Разработка системы межсайтовой авторизации или технологии единого входа (Single Sign On)

 

Протокол SSL защищён от модификации и чтения сообщений, отправляемых в обе стороны. Также протокол позволяет клиенту убедиться в том, что он установил соединение именно с нужным сервером, а не с сервером мошенника. 

Многие разработчики не понимают сути секретного ключа. Вся безопасность в инфраструктуре с использованием открытого ключа построена на том, что взаимодействующие стороны кому-то могут безоговорочно доверять. Второму серверу, третьей стороне — не важно. Как правило, вопрос «доверия» упирается в проверку цифровой подписи с использованием открытого ключа подписчика сообщения. Вся безопасность может рухнуть, если этот открытый ключ (сертификат) передаётся по незащищённому каналу и может быть по пути модифицирован.

 

Подчеркну ещё  раз, что от этой атаки можно защититься, если устанавливающий HTTPS-соединение сервер обладает достаточным количеством сертификатов основных CA Интернета (VeriSign, COMODO и т. д.), но на практике это иногда сложно реализуемо.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы

 

1. 1С-Битрикс - CMS, ECM, управление сайтами

(http://www.1c-bitrix.ru/)

2. PHP: Hypertext Preprocessor

(http://www.php.net/)

3. OpenID Foundation website

(http://www.openid.net/)

4. Институт математики и компьютерных наук

      (http://www.imkn.kib.ru/)

5. Арсений Чеботарёв, "Комиздат" «LDAP: каталог для всех».

(http://www.citforum.ru/operating_systems/linux/ldap_cat/)

6. MySQL - справочное руководство

(http://opennet.ru/)

7. isOpenID.ru - российский OpenID провайдер

(http://www.isopenid.ru/)

8. Энциклопедия сайтостроения – CMS, OpenID (универсальность авторизации)

(http://www.site.nic.ru/)

9. Всё о SSL технологиях

(http://www.inssl.com/)

10. The OpenID Directory

(http://www.openiddirectory.com/)

11. Битрикс – Центр поддержки разработчиков

(http://dev.1c-bitrix.ru/)

12. Документация по MySQL.Ru

(http://www.mysql.ru/docs/)

13. Битрикс – Центр поддержки разработчиков

(http://dev.1c-bitrix.ru/)

14. Сети и системы связи

(http://www.ccc.ru/)

15. PHP.Ru форум php программистов

(http://www.php.ru/)

16. Криптография и шифромание

(http://cryptolog.ru/)

17. kiev-security.org.ua-Криптография.Обмен ключами по алгоритму Диффи-Хеллмана (http://kiev-security.org.ua/box/1/76.shtml)
18. openPGP в России / Библиотека / Статьи

(http://www.pgpru.com/biblioteka/statji/)

19. SSL Certificate Information Center - SSL Certificates and SSL from VeriSign, Inc (http://www.verisign.com/ssl/ssl-information-center/)
20. SSL-СЕРТИФИКАТЫ

(http://ssl.ru/ru/)

21. Solid State Logic

(http://www.solid-state-logic.com/)

22. Window Server 2003

(http://www.microsoft.com/windowsserver2003/default.mspx)

23. Windows Live ID

(http://login.live.com//)

24. The Times Literary Supplement

(http://tls.timesonline.co.uk/)

25. OASIS Security Services (SAML) TC

(http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security)

26. SAML Single Sign-On (SSO)

(http://code.google.com/intl/ru/apis/apps/sso/saml_reference_implementation.html)

27. Debunking SAML myths and misunderstandings

(http://www.ibm.com/developerworks/xml/library/x-samlmyth.html)

28. Switch on SAML for PHP With Project Lightbulb

(http://developers.sun.com/identity/reference/techart/lightbulb.html)

29. Twitter API Wiki / OAuth FAQ

(http://apiwiki.twitter.com/OAuth-FAQ)

30. PECL :: Package :: oauth

(http://pecl.php.net/package/oauth)