Non mi piace che i browser, i client di posta elettronica, ecc. vengano forniti in bundle con CA e che non vi sia enfasi per un meccanismo di autenticazione più decentralizzato. Fortunatamente, non è male, perché almeno, qualunque sia la nostra piattaforma preferita, possiamo creare i nostri clienti, ad esempio un client IMAP, utilizzando qualsiasi linguaggio di programmazione che ci piace, ad esempio Python, con qualsiasi CA in bundle che ci piace.
Sarebbe un peccato perdere questa flessibilità e iniziare a dipendere da nuove piattaforme, nuovi dispositivi USB, ecc. Certo, è uno standard aperto, ma se è parte di questo standard aperto, i server possono accettare solo hardware specifico come dispositivi USB speciali, quindi, in pratica, un programmatore non sarà in grado di programmare un client sulla piattaforma di sua scelta. Certo, qualsiasi grande azienda sarebbe in grado di costruire un dispositivo che rispetti lo standard, ma sarebbe comunque persa molta flessibilità. Non sto dicendo che questa è la situazione con il nuovo standard FIDO U2F, ma ne sono curioso.
Per me, un buon standard deve limitare il meno possibile entrambe le parti. Non appena uno "standard" consente a una parte di imporre vincoli all'attuazione dall'altra parte, anche nel nome della sicurezza, sembra che una nozione fondamentale di libertà, implicita nell'idea originale open source, sia sotto attacco. Questa idea originale era di consentire a qualsiasi programmatore di creare codice pratico con il minor numero possibile di vincoli. Forse la situazione è simile a quella delle CA per i certificati di siti Web o di e-mail ed è solo che l'enfasi attuale su hardware specifico sul lato client - non sarebbe male.
Le mie domande:
- Come possiamo costruire i nostri clienti, utilizzando la piattaforma e il linguaggio che preferiamo per connetterci con qualsiasi server conforme a U2F?
- È possibile costruire, ad esempio un client IMAP, sulla piattaforma di nostra scelta, per autenticarsi con qualsiasi server, ad esempio IMAP, che rispetti lo standard U2F?