0

私は自分の会社のイントラネット Web サイトを維持しており、彼らは大きくて悪い外部の世界に公開したいと考えています。現在、認証も認可もまったくありません。ユーザー アカウントを管理するための私の考えは、既存のテクノロジを使用してユーザー アカウントを検証し、その上に承認モデルを構築することです。既存の技術は CardSpace と OpenID であり、これによりユーザー名とパスワードのリストを維持する手間が省け、ハッカーにとってサイトへの関心が低くなります。サイト上のデータもそれほど機密ではありません。実際には、同じデータをデスクトップ製品の 1 つのユーザーに XML としてエクスポートするだけで、どこにあるかを知っていれば誰でもこの情報を表示できます。一部のスーパーユーザーを除いて、全員がデータを変更するのをブロックしているだけです。さらに悪いことに、スーパーユーザーはすべてのデータを破壊します。バックアップを復元する必要があります。最悪の場合、1 日分のデータ入力が失われ、最大で 100 回の変更に相当します。(98 は、これまでの 1 日での変更の最大数でした。)

全体として、それほど重要なデータではありません。すべてにセキュリティを追加したいだけです。

現在、経営陣は、ユーザー名とパスワードを保存し、暗号化を追加し、このユーザーデータを保護するためにあらゆる種類の他のことを行う追加のデータベースを構築することを提案しており、基本的に、ユーザーアカウントを処理するためにあらゆる種類の奇妙なスキームを作り上げています. 誰もソフトウェア設計の技術的側面の経験がなく、システムを安全にする知識もありません。したがって、彼らのデザインは完全なカオスになります。(大文字の C で) 機能設計を思いつくのに、すでに 2 か月もかかっています。特定のセキュリティ面でお互いに意見が一致していないからです。

そのため、適切なセキュリティに関するわかりやすい洞察を提供するように依頼されました。CardSpace と OpenID の両方が十分に安全であることを知っているので、アカウントを管理するための最良のオプションとしてこれらを紹介したいと思います。すべてのアカウントが特別なロールに接続され、「表示のみ」以外の追加権限が付与される単純なロール システムをこれに追加します。これを構築し、概念実証を行い、十分な技術情報を見つけることは簡単です。一つだけ質問があります...

CardSpace や OpenID などの技術を、技術的なバックグラウンドがまったくない人にどのように説明すればよいでしょうか? 「ダミーのための OpenID」のようなものですが、さらに理解しやすいものです。再び少し技術的になることなく、適切な言葉を見つけるのに苦労しています。(さらに悪いことに、これを正しく説明しないと、彼らはこの手法を使用しないと判断する可能性があり、私は途方もない構造を実装する運命にある.)

助けてください!:-)

しかたがない。簡単な質問: OpenID や CardSpace を自作のソリューションよりも使用する利点を、技術的でない言葉でどのように説明すればよいでしょうか?

補遺: これらのマネージャーは、私の「通常の」マネージャーではありません。彼らは基本的に、サイトを公開するというアイデアを思いついた会社の CEO とパートナーです。通常、彼らはこれらのタスクを正規のマネージャーに委任し、正規のマネージャーが思いつく解決策を受け入れます。しかし、これは彼らにとって少し威信のあるプロジェクトになっているので、彼らは個人的に関与しています. そのうちの少なくとも 1 人は、セキュリティに関する情報を求めてインターネットを検索しており、Fort Knox よりもセキュリティを強化したいと考えています。彼は少しのパラノイアを引き起こしているので、彼らを怒らせることなく、私が鎮圧する必要があります。そして、彼らは皆、技術的な側面を理解することさえせずに、この「セキュリティ」のことについてもっと学んでいるようです. これは名声のあるプロジェクトであるため、彼らは高価なソリューションを喜んで受け入れますが、それは会社にとって良いことではありません. 個人的には、彼らにはやめて、本当のプロに任せるように言いたいです。繰り返しになりますが、私は仕事を続けたいので、より政治的な正解が必要です。

4

5 に答える 5

2

「ベリサイン」の主張でそれを売ることができます。

私たちは皆、独自の強力な暗号化キーを生成して保存することができますが、それは莫大なオーバーヘッドであり、Verisign はわずかな料金でそれを行います。同じ製品を提供する企業は他にもありますが、Verisign は市場のリーダーです。

インターネット セキュリティのもう 1 つの側面は、ユーザー ID とパスワードです。

「Open Id」は (比喩を許してください) パスポートのようなものです。信頼できる機関 (パスポートの発行国、Open Id の Verisign など) に対して身元を宣言しているため、あなたが誰であるかを証明します。あなたが誰であるかを証明するために使用されます。

Verisign はオープン ID を提供します。Versign は市場で信頼されているため、オープン ID を信頼できます。

于 2009-07-24T12:41:53.917 に答える
1

OpenIdやCardSpaceなどの検証済みのソリューションを使用すると、次のようになります。-
低コスト
-信頼性
-実装の高速化
-安全性
-覚えておくべき別のパスワードではない

于 2009-07-24T12:24:37.003 に答える
1

管理者にセキュリティを説明するのは、経済学の観点から説明するのが最も簡単だと私はいつも思っています。経済学の観点から説明するだけでなく、経済理論の観点からもユーザー エクスペリエンスを説明してみてください。

  • さらに別のパスワードを覚えるには、ある程度の精神的努力が必要です。
  • OpenID のログイン プロセスに関連する精神的な労力にはいくらかのコストがかかるため、さまざまなサイト間を移動する必要があります。
  • それぞれのアプローチに関連するリスクがあります
  • 各アプローチは特定のリスクを軽減します
  • 各アプローチの実装にはいくらかの費用がかかります
  • 各アプローチを維持するにはいくらかの費用がかかります

これで、各アプローチの金銭的コスト、ユーザー エクスペリエンスのコスト、開発コスト、およびビジネスへのリスク、その可能性と可能性について話すことができます。マネージャーはコストとリスクを理解するために支払われているので、あなたの説明にうまく対処する必要があります:-)。

于 2009-07-24T12:31:32.713 に答える
1

独自のセキュリティ システムを作成するのは困難です。間違える可能性は非常に高いです。間違った結果は、大きな恥ずかしさ、潜在的な訴訟、そして最終的には会社の収益へのコストです.

賢明な解決策は、会社へのリスクを最小限に抑えることです。

(彼らの自己保存の感覚にアピールすることもできます。社内ソリューションが市販のソリューションと比べて洋ナシ型になった場合、誰が責任を負いますか?)

于 2009-07-24T12:38:50.377 に答える
0

このイントラネットサイトを作成するためにどのテクノロジーを使用していますか?使用されているほとんどすべての技術には、セキュリティを実装するための優れた方法があります。セキュリティを最初から再検討することは常に失敗します。

それはあなたのマネージャーが間違っているということではありません。あなたが彼らが理解していない技術的限界を知っているのと同じように、彼らはあなたが知らない会社の方針や政府についても知っているかもしれません。

于 2009-07-24T12:27:50.187 に答える