Link alla notizia: http://www.hwupgrade.it/news/sicurezza/19026.html

Una nuova tecnologia alla base di Windows Vista dovrebbe garantire la sicurezza online dei dati personali, obiettivo principale di phishing e attacchi online

Click sul link per visualizzare la notizia.

siamo alle solite, microsoft vuole imporre i SUOI di "standard"...

bah

Tu non usarlo furbo....

strano che ad eBay non gli vada bene questo progetto di standard... non potrebbe specularci sopra come ogni cosa :D
l'idea non è malvagia, ma pensare che sia di microsoft non mi piace moltissimo... perchè come l'esperienza insegna, alla fine qualcosa ci devono guadagnare... :help:

Come sempre le aziende fanno le loro proposte, è la loro reale validità e il gradimento del pubblico a decretarne successo/fallimento

Diciamo che assieme allo scetticismo di e-bay aggiungo il mio......

voi vi scheierate sempre ma non capite che da qualsiasi parte voi vi mettiate a guadagnarci saranno sempre le aziende...che senso ha fare i partigiani? mah!

tutto dipende da come vengono rese sicure queste card.
perche altrimenti rubare i tuoi dati o ribare la card è sostanzialmente la stessa cosa.

se le card sono gestite in una struttura particolare a livello profondo dell'OS, o contengano meccanismi di chiave puublica privata che ne consentono la verifica senza scambio di dati sensibili, allora è una buona cosa.

poi: ma meglio uno standard microsoft che niente! io non vedo perche ci sia da preferire un calcio nelle pa**e ad uno standard che cerca di incrimentare la sicurezza, poi che ci siano anche cose migliori è possibile, ma se non si ha la forza commerciale/la fortuna di imporle restano belle idee campate in aria.

boh, ho come l'impressione che molte critiche siano mosse senza nemmeno riflettere, giusto per il gusto di andare contro

@freisar:
vedo che hai capito tutto...

siamo alle solite, microsoft vuole imporre i SUOI di "standard"...

bah


Propongono una tecnologia per facilitare l'acquisto Online, dov'è il problema?

Ai MS-haters non va mai bene niente, scommetto che l'avesse fatta la Apple ci sarebbero già 10 pagine di elogi.


Posso anche capire eventuali preoccupazioni per la sicurezza, ma rifiutare a prescindere una cosa che dovrebbe facilitare in modo drastico i pagamenti Online (aka eliminare completamente le registrazioni ai siti o compilazioni dei form) mi sembra un po' trollesco.


http://en.wikipedia.org/wiki/Windows_CardSpace


http://common.ziffdavisinternet.com/util_get_image/13/0,1425,sz=1&i=138506,00.jpg

http://msdn2.microsoft.com/en-us/library/Aa480189.introinfocard03(en-us,MSDN.10).gif

http://msdn2.microsoft.com/en-us/library/Aa480189.introinfocard06(en-us,MSDN.10).gif

Se la sicurezza sarà implementata in modo adeguato potrebbe essere molto funzionale.
Anche se gli altri non lo supporteranno almeno per i siti MS la vedo una cosa molto comoda.

Si copiano e si clonano già carte di credito, bancomat, sim telefoniche (anche a distanza) , figuriamoci se un sistema simile non viene exploitato nel giro di una settimana...

Non me ne volete, non sono un MS-hater, ma quello che propone MS non mi piace, se proprio volesse in questo modo aumentare la sicurezza , perlomeno avrebbero dovuto estenderlo anche win 2000/xp . Per non parlare che imho avrebbe dovuto di aprirsi un poco agli altri OS e grandi fornitori di servizi web, invece che svilupparlo nei soliti inaccessibili interni per poi uscire di botto con uno "standard" che funziona come edove vogliono loro.

Ma con tutti i soldi che hanno , non potrebbero instituire una giornata dove invitano esponenti, sviluppatori di software, OS, fornitori di servizi web , si mettono attorno al tavolo e discutono insieme di uno standard sulla sicurezza online?

Putroppo tutto questo è puramente utopistico.

Propongono una tecnologia per facilitare l'acquisto Online, dov'è il problema?

Ai MS-haters non va mai bene niente, scommetto che l'avesse fatta la Apple ci sarebbero già 10 pagine di elogi.


Posso anche capire eventuali preoccupazioni per la sicurezza, ma rifiutare a prescindere una cosa che dovrebbe facilitare in modo drastico i pagamenti Online (aka eliminare completamente le registrazioni ai siti o compilazioni dei form) mi sembra un po' trollesco.


http://en.wikipedia.org/wiki/Windows_CardSpace


http://common.ziffdavisinternet.com/util_get_image/13/0,1425,sz=1&i=138506,00.jpg

http://msdn2.microsoft.com/en-us/library/Aa480189.introinfocard03(en-us,MSDN.10).gif

http://msdn2.microsoft.com/en-us/library/Aa480189.introinfocard06(en-us,MSDN.10).gif

Ma che cosa... :muro: E ovvio che c'è bisogno di maggiore sicurezza, ma perché proporre un nuovo meccanismo (tra l'altro closed, quindi proprietario, quindi un possibile futuro "standard de facto", vista la diffusione dei sistemi Windows), quando ce ne sono già di validi e già standard (e già usati)?????
Ma per piacere...

EDIT: per quanto mi riguarda, non sono un MS-haters, come li chiami tu, ma cerco di basarmi sui fatti.

Come sempre le aziende fanno le loro proposte, è la loro reale validità e il gradimento del pubblico a decretarne successo/fallimento

Personalmente, per tutto ciò che riguarda l'interoperabilità (e lo shopping online è uno di questi), bisogna adottare meccanismi standard (che già esistono e sono comprovati in quanto a sicurezza e robustezza) invece di lasciare ad aziende private di proporre dei suoi standard proprietari. Se poi questi standard da proprietari diventano pubblici (ad esempio, una proposta di MS diviene uno standard aperto) allora va bene, ma IMHO non è tollerabile che un azienda si arroghi il diritto di proporre un meccanismo che poi sarà usufruibile solo sui suoi sistemi (quando invece deve essere accessibile da tutti).
Ad esempio, per acquistare da un server che utilizza la tecnologia X proprietaria del sistema Y, sono costretto ad usare il sistema Y? :rolleyes:

se i server dai quali vi riforniste fossero cosi miopi da consentire l'acquisto solo a chi usa windows vista, sai che fetta di clienti si perderebbero?

dai, rimaniamo coi piedi per terra, è ovvio che i siti di shopping consentiranno l'acquisto anche a chi non ha una macchina che supporta questo sistema. sarete tutti liberi di farei vostri acqueisti come prima, nessuno vi sta rubando niente, semplicemente chi avrà questo sistema potrà usarlo, se lo vuole, sui siti che lo implementano.
ma che cosa c'è di male?

ah. ripeto MS è un azienda, non un ente statale o un associazione di beneficenza come molti sembrano pensare, fa quello che fa comodo a lei, ed è sacrosanto che sia cosi.

il vostro potere di consumatori, se non vi va bene, è non acquistare più i suoi prodotti, nessuno vi obbliga, è SEMPRE la stessa solfa.

dite un po: se voi aveste un sito che vende prodotti online, quale sarebbe la vostra priorità? è semplice: raggiungere il maggior numero di utenti possibili ed invogliarli a comperare, a NESSUNO shop online con un minimo di sale in zucca verrebbe in mente di supportare SOLO un sistema d'acquisto proprietario!

vedo più probabile che un cammello passo per la cruna di un ago... ops.. questa l'aveva gia detta qualcuno...

Ma che cosa... :muro: E ovvio che c'è bisogno di maggiore sicurezza, ma perché proporre un nuovo meccanismo (tra l'altro closed, quindi proprietario, quindi un possibile futuro "standard de facto", vista la diffusione dei sistemi Windows), quando ce ne sono già di validi e già standard (e già usati)?????
Ma per piacere...

EDIT: per quanto mi riguarda, non sono un MS-haters, come li chiami tu, ma cerco di basarmi sui fatti.


A parte il fatto che CardSpace è open per tutti quelli che lo vogliono adoperare (specifiche aperte a tutti senza royalty), sarò felice di vedere il tuo lungo elenco di prodotti analoghi. Dai, almeno uno... (e spero che tu non abbia intenzione di tirarmi fuori Paypal che è assai lontano)

Basiamoci sui fatti eh.

A parte il fatto che CardSpace è open per tutti quelli che lo vogliono adoperare (specifiche aperte a tutti senza royalty)
Questo mi fa molto piacere, se le specifiche sono aperte e non ci sono royalies da pagere per utilizzarlo non ho nulla da obiettare. Per quanto, IMHO è sempre meglio avere al massimo uno/due meccanismi di certificazione, per evitare la babele di formati e specifiche.

sarò felice di vedere il tuo lungo elenco di prodotti analoghi. Dai, almeno uno... (e spero che tu non abbia intenzione di tirarmi fuori Paypal che è assai lontano)

Basiamoci sui fatti eh.

Mai sentito parlare dei certificati X.509?
Su questi poi possiamo costruirci l'interfaccia grafica che preferisci per gestirli, oltre ad informazioni aggiuntive più o meno utili, ma il meccanismo è già "oliato".
E' solo un esempio, altri framework (che spesso si basano su certificati di questo tipo) possono essere disponibili, vedi ad esempio OSIS, OpenId... devo continuare? :rolleyes:

PS: il problema attuale è fondamentalmente uno: i server non applicano una mutua autenticazione, ma si autenticano solo loro all'utente (e richiedono per l'autenticazione dell'utente solo nome utente e password - anzi spesso neanche quelle, basta un numero di carta di credito... :muro: )

PS 2: Non parlo di SET perchè è una cosa a parte (e costa pure caro, infatti non è molto usato - ma è molto sicuro)

Ininfluente.

Al giorno d'oggi le transazioni online sono ragionevolmente sicure, AMMESSO CHE SIANO IMPLEMENTATE COME SI DEVE. Tra certificati e SSL/TLS, ad oggi non ho avuto una virgola di problema. Sarà che ho fatto solo pagamenti su siti accreditabili (banche di fiducia, PayPal e così via).

Se poi una banca è così imbecille da far passare in chiaro i numeri di carta di credito, allora è colpa loro, non della mancanza di standard. D'altra parte, il phishing è un fenomeno di tipo differente, per la cui soluzione si rimanda all'attenzione degli utenti ed a fior di tecnologie implementate nei nuovi software.

A mio avviso lo standard per questa cosa c'è già, ed è PayPal. Se tutti usassero PayPal per ricevere pagamenti (o analoghe entità affidabili, beninteso) questi problemi non sussisterebbero.

Poi mi piace questa linea:

"poter garantire quella sicurezza che c'é nella vita reale anche online"

L'avete messa in grassetto per evidenziarne il sarcasmo, vero?

x -fidel-

In un mondo ideale può darsi, ma nel modo reale chi ha peso commerciale, e M$ ne ha, propone i propri meccanismi proprietari, per poter fare il proprio business, di giusto qua ci sino solo i bilanci di fine anno.

"Peter Cullen, del team di Microsoft, ha dichiarato che la sfida maggiore é quella di poter garantire quella sicurezza che c'é nella vita reale anche online."

bella questa! :)

Questo mi fa molto piacere, se le specifiche sono aperte e non ci sono royalies da pagere per utilizzarlo non ho nulla da obiettare. Per quanto, IMHO è sempre meglio avere al massimo uno/due meccanismi di certificazione, per evitare la babele di formati e specifiche.



Mai sentito parlare dei certificati X.509?
Su questi poi possiamo costruirci l'interfaccia grafica che preferisci per gestirli, oltre ad informazioni aggiuntive più o meno utili, ma il meccanismo è già "oliato".
E' solo un esempio, altri framework (che spesso si basano su certificati di questo tipo) possono essere disponibili, vedi ad esempio OSIS, OpenId... devo continuare? :rolleyes:

PS: il problema attuale è fondamentalmente uno: i server non applicano una mutua autenticazione, ma si autenticano solo loro all'utente (e richiedono per l'autenticazione dell'utente solo nome utente e password - anzi spesso neanche quelle, basta un numero di carta di credito... :muro: )

PS 2: Non parlo di SET perchè è una cosa a parte (e costa pure caro, infatti non è molto usato - ma è molto sicuro)


Il fatto che tu tiri fuori X.509 come alternativa a CardSpace significa che hai le idee poco chiare sull'argomento, quindi risparmiati pure le rolleyes. Cardspace usa i certificati X.509, non entra nemmeno in competizione. Idem per OpenID e altri, CardSpace non è un alternativa, è un prodotto complementare.

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/introinfocard.asp

http://netmesh.info/jernst/Digital_Identity/what-is-msft-infocard.html

Ribadisco, non ci sono prodotti analoghi a CardSpace, se la cosa prenderà piede presto vedremo sparire login/registrazioni dai siti/forum: scegli la InfoCard che vuoi usare et voilà.

Il fatto che tu tiri fuori X.509 come alternativa a CardSpace significa che hai le idee poco chiare sull'argomento, quindi risparmiati pure le rolleyes. Cardspace usa i certificati X.509, non entra nemmeno in competizione. Idem per OpenID e altri, CardSpace non è un alternativa, è un prodotto complementare.

Certo che tiro fuori i certificati X.509, proprio per dire che su questo meccanismo standard che si basano normalmente tutti i framework di autenticazione remota. Quello di MS, come altri che già esistono, implementano in modo più "user frendly" tale tecnologia, quindi non reinventiamo la ruota... E proprio perchè si basa su questo standard che MS (giustamente, a differenza di quanto ha fatto con Kerberos...) rende libere le specifiche per CardSpace (come tu stesso mi hai detto): ripeto, fino a quando le specifiche su questi argomenti sono libere, mi fa solo piacere che si sviluppi, anzi, se MS tira fuori un bel framework che utilizza tali certificati tanto meglio. Partendo dai certificati, ci si può "inventare" potenzialmente infiniti framework (e ripeto, già ne esistono oltre a CardSpace), poi il migliore sarà quello utilizzato. Se quello di MS risulterà il migliore, ben venga! L'importante è che rimanga open (come uso) e privo di royalties.
Spero solo che, se esistesse un framework migliore di CardSpace, non si finisca ad usare quest'ultimo solo perché inserito nel SO più diffuso, ma questo è un altro discorso.

Ribadisco, non ci sono prodotti analoghi a CardSpace, se la cosa prenderà piede presto vedremo sparire login/registrazioni dai siti/forum: scegli la InfoCard che vuoi usare et voilà.

Ripeto, :rolleyes: Ma guarda che questo già si fa! Quella della MS è un'ulteriore implementazione dei certificati (non ho ben capito se sono X.509 o un formato leggermente variato - visti i precedenti mi aspetto quest'ultima ipotesi, ma sarò contento di essere smentito), niente di più...
Ti ricordo che, in una connessione securizzata, con già con l'architettura X.509 nuda e cruda hai tranquillamente la possibilità di loggarti ad un server senza inserire nulla (sono stati creati proprio per questo... il certificato ti identifica univocamente, ed è firmato da CA fidate (che anche il server deve reputare fidate ovviamente)).
I certificati sono il cuore normalmente di tutti i meccanismi, un framework provvede a gestirli sulla macchina ed a gestire l'handshake con il server.

EDIT: e comunque, se Cardspace è open (come formato) e privo di royalties, il problema proprio non si pone, anzi, è una cosa positiva. Più si sviluppa, meglio è.

EDIT 2 : Ah, mi piacerebbe sapere come le card vengono trasmesse la prima volta al server (insomma, la distribuzione dei certificati), essendo questo un problema non da poco (es. se studiata male si rendono semplici attacchi come il Man in the Middle). Non so se questo è già scritto nei link che hai postato, al momento non ho tantissimo tempo per leggerli con attenzione :muro: