Материалы Конференции использование XML Security

[Alexandre]

Материалы Конференции использование XML Security

слайды http://edocs.phpclub.net/xmlsec.htm
экспорт из MsPoverPoint
также все в одном файле http://edocs.phpclub.net/xmlsec.mht (ИЕ открывает криво, лучше скачать)

буду рад - если это будет кому-то полезно в работе...

 

[neko]

я думаю, ppt можно тоже выложить.
для тех у кого он есть.

 

[Alexandre]

http://edocs.phpclub.net/xmlsec.ppt

 

[neko]

про недостатки SSL

мне тут пришла в голову мегаидея.

если документ и подписывать и шифровать, то получится что все равно часть траффика пойдет в открытом виде.
в принципе ничего особо ужасного в этом нет, но тем не менее меня, параноика, это будет беспокоить.

а можно сделать вот как.
документ подписать, и передать после этого по SSL.
там даже URL будет не видно.

-~{}~ 07.06.06 00:00:

плюс тут можно изящно решить ряд вопросов при помощи банального basic auth.

-~{}~ 07.06.06 03:20:

кстати по поводу того. что не решен вопрос с ЭЦП это не совсем верно.

клиентский сертификат, конечно сам по себе ничего не подписывает.
но, т.к. один клиент имеет только один сертификат и SSL сам по себе дает гарантию того что переданный документ не был изменен по дороге, это вместе практически дает такой же эффект как и подпись.

 

[Alexandre]

клиентский сертификат, конечно сам по себе ничего не подписывает.
но, т.к. один клиент имеет только один сертификат и SSL сам по себе дает гарантию того что переданный документ не был изменен по дороге, это вместе практически дает такой же эффект как и подпись

все зависит от задач, но иногда SSL не всегда достаточно, а иногда он просто не нужен.

в некоторых задачах документы не надо передавать, а передается только подпись, сам документ опубликован и находится в "условно открытом доступе".

изящно решить ряд вопросов при помощи банального basic auth

можно, но не всегда, обять же все зависит от задач.

Часто, при использовании WEB служб - используется подпись для аутификации клиента и доступа (а иногда и шифрование). При этом аутификация доступа осуществляется по X.509, слабое место при использовании basic auth - это передача пароля/логина в открытом виде... или вообще методы распределения ключей (паролей). По этому использование механизмов X.509 решает эту проблему.

 

[neko]

собственно basic auth, предполагается использовать только совместно с SSL.
само по себе (без SSL/TLS) оно, скорее вредит нежеле помогает аутентификации, поскольку создает видимость какой-то защиты при практически полном ее отсутствии.

но это было не главное в моем посте.

главное вот в чем:

Часто, при использовании WEB служб - используется подпись для аутификации клиента и доступа (а иногда и шифрование). При этом аутификация доступа осуществляется по X.509,

я так понимаю, что тут речь идет о подписи клиентским x509 сертификатом.
так вот.. если у клиента вообще есть этот сертификат, то он просто может быть использован при установлении SSL/TLS соединения.

после того как соединение установленно, передавать можно все что угодно.

-~{}~ 07.06.06 11:54:

обращаю внимание, что я не пытаюсь кого-то убедить в том, что этот способ "лучше" чем какие-то другие.

я просто говорю о том, что он существует.