A partire da gennaio 2013, quali sono i potenziali vantaggi e svantaggi dell'elemento HTML5 Keygen?
A partire da gennaio 2013, quali sono i potenziali vantaggi e svantaggi dell'elemento HTML5 Keygen?
Pro
Può migliorare la sicurezza durante l'autenticazione (in aggiunta a un dispositivo multifattore)
Se usato come "certificato client", può rendere gli attacchi MITM molto più difficili
Il tag Keygen è implementato sulla maggior parte dei browser non IE, semplificando l'implementazione
Funziona indipendentemente dall'autorizzazione dell'amministratore. Con IE Active X i controlli possono essere disabilitati e IE e le impostazioni del browser possono rendere impossibile la generazione di chiavi su sistemi strettamente controllati. In questa situazione l'attuale Keygen nei browser non-IE è spesso l'unico metodo privo di errori per generare e utilizzare i certificati client
Contro e amp; Carenze
I certificati non sono facilmente trasferibili tra i sistemi (per alcuni, questo è un "pro")
La chiave privata non è memorizzata in una posizione standard
L'interfaccia utente è confusa e difficile da capire
Richiede all'utente di selezionare la lunghezza della chiave appropriata da un elenco. La maggior parte degli utenti non è in grado di prendere questa decisione.
Scarsa esperienza utente quando all'utente viene richiesto di scaricare il certificato. Un approccio migliore avrebbe l'invio chiave e la risposta dei certificati integrati nello stesso controllo. ( soluzione possibile anche questo su SO )
<keygen>
non fornisce un meccanismo per la gestione della scadenza del certificato
Nessuna lunghezza o hash della chiave standard implementata nei browser
Manca il supporto dell'algoritmo (RSA, DSA, ECC, ecc.)
La selezione della chiave dovrebbe provenire dal modulo, non dall'utente selezionabile.
La firma è basata su MD5 ( che può essere mitigato da una sfida basata sul tempo )
Il flag keygen non esportabile manca
Il flag keygen protetto dall'hardware è mancante
manca la protezione password richiesta
Il certificato è limitato alle applicazioni basate su RSA
Il modulo HTML potrebbe essere modificato localmente e sicurezza della generazione di chiavi ridotta di conseguenza
Se ti iscrivi a un Microsoft Certificate Server, l'unico CertType supportato è "server" tramite API DCOM
Il formato utilizzato da non è standard e fornisce solo un sottoinsieme di protocolli già stabiliti come PKCS10 , < a href="http://tools.ietf.org/html/rfc5272"> CMC e CRMF . Ciò impedisce il supporto di certificati non basati su RSA, estensioni per ulteriori informazioni sul cliente e key escrow
Non supportato in IE grazie al miglior supporto con CertEnroll
e il problemi descritti qui
Leggi altre domande sui tag html encryption web-browser certificates html-5