Безопасный единый вход для защищенных и уязвимых веб-служб - PullRequest
0 голосов
/ 15 августа 2011

Я хотел бы знать, возможно ли иметь безопасный единый вход на двух веб-сервисах, из которых одно более безопасно, чем другое. Чтобы быть более конкретным, менее безопасным был бы форум vbulletin, а более безопасный - веб-сервис, где реальные деньги зарабатываются, снимаются и т. Д. Для удобства пользователей я хотел бы внедрить безопасный единый вход, но с нетерпением в послужном списке безопасности vbulletin, особенно в xss уязвимостях, даже в SQL-инъекциях, тогда я не уверен, будет ли sso жизнеспособным вариантом, если это ухудшит безопасность более безопасного сервиса.

Ответы [ 2 ]

0 голосов
/ 15 августа 2011

Может быть допустимо использовать учетные данные с высокой степенью достоверности для проверки подлинности в системе с низкой степенью достоверности при условии, что долгосрочные общие секреты аутентификации не раскрываются в системе с низкой степенью достоверности (см., Например, специальную публикацию NIST 800-63)., Уровень-2 и выше).Как правило, для этого требуется подтверждение (например, SAML) от провайдера учетных данных проверяющей стороне.CSP, которому доверяют, принимает учетные данные и подтверждает свою подлинность и, возможно, другие атрибуты, связанные с подписчиком, проверяющей стороне (приложению), которая не является доверенной.Поскольку секретные токены, связанные с учетными данными (например, паролем), никогда не отправляются проверяющей стороне, нарушение этой службы не даст злоумышленнику полезных знаний для атаки на систему с высокой степенью надежности.Таким образом, существует ряд отраслевых стандартов, таких как OpenID и OATH, для федерации учетных данных.

0 голосов
/ 15 августа 2011

Хватит изобретать свои собственные системы входа. Используйте OpenID , как это делает сам StackOverflow. Это решит вашу проблему аккуратно, и ваши пользователи будут очень довольны, что вы не заставили их вспомнить еще один пароль.

...