Haciendo la habitual ronda de lectura bloggeril leo en genbeta una reseña sobre "Windows CardSpace". Investigando un poco, parece el enésimo intento por parte de Microsoft de convertirse en un "proveedor de identidades digitales", anteriormente lo había intentado con Passport sin demasiado éxito. Passport no era mas que una suerte de Single Sign-On sin nada relevante a nivel técnico, por contra, CardSpace es, técnicamente, mas complejo pero me plantea serias dudas sobre su funcionamiento.
A priori, parece una tecnología que estaba orientada para Windows Vista aunque existe la posibilidad de emplearla en XP. Viendo la poquísima información que hay disponible, no puedo evitar encontrar demasiadas analogías a lo que es "la PKI de toda la vida", se habla de "proveedores de confianza" (CAs), "Tarjetas de información" (Certificados digitales) y lo que aun resulta mas similar, "tarjetas auto-generadas" (Certificados digitales auto-firmados). Personalmente me estoy temiendo que tras todo eso se encuentre una "adaptacion simplificada" de los estándares PKI, y no creo que, hablando de seguridad / identidad digital sea precisamente la linea sobre la que haya que incidir. Pese a que la tecnología parece sustentarse en en elementos no propietarios como XML y que tiene condimentos criptográficos, no deja de ser una reinvención de algo que, lleva muchos años a sus espaldas, está perfectamente probado, y que pese a todo, si se hacen bien las cosas, es el mejor camino.
De todas formas, no parece que, de momento, esta iniciativa haya calado hondo en la red ya que existe muy poca información al respecto y practicamente nula presencia como sistema de autenticación en servicios web. Si la tecnologia prospera y cuaja, prometemos un análisis mas exhaustivo.
A priori, parece una tecnología que estaba orientada para Windows Vista aunque existe la posibilidad de emplearla en XP. Viendo la poquísima información que hay disponible, no puedo evitar encontrar demasiadas analogías a lo que es "la PKI de toda la vida", se habla de "proveedores de confianza" (CAs), "Tarjetas de información" (Certificados digitales) y lo que aun resulta mas similar, "tarjetas auto-generadas" (Certificados digitales auto-firmados). Personalmente me estoy temiendo que tras todo eso se encuentre una "adaptacion simplificada" de los estándares PKI, y no creo que, hablando de seguridad / identidad digital sea precisamente la linea sobre la que haya que incidir. Pese a que la tecnología parece sustentarse en en elementos no propietarios como XML y que tiene condimentos criptográficos, no deja de ser una reinvención de algo que, lleva muchos años a sus espaldas, está perfectamente probado, y que pese a todo, si se hacen bien las cosas, es el mejor camino.
De todas formas, no parece que, de momento, esta iniciativa haya calado hondo en la red ya que existe muy poca información al respecto y practicamente nula presencia como sistema de autenticación en servicios web. Si la tecnologia prospera y cuaja, prometemos un análisis mas exhaustivo.
1 comments :
quieren nuestra infooo
Publicar un comentario