Обзоры / КОММЕНТАРИИ

Конференция MIX'2007: CardSpace

19.06.2007 15249   Комментарии (15)
© 1998–2025 Alex Exler
19.06.2007
Назад Вперед

Комментарии 15

Alex Exler: И здесь очень важный момент заключается в том, что тикет, представляющий собой подписанное и зашифрованное XML-сообщение, поставщиком отправляется сначала пользователю, а затем от пользователя поступает на запрашивающий сервис. Таким образом, поставщик удостоверений ничего не знает о том, какие сервисы запрашивали информацию о данном пользователе.


Дыры "от Микрософт" уже давно стали притчей. Уверен, что как только наметится хоть какая-то массовость, то повятся методы умеющие подменять эти тикеты. То бишь севис сделает попытку запросить подверждение у поставщика удостоверения, а пользователь сам сформирет и отправит ему это подтверждение не обращаясь к поставщику. Проще говоря - сэмулирует ответ поставщика. Конечно если сервис дейтвительно напрямую к поставщику не обращается, а все запросы-ответы происходят через посредничество пользователя.
CSE
01.07.07 13:58
0 0



> HTTP/S (WS-Security, WS-Trust, WS-MetadataExchange и WS-SecurityPolicy)

Технически некорректная неточная цитата из

http://blogs.gotdotnet.ru/personal/allo/PermaLink.aspx?guid=49B689DE-4DA3-48F7-B944-8B32CDE007AE

потому что HTTP/S это транспортный протокол (https://) а WS-* это application протоколы уровнем выше, которые могут быть транспортируемы как с помощью HTTP/S так и просто HTTP а также FTP, email и просто абстрактный обмен файлами.
eak
22.06.07 10:49
0 0

Это всё, конечно, удобно, но система односторонней направлености - только для удобства пользователей.

Это сравнимо с тем, что человек может в любой момент пойти и получить новый паспорт с новым именем и личными данными.

Кто бы еще придумал такую обязательную систему, чтобы у пользователя был всегда один и тот же ID и при, допустим, бане его на каком-нибудь ресурсе модератору не приходилось заморачиваться тем, что придется вылавливать клонов пользователя, а банить человека раз и навсегда... И так далее 😄
Jaturkenjensirhiv
19.06.07 21:57
0 0

Почему - то очень напоминает просто метод идентификации пользователя сертификатами .. только упрощенный и надстроеный всеми вот этими танцами с требованием наличия полей итп.
DanNsk
19.06.07 11:50
0 0

После того как пользователь выберет нужную карточку, сервис обращается к поставщику удостоверений (в каждой карточке содержится информация о том, каким поставщиком она выдана) с просьбой предоставить специальный тикет (ticket), содержащий информацию о пользователе,



По идее сервис то к поставщику как раз не обращается, иначе последний будет знать куда ходил пользователь... Непонятно написано.
Z@vulon
DanNsk
19.06.07 13:03
0 0

Я конечно полезу сейчас искать то, что спрошу, но спросить всё-таки стоит.
1. Каким образом защищены "карточки" хранящиеся локально от доступа к ним всяких троянов и т.п.
2. В какой мере реализован функционал для хранения "карточек" на внешних носителях, например для полной переустановки системы
3. Есть ли какое-то решение для работы с "карточками" используя публичные компьютеры?
dm.CaT
19.06.07 11:31
0 0

Просто будут существовать, получается, разные карточки с разным уровнем проверки достоверности данных. Если для форума будет достаточно карточки, в которой проверен лишь ваш email, то для работы с денежными системами будет нужна карточки, в которой поставщиком удостоверений будут проверены ваши паспортные и другие по необходимости данные.



Идея хороша, осталось лишь дождаться ее массового внедрения.
Alex Nevsky
19.06.07 11:12
0 0

Звучит неплохо (при том, что я слишком слаб в технической стороне вопроса). Только поставщик удостоверений в наших условиях, интересно, откуда будет получать исходные данные паспорта или водительского удостоверения?

Вариант с "визитными карточками", ИМХО, более прост и привлекателен, хотя у них разные цели и "судьбы".
Lisenkov
19.06.07 10:03
0 0

Lisenkov: . Только поставщик удостоверений в наших условиях, интересно, откуда будет получать исходные данные паспорта или водительского удостоверения?



Ниоткуда. Он их и не должен получать. При регистрации же на форуме тоже никто данные паспорта или удостоверения не требует, правильно?
Alex Exler
Lisenkov
19.06.07 10:06
0 0
Назад Вперед

Темы обзоров
Разное 254
Смартфоны 240
Наушники 74
Часы 65
Планшеты 60
Ридеры 52
Бытовая техника 44
Медиаплееры 37
Видеорегистраторы 33
Фотокамеры 27
Сервисы 20
Ноутбуки 19
Сетевое 16
Компьютеры 15
Сетевые накопители 15
Программы 15
Фитнес-браслеты 14
Аудиоустройства 9
Видеонаблюдение 9
Мониторы 7
Экшн-камеры 3
Аккумуляторы 2
Симкарты 2
Дроны 1
Презентации 1
Выставки 1
Все темы
Информация
О разделе
Рейтинг
RSS-лента
Архив
Мой список рекомендованных смартфонов
Мой список рекомендованных умных часов
Что ещё почитать
Игра королевы
17.04.2025
79
Круглые билеты квадратных опоссумов
16.05.2025
113
Голый пистолет
11.09.2025
94
Хостинг Зенон Н.С.П. Серверы
© 1998–2025 Alex Exler