383 messaggi dal 23 aprile 2007
Ciao a tutti,
sto lavorando da un po' di tempo su WIF, e per una richiesta del committente, dovrei consentire all'utente online di aggiornarsi le proprie informazioni dal relying party.
Credo che questo vada un po' in antitesti con l'idea che sta alla base del wif, ma, dato che non decido io: qual'è il modo "più sicuro" per farlo?

Sarebbe corretto, o quanto meno non mi esporrebbe a grossi rischi se, ad esempio, creassi un servizio wcf, o anche un action lato IP-STS(chiamata a sua volta da un action del RP) che consentisse di eseguire l'update dei claims sul db?
O esiste una via migliore?

Grazie
Sergio
383 messaggi dal 23 aprile 2007
Giusto nel caso potesse essere utile a qualcuno, ho scritto a Vittorio Bertocci e lui ha risposto che:

Ciao Sergio,
In generale scrivere un IP e' un'idea pericolosa - dato il ruolo critico che ricopre.
Cio' detto. In se e per se l'idea di fornire self service attribute updating agli utenti finali non e' blasfema. Esporre la funzionalista' sull'STS e' anche concepibile, visto che l'utente deve fare sign in sull'STS in ogni caso. La cosa che rende difficile per me dare consiglio e' che ci sono moltissimi modi diversi di implementare la funzionalita', con molti tradeoffs, e senza avere piu' dettagli e' difficile dare indicazioni. Malauguratamente non ho molto tempo, quindi anche se tu mi passassi tutti i dettagli non so se avrei modo di analizzare il tutto propriamente. Forse puoi metterti in contatto con MCS Italy?
Perdonami per non essere molto d;aiuto, ma visto che si tratta di security piuttosto che darti indicazioni sbagliate preferisco la cautela :)
Best,
V.


Io almeno ora so che l'idea non è un insulto alla ragione XD

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.