I'd like to know if it is possible to have a secure single sign-on across two webservices of which 1 is more secure than the other. To be more specific, less secure would be vbulletin forum and the more secure one a webservice, where real money is earned, withdrawn etc. For the sake of convenience for the users I would like to implement a secure single sign-on, but looking at the vbulletin's security track record, especially xss vulnerabilities, even sql injection, then I'm not sure if sso will be a viable option if it would degrades security of the more secure service.
问问题
130 次
2 回答
0
停止发明自己的登录系统。像 StackOverflow 本身一样使用OpenID 。这将巧妙地解决您的问题,并且您的用户会非常高兴您没有强迫他们记住另一个密码。
于 2011-08-14T21:11:28.283 回答
0
如果长期共享的身份验证秘密不会泄露给低保证系统,则可能允许使用高保证凭证向低保证系统进行身份验证(参见,例如,NIST 特别出版物 800-63,Level- 2 及以上)。这通常需要从凭证服务提供者到依赖方的断言(例如,SAML)。受信任的 CSP 接受证书并向不受信任的依赖方(应用程序)声明其真实性以及可能与订阅者相关联的其他属性。由于与凭证相关联的秘密令牌(例如密码)永远不会发送给依赖方,因此该服务中的漏洞不会为攻击者提供有用的知识来攻击高安全性系统。有很多行业标准,
于 2011-08-14T21:31:57.983 回答