Autenticazione nelle comunicazioni : sicurezza a livello applicativo


Secondo post di questo trittico sull'autenticazione delle comunicazioni. Nel post precedente ho parlato della sicurezza di canale.

Piccola premessa : questo sarà un post molto breve perchè questa soluzione proprio non mi piace 🙂 e la sconsiglio sempre !!! (però, come si suol dire... per dovere di cronaca e par condicio...)

Sicurezza a livello applicativo

Diversamente dall’autenticazione a livello di canale di comunicazione, l’autenticazione a livello applicativo è basata sulla realizzazione di un sistema proprietario di riconoscimento utenti generalmente indipendentemente dal canale di comunicazione.

L’utilizzo di un sistema di autenticazione completamente applicativo consente di ottenere una flessibilità molto elevata rispetto a quello di canale poichè è possibile associare al contesto di chiamata dell’utente varie informazioni applicative oltre all' identity dell'utente con i relativi ruoli. L’utilizzo di un protocollo di autenticazione proprietario, consente alle applicazioni che utilizzano tale approccio di poter gestire porzioni del messaggio in modo separato offrendo livelli di sicurezza (encryption/signing) adeguati al contenuto.

Questo approccio , però, comporta tutti i problemi tipici delle soluzioni proprietarie:

  • basso livello di sicurezza: richiedendo la realizzazione di un sistema custom di riconoscimento e gestione utenti il livello di sicurezza offerto risulta essere molto inferiore rispetto alle soluzioni basate su servizi di sicurezza di sistema come quelle in a livello di canale;
  • numero di credenziali: ogni applicazione avendo un sistema proprietario di riconoscimento utente utilizza delle credenziali proprietarie per ogni utente. Tale situazione fa sì che allo stesso utente fisico siano associate credenziali diverse per ogni applicazione rendendo il sistema complesso da usare e da difficile da manutenere;
  • con l’aumentare delle applicazioni proliferano le soluzioni proprietarie di autenticazione rendendo, con il tempo, realmente ingestibile la gestione!!

vabbè, chi proprio vuole continuare...

Quando usarla

(fosse per me, MAI) comunque, i vantaggi che possono indurre ad un suo utilizzo sono dovuti essenzialmente all’indisponibilità di servizi di autenticazione di piattaforma: qualora non si possano utilizzare i servizi di sicurezza di piattaforma e di canale di comunicazione.

In genere, per i problemi esposti sopra, è sempre sconsigliato utilizzare tale approccio evitando di demandare alle singole applicazioni di utilizzare un proprio sistema di autenticazione.

 

--Mario

Comments (2)

  1. “In evolutionary terms, the information security field is more than a decade behind software development”

Skip to main content