Hlavní navigace

Názor k článku BrowserID: jednotné přihlašování á la Mozilla

  • 20. 7. 2011 17:50

    Filip Jirsák

    V tom případě by to chtělo toho "nahoře" nenápadně zpracovat, aby to dovymyslel tak, že to bude shodné s PKI. A pak ušetřené peníze investovat do toho, aby se práce s certifikáty v prohlížečích trochu zkulturnila.

    Ve skutečnosti mi to ale nepřipadá, že by tohle byl nějaký manažerský nápad. Ono by mi bylo i celkem jedno, že někdo zase vymýšlí kolo, je tu však jedno velké ale: v oblasti prohlížečů se vymýšlí nový způsob autentizace certifikáty, vymýšlí se narovnáky na vohejbáky, které mají zabránit krádeži session_id v cookies, vymýšlí se, jak zabránit ukradení formulářových přihlašovacích údajů javascriptovými kejkly… Přitom už tady asi sto let existuje HTTP DIGEST přihlášení a přihlášení certifikáty. V obou případech se citlivé údaje předávají přímo prohlížeči, takže nehrozí krádež dat JavaScriptem nebo napodobení přihlašovací stránky, nehrozí ani jejich krádež odposlechem komunikace. V obou případech je extra chráněn každý požadavek, takže ukrást nějakou cookie je k ničemu.

    A v obou případech je to také implementováno úplně nemožně, svorně napříč všemi hlavními prohlížeči. Že bude po přihlášení potřeba uživatele také odhlásit, k čemuž má být ovládací prvek uvnitř prohlížeče a ne na stránce (opět větší bezpečnost), toho si asi tak za 15 let nevšiml žádný autor prohlížeče. Proč prohlížeče soutěží, který bude mít pro HTTP Auth nebo přihlášení certifikátem hnusnější a nepřehlednější dialog, to také nechápu (čest výjimce Chrome, u kterého už se člověk alespoň dialogu na výběr přihlašovacího certifikátu nelekne). Nemluvě o tom, že pro MSIE je HTTP DIGEST taková exotika, že si klidně existuje s úplně základní chybou – někdy se uživatele sice zeptá na jméno a heslo, pak ale příslušnou hlavičku zapomene k požadavku přidat.