Alex Exler: И здесь очень важный момент заключается в том, что тикет, представляющий собой подписанное и зашифрованное XML-сообщение, поставщиком отправляется сначала пользователю, а затем от пользователя поступает на запрашивающий сервис. Таким образом, поставщик удостоверений ничего не знает о том, какие сервисы запрашивали информацию о данном пользователе.
Дыры "от Микрософт" уже давно стали притчей. Уверен, что как только наметится хоть какая-то массовость, то повятся методы умеющие подменять эти тикеты. То бишь севис сделает попытку запросить подверждение у поставщика удостоверения, а пользователь сам сформирет и отправит ему это подтверждение не обращаясь к поставщику. Проще говоря - сэмулирует ответ поставщика. Конечно если сервис дейтвительно напрямую к поставщику не обращается, а все запросы-ответы происходят через посредничество пользователя.
потому что HTTP/S это транспортный протокол (https://) а WS-* это application протоколы уровнем выше, которые могут быть транспортируемы как с помощью HTTP/S так и просто HTTP а также FTP, email и просто абстрактный обмен файлами.
Это всё, конечно, удобно, но система односторонней направлености - только для удобства пользователей.
Это сравнимо с тем, что человек может в любой момент пойти и получить новый паспорт с новым именем и личными данными.
Кто бы еще придумал такую обязательную систему, чтобы у пользователя был всегда один и тот же ID и при, допустим, бане его на каком-нибудь ресурсе модератору не приходилось заморачиваться тем, что придется вылавливать клонов пользователя, а банить человека раз и навсегда... И так далее 😄
Почему - то очень напоминает просто метод идентификации пользователя сертификатами .. только упрощенный и надстроеный всеми вот этими танцами с требованием наличия полей итп.
После того как пользователь выберет нужную карточку, сервис обращается к поставщику удостоверений (в каждой карточке содержится информация о том, каким поставщиком она выдана) с просьбой предоставить специальный тикет (ticket), содержащий информацию о пользователе,
По идее сервис то к поставщику как раз не обращается, иначе последний будет знать куда ходил пользователь... Непонятно написано.
Я конечно полезу сейчас искать то, что спрошу, но спросить всё-таки стоит.
1. Каким образом защищены "карточки" хранящиеся локально от доступа к ним всяких троянов и т.п.
2. В какой мере реализован функционал для хранения "карточек" на внешних носителях, например для полной переустановки системы
3. Есть ли какое-то решение для работы с "карточками" используя публичные компьютеры?
Просто будут существовать, получается, разные карточки с разным уровнем проверки достоверности данных. Если для форума будет достаточно карточки, в которой проверен лишь ваш email, то для работы с денежными системами будет нужна карточки, в которой поставщиком удостоверений будут проверены ваши паспортные и другие по необходимости данные.
Идея хороша, осталось лишь дождаться ее массового внедрения.
Звучит неплохо (при том, что я слишком слаб в технической стороне вопроса). Только поставщик удостоверений в наших условиях, интересно, откуда будет получать исходные данные паспорта или водительского удостоверения?
Вариант с "визитными карточками", ИМХО, более прост и привлекателен, хотя у них разные цели и "судьбы".
Lisenkov: . Только поставщик удостоверений в наших условиях, интересно, откуда будет получать исходные данные паспорта или водительского удостоверения?
Ниоткуда. Он их и не должен получать. При регистрации же на форуме тоже никто данные паспорта или удостоверения не требует, правильно?
Дыры "от Микрософт" уже давно стали притчей. Уверен, что как только наметится хоть какая-то массовость, то повятся методы умеющие подменять эти тикеты. То бишь севис сделает попытку запросить подверждение у поставщика удостоверения, а пользователь сам сформирет и отправит ему это подтверждение не обращаясь к поставщику. Проще говоря - сэмулирует ответ поставщика. Конечно если сервис дейтвительно напрямую к поставщику не обращается, а все запросы-ответы происходят через посредничество пользователя.
> HTTP/S (WS-Security, WS-Trust, WS-MetadataExchange и WS-SecurityPolicy)
Технически некорректная неточная цитата из
http://blogs.gotdotnet.ru/personal/allo/PermaLink.aspx?guid=49B689DE-4DA3-48F7-B944-8B32CDE007AE
потому что HTTP/S это транспортный протокол (https://) а WS-* это application протоколы уровнем выше, которые могут быть транспортируемы как с помощью HTTP/S так и просто HTTP а также FTP, email и просто абстрактный обмен файлами.
Это сравнимо с тем, что человек может в любой момент пойти и получить новый паспорт с новым именем и личными данными.
Кто бы еще придумал такую обязательную систему, чтобы у пользователя был всегда один и тот же ID и при, допустим, бане его на каком-нибудь ресурсе модератору не приходилось заморачиваться тем, что придется вылавливать клонов пользователя, а банить человека раз и навсегда... И так далее 😄
По идее сервис то к поставщику как раз не обращается, иначе последний будет знать куда ходил пользователь... Непонятно написано.
1. Каким образом защищены "карточки" хранящиеся локально от доступа к ним всяких троянов и т.п.
2. В какой мере реализован функционал для хранения "карточек" на внешних носителях, например для полной переустановки системы
3. Есть ли какое-то решение для работы с "карточками" используя публичные компьютеры?
Идея хороша, осталось лишь дождаться ее массового внедрения.
Вариант с "визитными карточками", ИМХО, более прост и привлекателен, хотя у них разные цели и "судьбы".
Ниоткуда. Он их и не должен получать. При регистрации же на форуме тоже никто данные паспорта или удостоверения не требует, правильно?