¿Cómo puedo garantizar la privacidad al subcontratar la autenticación a un IdP (proveedor de identidad)?

Navega tus respuestas
0

Necesito externalizar la autenticación a un IdP (Proveedor de identidad) pero no quiero que ese IdP sepa del sitio que llama. Los dos problemas principales son la URL de devolución de llamada y el encabezado referer .

¿Hay alguna forma de "ocultar" o enmascarar la URL de devolución de llamada, el encabezado referer y cualquier otro dato que pueda existir?

Algunas ideas pueden incluir

  • Uso de javascript para HTTP POST
  • Usar un objeto como ActiveX o complemento
  • Adaptar Mozilla Persona a la idea (a menos que ya lo haga)
  • Devolución de llamada a un proxy que simplemente salta y anonimiza el tráfico

¿Alguien conoce una forma de autenticar un sitio utilizando un tercero, ocultar la identidad del sitio de origen?

    
pregunta random65537 11.03.2013 - 00:21
fuente

1 respuesta

2

No creo que sea una buena idea ocultar la identidad del Proveedor de servicios (SP) al Proveedor de Identidades (IdP, un tercero de confianza).

  1. El IdP proporciona autenticación como un servicio para los SP que se integran con él.
  2. Esto se incluye en gestión de identidad federada que depende completamente del establecimiento de relaciones de confianza entre diferentes dominios.
  3. Esto permite a los usuarios finales autenticarse con un dominio (IdP) y acceder a servicios que pertenecen a diferentes dominios (inicio de sesión único)
  4. Dado que el IdP está proporcionando un servicio a SP, debe tener un mecanismo para identificar el SP del cual proviene la solicitud de autenticación. y para verificar la autenticidad de la solicitud. (generalmente implementado al verificar la firma digital del SP y algún tipo de acuerdo previo entre las dos partes)

Permítanos decirle que (SP) no desea compartir su información de identidad con IdP.

  1. Después de verificar las credenciales del usuario, ¿cómo notificará el IdP al SP que el usuario está autenticado o no? (se necesita la devolución de llamada)
  2. Si no existe un método seguro para identificar a la parte solicitante, algunas aplicaciones web malintencionadas pueden simular ser usted y comunicarse con el IdP. Esto puede comprometer cierta información importante.
  3. Permítanos considerar un caso extremo en el que confía en que un tercero se comunique con el IdP en su nombre. Incluso entonces necesita tener algún mecanismo para verificar la autenticidad de la solicitud de autenticación. (De nuevo, debe compartir su clave pública)
respondido por el Shurmajee 20.03.2013 - 12:58
fuente

Lea otras preguntas en las etiquetas

Definiciones de informática forense y seguridad de la información [cerrado] Prevención de DDoS (LOIC ya no hace el trabajo) [cerrado]