1) The XML Namespaces you will find in all the SDK examples are WRONG !!!
Those namespaces come from the pre-release world.
For Example : http://schemas.microsoft.com/ws/2005/05/identity/iss...
Should be changed to http://schemas.xmlsoap.org/ws/2005/05/identity/iss...
To summarize: where ever you see the name "microsoft.com" in the XML namespace
Change it to "xmlsoap.org"
2) Many people think CardSpace is just another Identity System. It is NOT !!!
Card space is a federated Identity System! This means that the users details are managed somewhere else (In the identity provider) Not in your process. THIS IS GREAT !
(for some people it is difficult to get used to this).
Federated credentials means that in your system there are at least two "domains":
One, to manage the users (and do other things) and another to use the information in the token the identity provider will provide.
If you do not have two or more such "domains" CardSpace is not for you !
This is also why WCF / ASP.Net are the most natural frameworks to use CardSpace.
manu
למה הבנקים בישראל מעודדים Phishing ? או איך לגנוב סיסמאות .
נניח שחפצה נפשך לראת פרטים בנקאיים כאלה או אחרים של לקוחות בנק מסויים... מה צריך לעשות ?
וכן כל מה שאתה צריך זה גרפיקאי טוב שיעתיק עבורך את חזות אתר הבנק שאתה רוצה לתקוף.
כעת יש לכתוב מייל שמציע מבצע הנחות לרגל החג הקרוב ובמסגרתו יוכל הלקוח לקבל פטור מעמלות לחודש אם ירשם למבצע. את המייל יש להפיץ בתפוצת NATO . (כמה שיותר כמו כל Phishing Attack)
מסתבר שאנשים סומכים על מה שהם רואים (יש מספיק מחקרים שמוכיחים זאת) ולכן אם האתר שלנו יהיה מספיק דומה לאתר הבנק ישמחו לקוחות רבים להרשם למבצע.
ברישום הם יספקו לנו את כל הפרטים שלהם: שם משתמש, Password, מספר מזהה ומספר הנעליים של סבתא שלהם. כעת האתר שלנו יודה ללקוח והסיפור נגמר.
רוב הלקוחות לא יודעים מה זה SSL ואיך הוא עובד ולכן העובדה שאין לנו SSL לא רלוונטית. האמת שאנו יכולים לייצר לנו סרטיפיקט ולבצע SSL תוך ידיעה שהדפדפן לא יסמוך עליו ושוב הלקוח לא יודע מה זה סרטיפיקט ולכן הוא לא ידע מה לעשות עם ההזהרה שיוציא הדפדפן (7IE קצת השתפר בתחום) והופ אנו בפנים.
כיצד מונעים התקפה כזו ?
משתמשים ב - CardSpace (זה יקרה בעתיד אני מאמין) או כעת עוברים ל – Two Phase Login !
הבנק מבקש מכל לקוח תמונה פרטית שלו, אותה הוא יאחסן בבנק.
תהליך ההזדהות מחולק לשני חלקים:
1. הלקוח מספק Username ומספר מזהה וכו' והבנק מגיב בהצגת התמונה.
אנו מניחים כי לתוקף אין גישה לתמונה. וכך הבנק מוכיח שהוא באמת הבנק באמצעי אנושי וברור.
2. רק אז מספק הלקוח את הסיסמה.
למה לא משתמשים ב - Two Phase Login ? על טיפשות כבר שמעתם ?
אין לי שום דבר עקרוני בעד תמונות…
אני חושב שיש צורך לבצע תהליך אוטנטיקציה שיוכיח ללקוח הפשוט שהוא מדבר מול הבנק. ללקוח הפשוט תמונה יכולה להיות פתרון אך גם כל "אינפורמציה אחרת (Claim) יכולה לעשות את העבודה.
SSL לא מספיקה כי ללקוח הפשוט היא לא רלוונטית נקודה. (מיקרוסופט כבר הבינה זאת ולכן היא מקדמת סרטיפיקט חדש שמכיל תמונות (לוגו) ואינפורמציה נוספת שלקוח פשוט יכול להבין.
פירוק תהליך האוטנטיקציה לשניים יקשה מאוד Phishing וזאת המטרה.
לגבי עלות תועלת זאת שאלה שצריך לשאול בכלל על אבטחה ...
מנו כהן-ישר