Re: Apache ad autenticazione forte

ciao,
concordo sulla necessità di utilizzare connessioni SSL con autenticazione 
lato client e crittografia forte.
Per definire il set di algoritmi utilizzabili non serve configurare il 
browser (praticamente tutti i browser ormai gestiscono i 128 bit), basta 
utilizzare la direttiva SSLCipherSuite e scegliere solo algoritmi forti.
Il punto debole di questa soluzione, ovviamente, è il client. In situazioni 
in cui mi è stato richiesto un livello di sicurezza molto elevato, ho 
preferito inserire il certificato dell'utente su una smart card 
crittografica: in questo modo riduci di molto il rischio lato client. E' 
una scelta di progetto che ha vantaggi in termini di sicurezza e di valore 
legale riguardo alle operazioni svolte, ma svantaggi in termini di costi e 
di usability (gli utenti devono avere comunque un lettore di smart card ...).
Riguardo all'idea di creare un file .js apposito, non conoscendo il target 
del servizio temo la possibile incompetenza dell'utente medio che, provando 
a collegarsi con browser diversi e non configurati strilla che il sistema 
"è rotto". La smart card ha il vantaggio che, essendo un pezzo di plastica 
come il bancomat, chiunque ha chiaro che deve infilarla nel lettore ! (non 
è una battuta, purtroppo il livello medio di competenze è piuttosto bassino 
...)

Spero ti sia di aiuto e fammi sapere.

	Dante 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List