Surfowanie bez podglądania?

Konsorcjum firm Liberty Alliance pracujące nad standardami dotyczącymi tożsamości cyfrowych i mechanizmów uwierzytelniania w serwisach internetowych opublikowało wersję roboczą 1.1 specyfikacji. Wersja 1.1. powstała jako odpowiedź na uwagi, które Liberty Alliance otrzymało w ciągu ostatnich kilku miesięcy od swoich członków a także organizacji niezrzeszonych.

Aktualizacja polega na przeredagowaniu niektórych pojęć niedostatecznie jasno zdefiniowanych w wersji 1.0. W wersji 1.1. wprowadzono m.in. zmiany profilu Liberty-Enabled Client/Proxy (LECP). Wprowadzone poprawki profilu Liberty-enabled Client/Proxy zasygnalizowały równolegle firmy IBM i Sun. W wersji 1.0 stwierdzono brak zabezpieczenia profilu przed możliwością ingerencji niepożądanego użytkownika i jego wejścia pomiędzy serwis a użytkownika korzystającego z urządzenia przenośnego. Po przechwyceniu potwierdzenia tożsamości użytkownika, niepożądany użytkownik mógłby użyć go w danym serwisie podszywając się pod zarejestrowanego użytkownika. Błąd w zabezpieczaniu był już opisywany w erracie do specyfikacji Liberty Alliance, opublikowanej w październiku br, a obecnie został uwzględniony w wersji 1.1.

Zwiększono także elastyczność dla serwisów uwierzytelniania i usług. Pierwsza poprawka pozwoli na okresową zmianę klucza jednorazowego (losowo generowanej sekwencji identyfikacyjnej, wykorzystywanej tylko i wyłącznie przez dany serwis usług i serwis uwierzytelniania, który identyfikuje użytkowników). Druga poprawka zapewnia zwiększoną elastyczność w zakresie identyfikacji mechanizmu(ów) uwierzytelniania wykorzystywanych przez użytkownika końcowego.

Sojusz planuje publikować swoje specyfikacje etapowo. Wersja 2.0 spodziewana jest w roku 2003. Zostanie w niej przedstawiona infrastruktura niezbędna do tworzenia i eksploatacji systemów identyfikacji i uwierzytelniania użytkowników w serwisach sieciowych firm, organizacji i instytucji administracji państwowej. Infrastruktura obejmuje mechanizmy współdzielenia atrybutów w zależności od uprawnień i pozwoli na łączenie w grupy organizacji lub domen uwierzytelniania, które dotychczas funkcjonowały w pełnej izolacji (grupy takie są często nazywane "kręgami zaufania").

http://www.projectliberty.org/specs/v1_1draft/

(PC Kurier)

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas