PiCo journal
Sunday, February 10, 2008
CardSpace sans SSL ?

Avec la sortie de .Net 3.5, le sélecteur d'identité CardSpace est utilisable sur des sites ne disposant pas de SSL.

Cette modification se traduit techniquement par une modification du format des jetons transmis au site Web de destination. Au lieu d'être chiffré avec la clé publique du serveur Web, il transite en clair.

 

On ne perd pas pour autant toute forme de sécurité : le jeton est toujours signé avec une clé privée connue uniquement du sélecteur d'identité, clé qui change pour chaque site Web.

 

Le travail du site Web est par contre considérablement simplifié : il ne reste plus qu'à vérifier la signature du jeton avant de pouvoir le manipuler.

 

Vous pouvez tester dès aujourd'hui sur http://bridge2.grognon.com/, et je posterai prochainement le code du sample.

Sunday, February 10, 2008 10:09:01 PM (GMT Standard Time, UTC+00:00) |  | #
Subscribe: Feed your aggregator (RSS 2.0)
Copyright 2008 Pierre Couzy
newtelligence dasBlog 1.9.6264.0
Search
Archive
October, 2008 (2)
April, 2008 (2)
March, 2008 (1)
February, 2008 (1)
April, 2007 (1)
October, 2006 (3)
Links
Home
newtelligence AG
dasBlog
SourceForge
Scott Hanselman
Omar Shahine
Categories
 All Categories
Admin Login
Sign In
Blogroll
 Bart DePetrillo
 Clemens Vasters
 Harry Pierson
 Identity Blog
 Jörg Freiberger
 Joshua Flanagan
 Omar Shahine
 Scott Hanselman
 Stephen Forte
 Tom Mertens
Themes
Pick a theme: