01:46:28

ad A) prakticky kazdy koho znam ma na svem osobni pc hesla v prohlizeci poukladana a nezadava je... Jen do sdilenych pc je neukladaji, to je fakt... ale tak by necpali ani ten certifikat... Jako je to vsehcno moc hezky, ale tohel je afkt dobry na banky kde jde o prachy... ne na fora nebo proste obycejny weby... nedokazu ted najit priklad kde by hardcore zabezpeceni certifikatem k necemu bylo...

30. 7. 2012 01:46:28

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790799

Roman

(15 hodnocení)

30. 7. 2012 01:51:52

kdekoliv, kde si člověk objednává a mění služby formou potvrzení v samoobsluze: provideři mobilní a internetoví, apod. Tam by to smysl mělo, představ si, že máš placenou TV za 300 měsíčně, někdo se zaloguje za tebe a objedná ti extra balík za 2k měsíčně. U fór, informačních serverů, apod. to samozřejmě moc smysl nemá

30. 7. 2012 01:51:52

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790798

(20 hodnocení)

30. 7. 2012 01:53:22

ad A) prakticky kazdy koho znam vyuziva fce prohlizece k ukladani hesel...

ad zbytek - nedokazu si predstavit co krome naky banky nebo podobnejch fakt citlivejch systemu by vyzadovalo takove zabezpeceni abych prihlaseni omezil jen na vlastnictvi certifikatu (=bud ho u sebe budu porad tahat nekde na flashce nebo co ja vim, nebo se proste neprihlasim)... Tohle ma fakt cenu jen u banky a i tam je to sporne, pac i pres certifikat se vetsinou transakce jeste precijen overuji smskou s kodem - tudiz i kdyz ti slohnou certifikat tak uvidi max. vypis a to je vse... Ja osobne nenavidim zadavani hesel a hesla neukladam kvuli bezpecnosti... ale stejne bych to nepouzival... strasne omezujici

30. 7. 2012 01:53:22

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790797

Dominique

(5 hodnocení)

30. 7. 2012 01:53:51

@James MojeID taky pouziva prihlaseni pres certifikat a nejak jim to nefunguje.

https://mojeid.cz/endpoint/authentication/ssllogin/

Navic MojeID funguje uplne jinak a heslo je k ni zapotrebi take a nakonec to znamena dalsi heslo pro uzivatele.

@web-way

Sluzba sama o sobe neuklada cookies ani nic jineho, to uz je pak ve vasi rezii

Opetovne prihlaseni se provede pres get dotazem a vyhoda je ta, ze pokud je certifikat jiz odsouhlasen a vybran uzivatelem, tak po celou dobu spusteni prohlizece uz se nemusi znovu zadavat. Plati i pro vicero sluzeb.

@jiricek

berme zde certifikat jako jeden klic do vice zamku, nemusi to byt paranoidni zabezpecovani.

30. 7. 2012 01:53:51

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790796

(20 hodnocení)

30. 7. 2012 01:55:56

Napsal Caesar;825215
kdekoliv, kde si člověk objednává a mění služby formou potvrzení v samoobsluze: provideři mobilní a internetoví, apod. Tam by to smysl mělo, představ si, že máš placenou TV za 300 měsíčně, někdo se zaloguje za tebe a objedná ti extra balík za 2k měsíčně. U fór, informačních serverů, apod. to samozřejmě moc smysl nemá

dobre, ale tak on to chce asi zavest na fora nebo nevim proc se an to pta, sluzeb kde to ma smysl je minimum a ty si to vyresi podle sebe urcite nebudou pouzivat nejake jeho pofiderni reseni (resp. jako pofiderni jim bude pripadat - netvrdim ze pofiderni bude, treba to bude spica)

---------- Příspěvek doplněn 30.07.2012 v 01:59 ----------

Napsal Bluemoon;825217
@jiricek
berme zde certifikat jako jeden klic do vice zamku, nemusi to byt paranoidni zabezpecovani.

tohle uz vyresili sluzby pred vami a to podstatne jednoduseji :) nicmene berte to jako muj nazor... svoje uzivatele si to najit muze... ale bude jich asi sakra malo

30. 7. 2012 01:55:56

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790795

James_Scott

(7 hodnocení)

30. 7. 2012 02:01:42

O tom že by to nefungovalo nevím.. Funguje to sice jinak, ale má to alespoň nějaké přínosy pro uživatele/provozovatele. Klientské certifikáty jsou dobré maximálně pro zabezpečení nějaké vnitrofiremní aplikace, ale na nějaké masové využití to moc neni..

30. 7. 2012 02:01:42

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790794

Dominique

(5 hodnocení)

30. 7. 2012 02:45:53

@james_scott

mas na svych strankach sprateleny web ...

Je to takovy jednoduchy redakcni system ale ma hroznou nevyhodu

Prihlasovani se provadi na strance ...

jmeno je admin a heslo je admin

Asi si je nikdo nechtel zapisovat, tak zvolil jednoduchou variantu a tohle dela spousta lidi a hlavne i ti, co by na bezpecnost meli dbat.

Dle meho jsou bezni frantove hloupy a pristup nekam za pomoci hesla je vice omezujici a melo by byt do budoucna prezitkem.

30. 7. 2012 02:45:53

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790793

Peter.B.

30. 7. 2012 06:20:45

Ja si to predstavujem v budúcnosti tak, že podľa biometrických údajov (odtlačok prsta atď.) počítač identifikuje užívateľa a táto identita bude môcť byť dostupná na vzdialenom servery cez hlavičky zabezpečeného pripojenia. Keď bude týmto spôsobom pracovať väčšina zariadení, prihlasovanie prakticky nebude potrebné. Čo si o tom myslíte?

30. 7. 2012 06:20:45

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790792

trosa

(4 hodnocení)

30. 7. 2012 07:04:40

Prihlasovani klientskym certifikatem pouzivame v aplikaci a ma smysl pouze tehdy, kdyz potrebujeme zajistit identitu cloveka. Tj. davame mu certifikat pod heslem, ktery je neexportovatelny (tj. musime mu provadet rucni instalaci nebo na to mame instalacni program ktery jde spustit pouze 1x) a tim mame zajisteno, ze i kdyz vykvaka nekde jmeno a heslo, tak bez 3 identifikatoru - certifikatu, mu to je naprd.

Nicmene na to nepotrebuji API - pokud jsem pod IIS, tak v .NET si to cele server vyresi sam. Maximalne, tak pokud chci - do aplikace se mi dostane retezec odpovidajici domenovemu uzivateli.

Pokud pouzivam PHP a Apache, tam je situace o kousek slozitejsi, kazdopadne vysledkem je opet nejaky identifikaci retezec z certifikatu.

Kazdopadne stejne potrebuji (a ma smysl) mit vlastni CA, kterou certifikaty vydavam, protoze prohlizec pak nabidne klientske certifikaty odpovidajici teto CA, pokud navstivim tyto stranky. Vzhledem k tomu, ze stejne musim na pocitace instalovat klientsky, muzu zaroven ve stejnem kroku pridat i rootovsky muj a pak neni problem s neznamou bezpecnosti autoritou.

Rozhodne to nema smysl pouzivat na to nastroje 3 ti strany. Jedine co by smysl melo je, kdyby jsi rozbel vlasti certifikacni autoritu, protoze to ne kazdej je schopen asi naklikat. Tim spis kdyby jsi si jako zaklad pro tuto CA poridil kvalifikovany certifikat treba od Verisgn, nebo alespon 1CA ci Postsignum (ty uz jsou ve Woknech jako rootovske) tak aby tebou vydavane certifikaty byli duveryhodne. A poskytoval pak certifikat pro server a klienty a choval se defacto jako lokalni CA.

---------- Příspěvek doplněn 30.07.2012 v 07:13 ----------

@Peter.B: ad Biometrie - to je pochopitelne nejlepsi - uzivatel si nemusi nic pamatovat a nemuze zapomenout identifikacni prvek doma :-) Ale napriklad co se tyce ctecky otisku prstu, doporucuji si na jednom ceskem stahovacim serveru vyhledat:

mythbusters-s04-054-zlociny-motivovane-fikci

- je tam krasne videt jak se daji ochcat a kdyz jsem to videl, tak jsem se valel smichy - obvzlast u zamku co NEJDE OBELSTIT Podle vyrobce a oni ho zmatli otiskem prstu z kopirky :-D

Nicmene my ted pro jednu lokalni aplikaci pouzivame RFID ctecky. Je to sice trosku orisek napojit RFID ctecku tak, aby k ni mela pristup webova aplikace, ale na druho stranu stejne vyzaduje fyzickou instalaci, takze doinstalovani sluzby co poskytuje mini web server pro AJAXove volani a cteni dat z ni, uz neni problem. Je to spolehlive, rychle a navic v silach bezneho uzivatele neni mozne vytvorit duplikat karty.

ps: pokud by toto resen nekoho zajimalo, muzeme poskytnout :-)

---------- Příspěvek doplněn 30.07.2012 v 07:33 ----------

Napsal James_Scott;825220
O tom že by to nefungovalo nevím.. Funguje to sice jinak, ale má to alespoň nějaké přínosy pro uživatele/provozovatele. Klientské certifikáty jsou dobré maximálně pro zabezpečení nějaké vnitrofiremní aplikace, ale na nějaké masové využití to moc neni..

Hlavnim problemem je to, ze klientske certifikaty (pokud na ne poklepu jako na inkonku a nainstaluju jak psal v uvodnim prispevku) takto umi pouzivat pouze Internet Explorer a Google Chrome!!!!! Firefox a Opera, (netusim ted jak Safari, ale asi taky) maji vlastni certifikatove uloziste, takze se certifikat musi instalovatl rucne tam. Opera navic vzdy chranene heslem. Z Firefoxu jde ulozit i certifikat oznaceny za neexportovatelny, coz je chyba ktera ho vylucuje z provozu. V Opere musim vzdy pred pouzitim certifikatu zadat heslo do jejich uloziste. Otravne - pta se na nej pomerne casto.

Takze suma sumarum - IE je debil jako prohlizec a tak zbyva pouze Chrome. A donute uzivatele pouzivat prave a jen ten.

30. 7. 2012 07:04:40

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790791

Jiří Fišer

(7 hodnocení)

30. 7. 2012 07:51:07

Já bych měl spíš jiný problém. Jak mi zabezpečíš že nedojde ke zneužití mých údajů přímo od tebe?

30. 7. 2012 07:51:07

https://webtrh.cz/diskuse/nazor-na-sluzbu#reply790790

Pro odpověď se přihlašte.

Přihlásit