Я поддерживаю веб-сайт Интранет для моей компании, который они хотят показать большому, плохому внешнему миру. Прямо сейчас у него нет никакой аутентификации или авторизации вообще. Моя идея управлять учетными записями пользователей заключается в использовании существующих технологий для проверки учетных записей пользователей и построения модели авторизации на основе этого. Существующими технологиями будут CardSpace и OpenID, которые избавят нас от ведения списков имен пользователей и паролей, что сделает сайт менее интересным для хакеров. Данные на сайте не так уж чувствительны. На самом деле, мы просто экспортируем те же данные для пользователей одного из наших настольных продуктов, что и XML, и любой может просмотреть эту информацию, если он знает, где она находится. Мы просто запрещаем всем изменять данные, кроме нескольких суперпользователей. В худшем случае суперпользователь уничтожает все данные, и в этом случае нам придется восстановить резервную копию. В худшем случае мы теряем один день ввода данных, что в лучшем случае приведет к сотне изменений. (98 было на самом деле самым большим количеством модификаций за один день.)
В целом, это не очень важные данные. Мы просто хотим, чтобы к этому добавилась некоторая безопасность.
Теперь руководство предложило создать дополнительную базу данных, в которой мы будем хранить имена пользователей и пароли, добавлять шифрование и делать все другие виды защиты этих пользовательских данных, и онив основном разрабатываю всевозможные странные схемы для обработки учетных записей пользователей. Никто из них не имеет опыта в технических аспектах разработки программного обеспечения, и никто из них не знает, как сделать системы безопасными. Таким образом, их проекты становятся полным хаосом. (С большой буквы.) Им требуется два месяца, чтобы придумать функциональный дизайн, поскольку они даже не могут договориться друг с другом по определенным аспектам безопасности.
Поэтому они попросили меня предоставить импонять понимание правильной безопасности. Поскольку я знаю, что и CardSpace, и OpenID достаточно безопасны, я хочу представить их им как лучший вариант для управления учетными записями. Добавьте к этому простую систему ролей, где каждая учетная запись связана с особой ролью, предоставляя дополнительные права «Только просмотр», это будет быстро внедрить и легко поддерживать. Построить это, сделать проверку концепции и найти достаточно технической информации легко. У меня только один вопрос ...
Как объяснить методики, такие как CardSpace и OpenID, людям, которые не имеют никакого технического образования? Что-то вроде «OpenID для чайников», но еще проще для понимания. У меня проблемы с поиском подходящих слов, не становясь немного техническим. (И что еще хуже, если я не смогу объяснить это правильно, они могут решить не использовать эту технику, и я буду обречен на реализацию монструозной конструкции.)
Пожалуйста, помогите! :-)
О, хорошо. Упрощенный вопрос: как объяснить нетехническими словами преимущество использования OpenID или CardSpace по сравнению с любыми домашними решениями? Приложение: Эти менеджеры не мои "нормальные" менеджеры. Они в основном генеральный директор и партнеры компании, которые пришли к идее опубликовать сайт. Обычно они делегируют эту задачу постоянным менеджерам и принимают любое решение, которое придут постоянные. Но это стало для них чем-то вроде престижного проекта, поэтому они лично участвуют. По крайней мере, один из них искал в Интернете информацию о безопасности и хочет, чтобы она была более безопасной, чем Fort Knox. Он вызывает немного паранойи, которую я должен покорить, не оскорбляя их. И все они, кажется, узнают больше об этой вещи "безопасности", даже не понимая технический аспект. Поскольку это престижный проект, они готовы принять дорогостоящее решение, но оно не очень хорошо для компании. Лично я хотел бы сказать им, чтобы они отступили и позволили настоящим профессионалам справиться с этим. С другой стороны, я также хотел бы сохранить свою работу, поэтому мне нужен более политкорректный ответ.