17-Mavzu Single sign-on bir mar-talik kirishning oddiy tizimi, ma'lumotlardan foydalanish usullari Reja: 1. Single sign-on bir mar-talik kirishning oddiy tizimi
2. Ma'lumotlardan foydalanish usullari
Qisqartirilgan tizimga kirish (RSO) atamasi ba'zilar tomonidan bir martalik tizimga kirish korxonada xavfsiz kirishning turli darajalariga bo'lgan ehtiyojni hal qilishda amaliy emasligini aks ettirish uchun ishlatilgan va shuning uchun bir nechta autentifikatsiya serveri zarur bo'lishi mumkin. .
Yagona tizimga kirish foydalanuvchi dastlab autentifikatsiya qilinganidan keyin (“qal’aning kalitlari”) ko‘plab resurslarga kirishni ta’minlaganligi sababli, hisob ma’lumotlari boshqa odamlar uchun mavjud bo‘lsa va noto‘g‘ri ishlatilsa, bu salbiy ta’sirni oshiradi. Shu sababli, bir martalik tizimga kirish foydalanuvchi hisob ma'lumotlarini himoya qilishga e'tiborni kuchaytirishni talab qiladi va ideal tarzda smart-kartalar va bir martalik parol tokenlari kabi kuchli autentifikatsiya usullari bilan birlashtirilishi kerak.
Yagona tizimga kirish ham autentifikatsiya tizimlarini juda muhim qiladi; ularning mavjudligini yo'qotish SSO ostida birlashtirilgan barcha tizimlarga kirishni rad etishga olib kelishi mumkin. SSO tizim ishini saqlab turish uchun seansni o'zgartirish imkoniyatlari bilan sozlanishi mumkin. Shunga qaramay, tizimning ishlamay qolishi xavfi har doim kirish kafolatlanishi kerak boʻlgan tizimlar uchun, masalan, xavfsizlik yoki zavod qavati tizimlari uchun bir martalik tizimga kirishni istalmagan holga keltirishi mumkin.
Bundan tashqari, Facebook kabi ijtimoiy tarmoq xizmatlaridan foydalangan holda bir marta kirish texnikasidan foydalanish uchinchi tomon veb-saytlarini kutubxonalar, maktablar yoki ish joylarida unumdorlik uchun ijtimoiy media saytlarini bloklaydigan yaroqsiz holga keltirishi mumkin. Bundan tashqari, Xitoy va uning " Oltin qalqon loyihasi " kabi faol tsenzura rejimlari bo'lgan mamlakatlarda qiyinchiliklarga olib kelishi mumkin , bu erda uchinchi tomon veb-sayti faol ravishda tsenzura qilinmasligi mumkin, lekin foydalanuvchining ijtimoiy logini bloklangan bo'lsa, samarali ravishda bloklanadi.
2012 yil mart oyida bir tadqiqot maqolasida ijtimoiy kirish mexanizmlarining xavfsizligi bo'yicha keng qamrovli tadqiqot haqida xabar berilgan. Mualliflar OpenID (shu jumladan Google ID va PayPal Access), Facebook , Janrain , Freelancer , FarmVille va Sears.com kabi yuqori darajadagi ID provayderlari va tayanch partiya veb-saytlarida 8 ta jiddiy mantiqiy kamchiliklarni aniqladilar . Tadqiqotchilar ID provayderlari va ishonchli partiya veb-saytlarini kamchiliklar aniqlangani haqida jamoatchilik e'lon qilishidan oldin xabardor qilganligi sababli, zaifliklar tuzatildi va hech qanday xavfsizlik buzilishi qayd etilmadi.
2014-yilning may oyida “ Secret Redirect ” nomli zaiflik aniqlangan edi. 2020-yil dekabr oyida federativ autentifikatsiya tizimlaridagi kamchiliklar 2020-yilda AQSh federal hukumati maʼlumotlarini buzish paytida hujumchilar tomonidan qoʻllangani aniqlandi .
Yagona tizimga kirish qanday ishlashi tufayli tizimga kirgan veb-saytga SSO tokenini olish uchun soʻrov yuborish va tizimdan chiqqan veb-saytga token bilan soʻrov yuborish orqali tokenni HttpOnly cookie bayrogʻi bilan himoyalab boʻlmaydi va shu tariqa seansni o'g'irlash uchun tizimdan chiqqan veb-saytda XSS zaifligi mavjud bo'lsa, tajovuzkor tomonidan o'g'irlanishi mumkin . Yana bir xavfsizlik muammosi shundaki, agar SSO uchun ishlatiladigan seans o'g'irlangan bo'lsa (SSO tokenidan farqli ravishda HttpOnly cookie bayrog'i bilan himoyalanishi mumkin), tajovuzkor SSO tizimidan foydalanadigan barcha veb-saytlarga kira oladi.
Dastlab Kerberos va SAML da tatbiq qilinganidek, bir martalik tizimga kirish foydalanuvchilarga oʻz shaxsiy maʼlumotlarini foydalanuvchi tashrif buyurgan har bir yangi resursga chiqarish boʻyicha hech qanday tanlov bermadi. Bu Kerberos ixtiro qilingan MIT yoki barcha resurslar ichki saytlar bo'lgan yirik korporatsiyalar kabi bitta korxonada yaxshi ishladi. Biroq, Active Directory Federation Services kabi federatsiya xizmatlari ko'payganligi sababli, foydalanuvchining shaxsiy ma'lumotlari foydalanuvchidan ma'lumotlarni to'plagan korxona nazorati ostida bo'lmagan bog'langan saytlarga yuborildi. Maxfiylik qoidalari endi GDPR kabi qonunlar bilan kuchaytirilayotganligi sababli, OpenID Connect kabi yangi usullaryanada jozibali bo'la boshladi; masalan, Kerberosning asoschisi bo'lgan MIT endi OpenID Connect -ni qo'llab-quvvatlaydi .
Nazariy jihatdan bir martalik tizimga kirish ishonchli shaxsga (hisob maʼlumotlari isteʼmolchisi) elektron pochta manzillari kabi identifikatsiya maʼlumotlarini oshkor qilmasdan ishlashi mumkin, biroq koʻpgina hisob maʼlumotlari provayderlari foydalanuvchilarga hisob maʼlumotlari isteʼmolchiga qanday maʼlumotlar uzatilishini sozlash imkonini bermaydi. 2019-yildan boshlab Google va Facebook tizimiga kirish foydalanuvchilardan elektron pochta manzillarini hisobga olish maʼlumotlarini isteʼmolchi bilan boʻlishishni talab qilmaydi. iOS 13 da joriy qilingan " Apple bilan tizimga kiring " foydalanuvchiga har safar yangi xizmatga ro'yxatdan o'tganida noyob elektron pochta manzilini so'rash imkonini beradi, shu bilan iste'molchi hisob ma'lumotlarini bog'lash ehtimolini kamaytiradi
Nazorat uchun savollar:
1. Single sign-on bir mar-talik kirishning oddiy tizimi haqida ma’lumot bering?
2. Ma'lumotlardan foydalanish usullari haqida ma’lumot bering?
