[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente
| successivo
| indice ]
[ Argomento: precedente
| successivo
| indice ]
Archivio: Novembre 2004 ml@sikurezza.org
Soggetto: [ml] Re: Xml firewall
Mittente: fabio.dianda
Data: Tue, 23 Nov 2004 00:09:32 +0100 (CET)
Visto che i blog sono ammessi ...
In [1] si trova una posizione, che personalmente condivido in molti
punti, sulla necessità di andare oltre la tradizionale autenticazione
dell'identità.
Circa lo scettcismo intorno a tecnologie Xml related in area sicurezza,
nella mia limitata esperienza ho imparato a distinguere tra scetticismo
e volontà di ignorare: (per fare contento Koba) incontro quotidianamente
al bar un nutrito gruppo di "geni" che sostengono (cito) "Siamo sicuri
... cifriamo a layer 3..." francamente, mi sono rotto di tentare di far
notare a questi cialtroni che il punto non è la sola cifratura del layer
2 o 3 o 4 o ...
Tornando ad argomenti meno scazzoni: l'idea che mi ero fatto è che la
cosidetta federazione delle identità fosse un must nell'era dei servizi
"loosely coupled", ma avrei voluto chiarire almeno due punti:
1) Chi era il reale destinatario dell'informazione autenticata ? L'idea
che avevo è che un Xml firewall faceva un pò di lavoro sporco
(decifrava, controllava la firma, serializzava/deserializzava ecc.) ma
che di fatto era un proxy dell'applicazione, in grado di capire il
protocollo che stava filtrando (Idea che non dovrebbe discorstarsi molto
da parte della definizione di firewall data da Bellovin e Cheswick nella
prima edizione di Firewall and Internet Security [2]).
2) Quale modello di autorizzazione "implementava" un firewall Xml ? Un
modello classico come le ACL era ancora adeguato per questo contesto ?
Se le asserzioni SAML sono la scelta de-facto per trasferire le
asserzioni tra domini, come orchestravo il flusso di attributi,
credenziali, token che un utente poteva presentare ? Il mondo WS abbonda
di reccommendation, draft, working qualcosa, ecc., in ogni caso la
maggior parte di essi sono della sintassi, espressiva (verbosa ?) ma
sintassi ... è possibile implementare un Mandatory Access Control con
queste sintassi ?
balyfix, Buon Lavoro,
Fabio Dianda
[1] http://www.andredurand.com/2004/09/17.html#a430
[2] http://www.wilyhacker.com/1e/chap01.pdf
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005