Quali sono i vantaggi e gli svantaggi dell'elemento HTML5 Keygen?

9

A partire da gennaio 2013, quali sono i potenziali vantaggi e svantaggi dell'elemento HTML5 Keygen?

    
posta random65537 13.01.2013 - 16:08
fonte

1 risposta

12

Pro

  • Può migliorare la sicurezza durante l'autenticazione (in aggiunta a un dispositivo multifattore)

  • Se usato come "certificato client", può rendere gli attacchi MITM molto più difficili

  • Il tag Keygen è implementato sulla maggior parte dei browser non IE, semplificando l'implementazione

  • Funziona indipendentemente dall'autorizzazione dell'amministratore. Con IE Active X i controlli possono essere disabilitati e IE e le impostazioni del browser possono rendere impossibile la generazione di chiavi su sistemi strettamente controllati. In questa situazione l'attuale Keygen nei browser non-IE è spesso l'unico metodo privo di errori per generare e utilizzare i certificati client

Contro e amp; Carenze

  • I certificati non sono facilmente trasferibili tra i sistemi (per alcuni, questo è un "pro")

  • La chiave privata non è memorizzata in una posizione standard

  • L'interfaccia utente è confusa e difficile da capire

  • Richiede all'utente di selezionare la lunghezza della chiave appropriata da un elenco. La maggior parte degli utenti non è in grado di prendere questa decisione.

  • Scarsa esperienza utente quando all'utente viene richiesto di scaricare il certificato. Un approccio migliore avrebbe l'invio chiave e la risposta dei certificati integrati nello stesso controllo. ( soluzione possibile anche questo su SO )

  • <keygen> non fornisce un meccanismo per la gestione della scadenza del certificato

  • Nessuna lunghezza o hash della chiave standard implementata nei browser

  • Manca il supporto dell'algoritmo (RSA, DSA, ECC, ecc.)

  • La selezione della chiave dovrebbe provenire dal modulo, non dall'utente selezionabile.

  • La firma è basata su MD5 ( che può essere mitigato da una sfida basata sul tempo )

  • Il flag keygen non esportabile manca

  • Il flag keygen protetto dall'hardware è mancante

  • manca la protezione password richiesta

  • Il certificato è limitato alle applicazioni basate su RSA

  • Il modulo HTML potrebbe essere modificato localmente e sicurezza della generazione di chiavi ridotta di conseguenza

  • Se ti iscrivi a un Microsoft Certificate Server, l'unico CertType supportato è "server" tramite API DCOM

  • Il formato utilizzato da non è standard e fornisce solo un sottoinsieme di protocolli già stabiliti come PKCS10 , < a href="http://tools.ietf.org/html/rfc5272"> CMC e CRMF . Ciò impedisce il supporto di certificati non basati su RSA, estensioni per ulteriori informazioni sul cliente e key escrow

  • Non supportato in IE grazie al miglior supporto con CertEnroll e il problemi descritti qui

risposta data 13.01.2013 - 16:08
fonte

Leggi altre domande sui tag