333 messaggi dal 05 agosto 2005
Salve Ragazzi,

Ho creato un'applicazione Web, appoggiata su provider Register con

 authentication mode="Forms"


Mi è stato richiesto di implementare anche un sistema di authentication tramite Smart Card. Dando per scontato che sia già riuscito a
programmare la Smart Card con username e password, che abbia già installato il card reader, avete qualche esempio da darmi che possa seguire o qualche suggerimento?

Grazie in anticipo

Marco

P.S. Sottolineo che è un'applicazione WEB, data in gestione ad un Hosting Provider e per la quale non ho accesso al IIS.

Modificato da mbizzaro il 07 novembre 2011 14.32 -
333 messaggi dal 05 agosto 2005
Ciao Ragazzi, nessuno ha qualche idea?
11.886 messaggi dal 09 febbraio 2002
Contributi
Ciao, hai visto questo articolo?
http://securitythroughabsurdity.com/2010/05/smart-card-authentication-module-update.html
Spiega molto dettagliatamente come realizzare l'autenticazione con SmartCard.

mbizzaro ha scrito:

programmare la Smart Card con username e password

mmh, ma poi come andresti a leggere user e pass? Credo che la Smart Card serva a veicolare un certificato client che il browser invierà al tuo sito per permetterti di verificare l'identità di chi si collega.

Se vuoi usare la smartcard per rimpiazzare il login basato sull'inserimento di user e password, allora dovrai fare in modo che la smartcard sia protetta con un pin altrimenti chiunque abbia accesso al PC potrà entrare senza inserire le credenziali.

ciao
Modificato da BrightSoul il 14 novembre 2011 22.09 -

Enjoy learning and just keep making
333 messaggi dal 05 agosto 2005
Ciao BrightSouls,

Grazie per la tua risposta.
Avevo già visto l'articolo che mi hai indicato, ma purtroppo non avendo accesso all' IIS non è attuabile.

Ti riassumo brevemente quello che tento di ottenere:

Ho creato un sistema di prenotazione on-line per un circiolo.
Via web gli utenti si collegano con username e password.
Adesso vogliono piazzare un Totem (un computer connesso al web con lettore smart card) nel circolo dove sia possibile prenotare i campi utilizzando lo username e password o inserendo la smart card per il Login(la smart card contiene username + password + credito del socio). Dopo l'avvenuta prenotazione potrei già impostare l'applicazione a fare il logout in maniera tale che il socio sucessivo debba inserire le proprie credenziali.

E qui nasce il mio problema.

Se ti viene in mente qualche suggerimento!?

Grazie 1000

Marco
11.886 messaggi dal 09 febbraio 2002
Contributi
mbizzaro ha scritto:

Adesso vogliono piazzare un Totem

forte :D perché allora non usare un lettore di codici a barre al posto della smartcard? Sarebbe molto più semplice: prima prepari la grafica per i due lati di una tessera e da un lato stamperai anche il codice a barre. Poi, pieghi a metà il foglio, lo ritagli e lo plastifichi. Esistono anche metodi più professionali, ovviamente, ma è una soluzione anche molto economica.

mbizzaro ha scritto:

contiene username + password + credito del socio


mmh, no, non metterei sia username che password. Infatti, se la tessera venisse persa, chiunque potrebbe accedere al credito residuo semplicemente introducendola.

La tessera, secondo me, deve trasmettere soltanto lo username e può essere lo stesso username che gli utenti utilizzano quando accedono da web oppure può essere un codice casuale assegnato all'utente. Infatti un codice a barre non è altro che una sequenza di caratteri alfanumerici e quando il lettore lo legge invia semplicemente questi caratteri (più un "invio" finale) alla casella di testo che ha il focus, proprio come se fossero stati digitati dalla tastiera.

Potresti usare il code39:
http://en.wikipedia.org/wiki/Code_39
Volendo automatizzare l'emissione delle nuove tessere potresti, con le GDI+, scrivere sull'immagine contenente la grafica base della tessera col font Code39 che trovi su internet.

Io la vedo così: letto il codice, l'utente dovrà poi digitare un pin che lo abiliterà all'uso dei servizi. Pensaci: in fondo questo è il sistema usato più comunemente, dal noleggio dei film al bancomat.

Soprattutto il credito residuo deve essere memorizzato al sicuro nel database della tua applicazione.

Usare una smartcard, invece, non solo sarebbe più dispendioso ma è anche impossibile in questo caso perché non puoi abilitare IIS a ricevere i certificati client che esse conterrebbero.

Se si trattasse di un'applicazione per Windows sarebbe diverso perché, tramite delle API, potresti accedere direttamente alla memoria della smart card per leggerne i dati. Invece, siccome sei in un'applicazione web, sei "chiuso" all'interno del browser e non hai accesso diretto alla smart card ma ricevi semplicemente il certificato client che essa conterrebbe.

Potresti realizzare una maschera di login realizzata con Windows Forms o WPF che raccoglie i dati e dietro le quinte effettua chiamate web... ma perché complicarsi la vita?

Secondo te è fattibile usare codici a barre? Trova un lettore che sia fisso al totem, altrimenti con uno manuale c'è rischio che cada per terra e si roma dopo due giorni.

ciao,

Enjoy learning and just keep making
333 messaggi dal 05 agosto 2005
Scusami per il ritardo.
Penso che il lettore del codice a barre sia, come da te suggerito, la soluzione migliore.

Grazie 10000000000000000000000000000

Marco

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.