mercoledì, settembre 13
PingID presenta Cardspace
Curiosamente, la presentazione su Cardspace è introdotta da Patrick Harding, CTO di Ping Identity, e solo il secondo e terzo sub-intervento provengono da Redmond.
Secondo Harding la guerra dei protocolli è finita il mondo converge su SAML 2.0 e WS-Federation. Il profili SAML 2.0 WebSSO e WS-Fed sono però una federazione "passiva". Cardspace, Higgins e il profilo ECP di SAML 2.0 sono invece una federazione "attiva".
Cardspace prevede l'uso di informazioni di identità auto-asserite, e prevede che l'individuo decida se federare la propria identità e come farlo.
La federazione passiva, secondo Harding, gestisce male la selezione o la discovery dell'IdP. Cardspace permette una selezione dell'IdP controllata dall'utente in modo più efficace. Cardspace, secondo Harding, permetterebbe un controllo più efficace del phishing perché le procedure d autenticazione sono graficamente distinte (e anche qualcosa di più... sono addirittura inglobate in Windows, come se questo fosse mai stata una garanzia di sicurezza fino ad ora).
Il concetto di "card" rappresenta un insieme di ruoli. Scegliendo una diversa Card scegli di presentarti con un diverso ruolo. Anche questo sembra molto simile alle LLP di Lewis e ai profili di INF3, speriamo che MS non abbia brevettato l'idea!
Mi pare però di capire che il problema del Cardspace e delle InfoCards sta nel fatto che sono radicate in profondità in Windows Vista. Se non hai Vista, non hai alcuna delle funzioni di federazione possibili con Cardspace. Inoltre le card sono gestite dal tuo PC; se vai su un altro PC, o su un chiosco, non puoi più godere della federazione. Mi pare anche di capire che ci siano nuovi metadati scambiati tra web server e client, quindi bisognerà vedere se usando altri sisemi operativi o addirittura solo altri browser sarà ancora possibile autenticarsi.
Uno degli aspetti interessanti di Cardspace è che MS afferma che sarà possibile avere un "trust model" deciso da chi offre ciascuna risorsa e non dall'IT dell'azienda. ovviamente in un mondo, come quello delle relazioni tra aziende, in cui non esiste un dominio sovraordinato in cui far valere accordi di trust come quelli di INF3, capire di chi puoi fidarti è un problema.
Secondo Harding la guerra dei protocolli è finita il mondo converge su SAML 2.0 e WS-Federation. Il profili SAML 2.0 WebSSO e WS-Fed sono però una federazione "passiva". Cardspace, Higgins e il profilo ECP di SAML 2.0 sono invece una federazione "attiva".
Cardspace prevede l'uso di informazioni di identità auto-asserite, e prevede che l'individuo decida se federare la propria identità e come farlo.
La federazione passiva, secondo Harding, gestisce male la selezione o la discovery dell'IdP. Cardspace permette una selezione dell'IdP controllata dall'utente in modo più efficace. Cardspace, secondo Harding, permetterebbe un controllo più efficace del phishing perché le procedure d autenticazione sono graficamente distinte (e anche qualcosa di più... sono addirittura inglobate in Windows, come se questo fosse mai stata una garanzia di sicurezza fino ad ora).
Il concetto di "card" rappresenta un insieme di ruoli. Scegliendo una diversa Card scegli di presentarti con un diverso ruolo. Anche questo sembra molto simile alle LLP di Lewis e ai profili di INF3, speriamo che MS non abbia brevettato l'idea!
Mi pare però di capire che il problema del Cardspace e delle InfoCards sta nel fatto che sono radicate in profondità in Windows Vista. Se non hai Vista, non hai alcuna delle funzioni di federazione possibili con Cardspace. Inoltre le card sono gestite dal tuo PC; se vai su un altro PC, o su un chiosco, non puoi più godere della federazione. Mi pare anche di capire che ci siano nuovi metadati scambiati tra web server e client, quindi bisognerà vedere se usando altri sisemi operativi o addirittura solo altri browser sarà ancora possibile autenticarsi.
Uno degli aspetti interessanti di Cardspace è che MS afferma che sarà possibile avere un "trust model" deciso da chi offre ciascuna risorsa e non dall'IT dell'azienda. ovviamente in un mondo, come quello delle relazioni tra aziende, in cui non esiste un dominio sovraordinato in cui far valere accordi di trust come quelli di INF3, capire di chi puoi fidarti è un problema.
# posted by Franz @ 11:23 
