¿Cuáles son los beneficios e inconvenientes del elemento HTML5 Keygen?

Navega tus respuestas
9

A partir de enero de 2013, ¿cuáles son los posibles beneficios e inconvenientes del elemento HTML5 Keygen?

    
pregunta random65537 13.01.2013 - 16:08
fuente

1 respuesta

12

Pros

  • Puede mejorar la seguridad al autenticar (además de un dispositivo multifactor)

  • Si se usa como un "certificado de cliente", puede hacer que los ataques MITM sean mucho más difíciles

  • La etiqueta Keygen se implementa en la mayoría de los navegadores que no son IE, lo que hace que sea muy fácil de implementar

  • Funciona independientemente del permiso del administrador. Con IE, los controles ActiveX se pueden desactivar y las configuraciones de IE y del navegador pueden hacer que la generación de claves sea imposible en sistemas con un control estricto. En esta situación, el Keygen actual en los navegadores que no son IE a menudo es el único método sin errores para generar y utilizar certificados de cliente

Contras & Deficiencias

  • Los certificados no son fácilmente transportables entre sistemas (para algunos, esto es un "pro")

  • La clave privada no se almacena en una ubicación estándar

  • La UI es confuso y difícil de entender

  • Requiere que el usuario seleccione la longitud de clave adecuada de una lista. La mayoría de los usuarios no están equipados para tomar esta decisión.

  • Mala experiencia del usuario cuando se le pide al usuario que descargue el certificado. Un mejor enfoque tendría la presentación de claves y la respuesta del certificado integradas en el mismo control. ( posible solución también esta en SO )

  • <keygen> no proporciona un mecanismo para administrar la caducidad de certificados

  • No se ha implementado hash de longitud de clave estándar o hash en los navegadores

  • Falta el soporte de algoritmo

    (RSA, DSA, ECC, etc.)

  • La selección del tamaño de clave debe provenir del formulario, no seleccionable por el usuario.

  • La firma se basa en MD5 ( que puede ser mitigada por un desafío basado en el tiempo )

  • Falta el indicador de keygen no exportable

  • Falta el indicador de keygen protegido por hardware

  • Falta la protección de contraseña

  • El certificado está limitado a aplicaciones basadas en RSA

  • El formulario HTML podría modificarse localmente y la seguridad de la generación de claves se reducirá en consecuencia / a>

  • Si se inscribe en un Microsoft Certificate Server, el único CertType compatible es "server" a través de API DCOM

  • El formato utilizado por no es estándar y solo proporciona un subconjunto de protocolos ya establecidos como PKCS10 , < a href="http://tools.ietf.org/html/rfc5272"> CMC , y CRMF . Esto evita que se admitan certificados no basados en RSA, extensiones para información adicional del cliente y custodia de claves

  • No se admite en IE debido a una mejor compatibilidad con CertEnroll y el problemas descritos aquí

respondido por el random65537 13.01.2013 - 16:08
fuente

Lea otras preguntas en las etiquetas

¿Existe algún riesgo relacionado con permitir que el usuario proporcione una URL como su perfil de imagen? Inyección SQL Cómo inyectar URLS de limpieza / descanso