Single sign on - è un modo sicuro per accedere?

0

Sto scherzando con una sorta di procedura di accesso unico. Supponiamo che ci sia site1 e site2 e che entrambi utilizzino un certificato SSL. Gli utenti hanno effettuato l'accesso su site1. Mi chiedevo cosa ne pensano gli esperti in questo modo per consentire agli utenti di accedere automaticamente su site2 ospitato su un server diverso:

  1. facendo clic su un collegamento in site1 si ottiene l'url (su site2) e 2 codici da un database
  2. site1 reindirizza all'url (sul sito2) e invia i 2 codici come richiesta post
  3. Site2 verifica se la pagina da cui è stato reindirizzato proviene realmente da site1 e se la combinazione dei codici è corretta
  4. Se così sito2 crea un hash e lo memorizza nel database e invia il risultato a site1
  5. Sito1 reindirizza a site2 e invia l'hash
  6. se l'hash è nel database e è stato ricevuto da site1 e in poco tempo dopo averlo creato l'utente ha effettuato l'accesso.

Questo è un modo (abbastanza) sicuro per una procedura di signle sign on o è orribilmente insicuro? Se quest'ultimo: dove si trovano i pericoli?

    
posta bolvo 25.07.2014 - 12:23
fonte

1 risposta

1

Basta semplicemente "il sito 2 controlla se la pagina da cui è stato reindirizzato è veramente il sito 1" ... come? Non c'è un buon modo per farlo senza ulteriori informazioni che il sito 1 può utilizzare per verificare la sua identità tramite una sfida dal sito 2.

Questo sembra troppo complicato per passare un'autenticazione. Tutto ciò che deve essere fatto, purché sia il Sito 1 che il Sito 2 si comunicano tra loro e si conoscono, è per loro di essere d'accordo tra loro su un token e di reindirizzare l'utente con quel token in modo che un sito sappia che è lo stesso utente che si trovava sull'altro sito.

Non eseguire il rollover, utilizzare OAuth o qualcosa di simile, consentirà una migliore integrazione con più siti ed è anche uno standard ben supportato e testato.

    
risposta data 25.07.2014 - 16:42
fonte

Leggi altre domande sui tag