Описание: |
Навязываемая услуга сети Microsoft - Passport authentication service - была затребована для изучения двумя старшими исследователями корпорации AT&T. После исследования авторы положительно охарактеризовали Паспорт, как интересную честолюбивую модель, но предупредили, что "система представляет существенную опасность для пользователей, которая не отражена достоверно в прилагаемой технической документации".
Отчет был представлен Авелем Рубином, членом совета USENIX и соавтором Руководства по Сетевой Защите и Дейвом Корманом, штатным сотрудником исследовательской лаборатории AT&T. "Попытка Паспорта к моделированию комплекса процессов в едином предъявляемом пароле, в наложении с ограничениями существующих технологий просмотра, ведет к компромиссам, которые создают реальные риски".
Корпорация Microsoft восприняла заявление с неким раздражением: в отчете Рубина и Кормана говорится, что, если не будут приняты изменения в модели SSL, например, то при легализации систем, зависящих от нее, данный тип Паспорта будет неизбежно содержать дефекты.
Также, Microsoft критикуется за провал в разработке удостоверения, за неудачу предотвращения пиратской торговли ворованными деталями при использовании переадресации, за возможность самой HTTP- переадресации или фальсификации DNS-записей. Все это – уже готовые уязвимости торговых сайтов, только в смеси с тем, что теперь сеть из многих торговцев будет зависеть от Паспорта, а Паспорт один, что является очень важным с технической точки зрения Microsoft.
Исследователи делают некоторые рекомендации, включая использование ротационных ключей для шифрования небольших фрагментов данных о предыстории обращений данного пользователя к WWW-серверу, автоматически создаваемых сервером на машине пользователя, использование системы пароль-отзыв вместо Паспорта, обеспечение SSL для всех протоколов.
Компания Microsoft перенесла срок использования Паспорта на апрель, для того, чтобы все проекты Microsoft, в том числе и Паспорт, получили лицензии во всех филиалах, чтобы затем использовать содержание по своему усмотрению, в том числе и иметь право эксплуатировать все имеющиеся патенты.
|