Cómo forzar al navegador a solicitar al usuario que vuelva a enviar el certificado después de cerrar la sesión

Question

Cómo forzar al navegador a solicitar al usuario que vuelva a enviar el certificado después de cerrar la sesión

#1 de LvB (3 votos)

4

Tenemos un sitio web que admite la autenticación basada en formulario (es decir, basada en el nombre de usuario y la contraseña) y la autenticación de certificado donde un usuario envía su certificado, el nombre de usuario se extrae del certificado, se realiza una búsqueda y el usuario inicia sesión.

En el caso de cert auth, si un usuario cierra la sesión; simplemente puede volver a iniciar sesión sin volver a enviar el certificado manualmente. El navegador lo hará por él automáticamente. Veo que esto es un poco indeseable porque el usuario cree que se desconectó, pero al hacer clic en la URL posteriormente, el usuario acaba de recibirlo.

¿Hay algo que podamos hacer para que el navegador vuelva a verificar el envío del certificado con el usuario después de cerrar la sesión o para un evento específico? No podemos cambiar la configuración del navegador porque no podemos ir a todos los usuarios finales y pedirles que borren su caché ssl.

authentication certificates session-management

pregunta dozer 07.03.2016 - 15:09

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication certificates session-management

Armitage check exploit ¿Cómo puedo mantener los nombres de usuario fuera de / etc / passwd en LINUX [duplicado]

score 3 · Accepted Answer

Los certificados del lado del cliente actualmente son una característica que se utiliza principalmente en la empresa, y se basa en gran medida en el navegador web para administrar cuándo enviar el certificado al servidor (en su mayoría, un elemento feo ui).

Por lo tanto, actualmente el uso de un inicio de sesión solo basado en el certificado significa que usted inicia sesión automáticamente cada vez que usa el certificado. (el navegador recuerda que desea utilizar el certificado y lo reutiliza cuando se conecta).

La única forma de evitar que el navegador haga esto es del lado del cliente. el usuario debe "indicar" al navegador que NO envíe el certificado.

una forma diferente de facilitar el inicio de sesión de certificado y el inicio de sesión de usuario / contraseña es tener 2 páginas de inicio de sesión diferentes, una para el inicio de sesión de contraseña y otra para el inicio de sesión de certificado. Por lo tanto, un usuario final puede elegir qué tipo de inicio de sesión desea utilizar.

Por supuesto, también existe la posibilidad de revocar el certificado que tiene el usuario y solicitarle que obtenga un nuevo certificado para iniciar sesión. un certificado revocado activaría el navegador para dar al usuario un "cuadro de selección" para enviar un nuevo certificado.