offerte prime day amazon

BrowserID disponibile sui server Mozilla Foundation

BrowserID disponibile sui server Mozilla Foundation

Mozilla Foundation implementa su tutti i propri server la soluzione di autenticazione BrowserID, una tecnologia che promette sicurezza e protezione della privacy

di pubblicata il , alle 11:59 nel canale Web
Mozilla
 

BrowserID è una tecnologia preannunciata da Mozilla a luglio del 2011 che in queste ore ha subito importanti novità: ora questa nuova modalità di autenticazione è stata implementata su tutti i siti gestiti da Mozilla Foundation.

Queste nuove tecnologie hanno l'obiettivo di rendere il login degli utenti più semplice e sicuro eliminando la necessità di introdurre la password. L'autenticazione sui siti avviene in modo semplice: l'utente clicca sul pulsante BrowserID e sul proprio display comparirà una finestra pop-up in cui dovrà inserire il proprio indirizzo email usato per il servizio.

Fatto ciò il meccanismo diviene del tutto trasparente per l'utente che però si trova a disposizione una soluzione di login basata su crittografia a chiave pubblica, opensource e cross-browser. BrowserID in questa fase verifica che la email inserita corrisponda all'utente e in caso favorevole effettua il login dell'utente.

Per l'utilizzo iniziale di BrowserID è necessario registrare un proprio account nel quale si specifica la mail da utilizzare per l'autenticazione. Successivamente si riceverà all'indirizzo email specificato un messaggio contenente un link a una pagina di conferma: la registrazione al servizio termina in questa fase dove l'utente dovrà inserire la propria password. Questa procedura, lo ripetiamo, dovrà essere eseguita solo durante la registrazione iniziale al servizio mentre per le normali autenticazioni sarà sufficiente inserire nel pop-up solo l'indirizzo email. Mozilla rende disponibile alcune risorse di supporto disponibili qui.

Il servizio promosso da Mozilla si contrappone a altri già disponibili sul mercato, tra i quali OpenID con il quale condivide alcuni obiettivi comuni. Entrambi vogliono offrire agli utenti un nuovo e sicuro modo per autenticarsi sui vari servizi online, inoltre anche per chi deve integrare una soluzione di login sui propri server può trarre vantaggio dall'adozione di queste tecnologia. Il terzo punto in comune è la volontà di rendere disponibile la funzione utilizzando gli attuali browser disponibili.

Ci sono però delle differenze significative tra i due servizi appena citati: per BrowserID la discriminante utilizzata per riconoscere l'utente è l'indirizzo email, quindi un elemento che può essere diversificato in base all'ambito nel quale ci si trova. Avremo ad esempio una email personale, una utilizzata per lavoro e un'eventuale indirizzo per gestire altre situazioni: con BrowserID sarà possibile diversificare i differenti login. OpenID utilizza un approccio differente per riconoscere l'utente basando questo controllo su una sorta di URL univoco assegnato in fase di registrazione. Mozilla propone un elenco dei pregi della propria soluzione rispetto a OpenID a questo indirizzo.

Oltre a OpenID anche Facebook e Google propongono soluzioni semplificate per gestire il login: non è certo raro trovare anche su servizi di terze parti la possibilità di login attraverso le credenziali di Google o di Facebook. E proprio la scesa in campo di questi big mette dubbi sul probabile successo di servizi come OpenID o BrowserID.

Il rischio è che queste soluzioni alternativa e per alcuni aspetti anche molto interessanti restino conosciute solo a un ristretto pubblico. Infatti, la massa degli utenti potrebbe preferire per comodità e semplicità utilizzare quanto offerto da Google e Facebook, servizi usati, diffusi e conosciuti molto più di OpenID o BrowserID. Certamente il quadro potrebbe cambiare nel momento in cui anche eventuali "big" del panorama web scegliessero di adottare una di queste soluzioni facendole uscire dalla nicchia.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AleLinuxBSD24 Gennaio 2012, 14:32 #1
Giusto per sottolineare nuovamente l'aspetto privacy.
How BrowserID differs from OpenID
BrowserID protects the privacy of your Web activity

With BrowserID, by design, your identity providers are not involved in the login transaction. This means they need not be aware of your entire Web activity, a significant privacy advantage. With OpenID, your identity provider is, unfortunately, a necessary participant in the login flow.


Però a parte la difficoltà iniziale di farsi accettare il servizio, non ho trovato informazioni su come i dati vengano conservati presso questo nuovo servizio (viene usata della crittografia forte? - per dire se qualche cracker accede al loro server e ruba i dati di accesso degli utenti) e, come negli altri casi, trattandosi di un servizio di tipo centralizzato, suppongo che se per qualsiasi ragione non risulti disponibile (tipo attacco Dos o altro), l'autentificazione presso i vari servizi a cui l'utente è interessato, non risulterebbe più possibile (dato che suppongo che ogni volta che l'utente accede in un forum o altro, usando questo sistema, ci sarà qualche passaggio di dati per autentificare l'accesso e concedere il servizio).
Però dovrei approfondire un po' il discorso, diciamo che queste sono elucubrazioni un po' a naso, ma non mi sono messo ancora a capire come stanno le cose per bene.
Se qualcuno ne sà di più, magari potrebbe illuminare.
filippo198024 Gennaio 2012, 15:43 #2
Non mi è chiara una cosa:
la password si inserisce una volta sola in fase di registrazione, ok ma a questo punto cosa vieterebbe qualcun altro ad entrare sul sito, ad esempio, con il mio indirizzo e-mail, ovviamente dopo la mia registrazione?
Non riesco a capire la sicurezza di questo sistema ma sono sicuro che mi stia sfuggendo qualcosa...
winebar24 Gennaio 2012, 18:42 #3
Originariamente inviato da: filippo1980
Non mi è chiara una cosa:
la password si inserisce una volta sola in fase di registrazione, ok ma a questo punto cosa vieterebbe qualcun altro ad entrare sul sito, ad esempio, con il mio indirizzo e-mail, ovviamente dopo la mia registrazione?
Non riesco a capire la sicurezza di questo sistema ma sono sicuro che mi stia sfuggendo qualcosa...


è possibile che verrà utilizzato un metodo in stile Steam. Se il PC da cui ti connetti è differente da quelli abituali, ti viene inviata un'email che ti obbliga a inserire il codice inviato per poter continuare (e di li la nuova postazione viene salvata tra quelle consentite).

Ovviamente IMHO
fbf25 Gennaio 2012, 10:27 #4
Ogni volta devi prima fare il login all'e-mail (es. google) e viene generata una sorta di password temporanea che viene memorizzata nella cache del browser.
Quando fai il login nei siti che supportano BrowserID scrivi l'indirizzo e-mail ed il browser gli invia automaticamente la password temporanea.
A quel punto il sito contatta il server e-mail (sempre google tanto per fare un nome a caso) e gli chiede se indirizzo e-mail e password temporanea corrispondono.
E' tutto molto bello se sei un provider e-mail (che in questo modo può entrare in tutti i tuoi siti) oppure se sei un cracker scansafatiche così ti basta ottenere la password e-mail di un utente per poter accedere a tutti i suoi siti...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^