Come forzare il browser a chiedere all'utente di reinviare il certificato dopo un logout

Question

Come forzare il browser a chiedere all'utente di reinviare il certificato dopo un logout

#1 da (3 voti)

4

Abbiamo un sito Web che supporta l'autenticazione basata su form (ad esempio, nome utente e password) e autenticazione del certificato in cui un utente invia il proprio certificato, il nome utente viene estratto dal certificato, una ricerca viene eseguita e l'utente ha effettuato l'accesso.

Nel caso dell'autent certificato, se un utente si disconnette; può semplicemente accedere di nuovo senza reinviare manualmente il certificato. Il browser lo farà automaticamente per lui. Vedo che questo è un po 'indesiderabile perché l'utente pensa di essere disconnesso, ma dopo aver fatto clic sull'URL in seguito, l'utente è appena stato inviato.

C'è qualcosa che possiamo fare per consentire al browser di ricontrollare l'invio del certificato con l'utente dopo un logout o per un evento specifico? Non possiamo modificare le impostazioni del browser perché non possiamo andare a tutti gli utenti finali e chiedere loro di cancellare la cache ssl.

authentication certificates session-management

posta dozer 07.03.2016 - 15:09

fonte

1 risposta

Leggi altre domande sui tag authentication certificates session-management

Qual è la differenza tra i diversi metodi di pulizia utilizzati da DBAN? Backdoor persistente con Netcat

score 3 · Accepted Answer

I certificati lato client sono attualmente una caratteristica utilizzata principalmente dall'azienda, e si basa in gran parte sul browser Web per gestire quando inviare il certificato al server (in gran parte un brutto elemento dell'interfaccia utente).

Quindi, al momento, l'utilizzo di un accesso solo in base al certificato implica l'accesso automatico ogni volta che si utilizza il certificato. (il browser ricorda di voler utilizzare il certificato e lo riutilizza quando si connette).

L'unico modo per impedire al browser di farlo è il lato client. l'utente deve 'dire' al browser di NON inviare il certificato.

un modo diverso per facilitare sia l'accesso al certificato che l'accesso utente / password consiste nel disporre di 2 pagine di accesso diverse, una per il login della password e una per il login del certificato. Quindi un utente finale può scegliere il tipo di accesso che desidera utilizzare.

C'è ovviamente anche la possibilità di revocare il certificato che l'utente ha e chiedergli di ottenere un nuovo certificato per accedere. un certificato revocato dovrebbe attivare il browser per fornire all'utente una "casella di selezione" per inviare un nuovo certificato.