BrowserID disponibile sui server Mozilla Foundation

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/browserid...ion_40408.html

Mozilla Foundation implementa su tutti i propri server la soluzione di autenticazione BrowserID, una tecnologia che promette sicurezza e protezione della privacy

Click sul link per visualizzare la notizia.

[AleLinuxBSD]

Giusto per sottolineare nuovamente l'aspetto privacy.
How BrowserID differs from OpenID

Quote:

BrowserID protects the privacy of your Web activity

With BrowserID, by design, your identity providers are not involved in the login transaction. This means they need not be aware of your entire Web activity, a significant privacy advantage. With OpenID, your identity provider is, unfortunately, a necessary participant in the login flow.

Però a parte la difficoltà iniziale di farsi accettare il servizio, non ho trovato informazioni su come i dati vengano conservati presso questo nuovo servizio (viene usata della crittografia forte? - per dire se qualche cracker accede al loro server e ruba i dati di accesso degli utenti) e, come negli altri casi, trattandosi di un servizio di tipo centralizzato, suppongo che se per qualsiasi ragione non risulti disponibile (tipo attacco Dos o altro), l'autentificazione presso i vari servizi a cui l'utente è interessato, non risulterebbe più possibile (dato che suppongo che ogni volta che l'utente accede in un forum o altro, usando questo sistema, ci sarà qualche passaggio di dati per autentificare l'accesso e concedere il servizio).
Però dovrei approfondire un po' il discorso, diciamo che queste sono elucubrazioni un po' a naso, ma non mi sono messo ancora a capire come stanno le cose per bene.
Se qualcuno ne sà di più, magari potrebbe illuminare.

[filippo1980]

Non mi è chiara una cosa:
la password si inserisce una volta sola in fase di registrazione, ok ma a questo punto cosa vieterebbe qualcun altro ad entrare sul sito, ad esempio, con il mio indirizzo e-mail, ovviamente dopo la mia registrazione?
Non riesco a capire la sicurezza di questo sistema ma sono sicuro che mi stia sfuggendo qualcosa...

[winebar]

Quote:

Originariamente inviato da filippo1980

Non mi è chiara una cosa:
la password si inserisce una volta sola in fase di registrazione, ok ma a questo punto cosa vieterebbe qualcun altro ad entrare sul sito, ad esempio, con il mio indirizzo e-mail, ovviamente dopo la mia registrazione?
Non riesco a capire la sicurezza di questo sistema ma sono sicuro che mi stia sfuggendo qualcosa...

è possibile che verrà utilizzato un metodo in stile Steam. Se il PC da cui ti connetti è differente da quelli abituali, ti viene inviata un'email che ti obbliga a inserire il codice inviato per poter continuare (e di li la nuova postazione viene salvata tra quelle consentite).

Ovviamente IMHO

Ogni volta devi prima fare il login all'e-mail (es. google) e viene generata una sorta di password temporanea che viene memorizzata nella cache del browser.
Quando fai il login nei siti che supportano BrowserID scrivi l'indirizzo e-mail ed il browser gli invia automaticamente la password temporanea.
A quel punto il sito contatta il server e-mail (sempre google tanto per fare un nome a caso) e gli chiede se indirizzo e-mail e password temporanea corrispondono.
E' tutto molto bello se sei un provider e-mail (che in questo modo può entrare in tutti i tuoi siti) oppure se sei un cracker scansafatiche così ti basta ottenere la password e-mail di un utente per poter accedere a tutti i suoi siti...