Salve Ragazzi,

Ho creato un'applicazione Web, appoggiata su provider Register con



Mi è stato richiesto di implementare anche un sistema di authentication tramite Smart Card. Dando per scontato che sia già riuscito a
programmare la Smart Card con username e password, che abbia già installato il card reader, avete qualche esempio da darmi che possa seguire o qualche suggerimento?

Grazie in anticipo

Marco

P.S. Sottolineo che è un'applicazione WEB, data in gestione ad un Hosting Provider e per la quale non ho accesso al IIS.

---

Modificato da mbizzaro il 07 novembre 2011 14.32 -

Ciao, hai visto questo articolo?
http://securitythroughabsurdity.com/2010/05/smart-card-authentication-module-update.html
Spiega molto dettagliatamente come realizzare l'autenticazione con SmartCard.

mbizzaro ha scrito:

programmare la Smart Card con username e password

mmh, ma poi come andresti a leggere user e pass? Credo che la Smart Card serva a veicolare un certificato client che il browser invierà al tuo sito per permetterti di verificare l'identità di chi si collega.

Se vuoi usare la smartcard per rimpiazzare il login basato sull'inserimento di user e password, allora dovrai fare in modo che la smartcard sia protetta con un pin altrimenti chiunque abbia accesso al PC potrà entrare senza inserire le credenziali.

ciao

---

Modificato da BrightSoul il 14 novembre 2011 22.09 -

mbizzaro ha scritto:

Adesso vogliono piazzare un Totem

forte :D perché allora non usare un lettore di codici a barre al posto della smartcard? Sarebbe molto più semplice: prima prepari la grafica per i due lati di una tessera e da un lato stamperai anche il codice a barre. Poi, pieghi a metà il foglio, lo ritagli e lo plastifichi. Esistono anche metodi più professionali, ovviamente, ma è una soluzione anche molto economica.

mbizzaro ha scritto:

contiene username + password + credito del socio

mmh, no, non metterei sia username che password. Infatti, se la tessera venisse persa, chiunque potrebbe accedere al credito residuo semplicemente introducendola.

La tessera, secondo me, deve trasmettere soltanto lo username e può essere lo stesso username che gli utenti utilizzano quando accedono da web oppure può essere un codice casuale assegnato all'utente. Infatti un codice a barre non è altro che una sequenza di caratteri alfanumerici e quando il lettore lo legge invia semplicemente questi caratteri (più un "invio" finale) alla casella di testo che ha il focus, proprio come se fossero stati digitati dalla tastiera.

Potresti usare il code39:
http://en.wikipedia.org/wiki/Code_39
Volendo automatizzare l'emissione delle nuove tessere potresti, con le GDI+, scrivere sull'immagine contenente la grafica base della tessera col font Code39 che trovi su internet.

Io la vedo così: letto il codice, l'utente dovrà poi digitare un pin che lo abiliterà all'uso dei servizi. Pensaci: in fondo questo è il sistema usato più comunemente, dal noleggio dei film al bancomat.

Soprattutto il credito residuo deve essere memorizzato al sicuro nel database della tua applicazione.

Usare una smartcard, invece, non solo sarebbe più dispendioso ma è anche impossibile in questo caso perché non puoi abilitare IIS a ricevere i certificati client che esse conterrebbero.

Se si trattasse di un'applicazione per Windows sarebbe diverso perché, tramite delle API, potresti accedere direttamente alla memoria della smart card per leggerne i dati. Invece, siccome sei in un'applicazione web, sei "chiuso" all'interno del browser e non hai accesso diretto alla smart card ma ricevi semplicemente il certificato client che essa conterrebbe.

Potresti realizzare una maschera di login realizzata con Windows Forms o WPF che raccoglie i dati e dietro le quinte effettua chiamate web... ma perché complicarsi la vita?

Secondo te è fattibile usare codici a barre? Trova un lettore che sia fisso al totem, altrimenti con uno manuale c'è rischio che cada per terra e si roma dopo due giorni.

ciao,