¿Cómo podemos garantizar nuestra implementación de autenticación personalizada a un cliente?

1

Contexto
En .Net 4.6, mi equipo utilizó los sistemas integrados de autenticación / autorización de Microsoft principalmente a través de sus herramientas de Owin. En .Net Core Microsoft decidió NO portar ese segmento de herramientas. Entonces, tomamos la decisión de escribir nuestro propio middleware de autenticación para generar, autenticar y autorizar JWT en nuestras aplicaciones .Net Core.

Nota: Tuvimos cuidado de asegurarnos de seguir muy de cerca el estándar OAuth

La pregunta
¿Hay algún 'sello de aprobación' para nuestro middleware de autenticación personalizado que podríamos tener para garantizar que la seguridad de la aplicación de nuestros clientes sea confiable?

El escenario
La idea es que un cliente pueda venir a nosotros y decir '¿qué tipo de seguridad está usando en nuestra aplicación?' Le explicaríamos el flujo de seguridad utilizado en la aplicación e incluiríamos nuestra autenticación personalizada en esa respuesta. Entonces, probablemente podrían responder 'Custom auth middleware? Eso suena peligroso, ¿cómo puedes asegurarnos de que esté seguro?

Las posibilidades
Lo que buscábamos podría ser un certificado, podría ser solo para decir que nuestro sistema de autenticación sigue un estándar particular. O tal vez, no hay nada en absoluto y lo mejor que podemos hacer es simplemente decir 'confía en nosotros, hemos hecho esto antes ... -_-'.

    
pregunta raykrow 21.05.2017 - 21:28
fuente

1 respuesta

1

Si tiene el dinero, obtenga una prueba del sistema por parte de una empresa de renombre. Hay muchas empresas disponibles (por ejemplo, Synopsys / Cigital, Rapid7, SEC Consult, etc.). Espere que le cueste entre $ 40K y $ 50K USD.

Luego, puede mostrar el informe de la prueba a su cliente o decirle que se hizo la prueba de la pluma y no se encontraron problemas. Tenga cuidado al mostrar los informes al cliente, si lo hace una vez, lo esperarán a partir de ese momento. Mi empresa no mostrará los informes de prueba de la pluma a un cliente, pero los caracterizará (por ejemplo, "Se encontraron X máximos, Y medios y Z bajos y todos se han remediado").

    
respondido por el Swashbuckler 21.05.2017 - 21:51
fuente

Lea otras preguntas en las etiquetas