Помните, сколько регистрацион ных форм в Internet пришлось заполнить за все то
время, что вы им пользуетесь? Решили завести себе бесплатный e-mail-адрес или
номер ICQ — регистрируйтесь; хотите участвовать в форуме, где обсуждаются интересующие
вас темы, — еще раз; собираетесь загрузить пробную версию какой-нибудь программы
— еще; покупаете что-нибудь в онлайновом магазине — снова нужно проходить аналогичную
процедуру, причем в каждом магазине свою. И везде — идентификаторы, пароли, имена,
адреса… Неудобно. Можно было бы, конечно, дабы не запутаться, использовать везде
одинаковые данные, но зачастую этого сделать нельзя. Бывает, на одном сайте вы
известны под именем vasya, а на другом его уже занял кто-то другой. Или
в одном месте пароль нужен не короче шести знаков, а в другом в качестве пароля
используют четырехзначные коды.
Отчасти с этим много-(так и хочется сказать без-)образием помогает справляться
броузер. Например, Microsoft Internet Explorer умеет запоминать информацию, введенную
в определенные поля, и затем подставлять (правда, не всегда автоматически) эти
же значения в одноименные поля других форм. Он также позволяет сохранять пароли
и использовать их при повторных обращениях на тот же сайт. Есть и специальное
ПО, служащее для аналогичных целей. Например, v-GO Single Sign-On компании
Passlogix. Эта программа накапливает все учетные записи пользователя, которые
необходимы ему для доступа как к ресурсам Internet, так и к локальным — почтовым
серверам, базам данных, сетевым принтерам, а в дальнейшем выполняет требуемую
идентификацию автоматически.
Однако хотелось бы преодолеть не последствия проблемы, а ее причины. Тем более что многочисленность копий личных данных на уйме сайтов попросту небезопасна. Высока вероятность утечки этой информации, что в лучшем случае грозит заполнением почтового ящика спамом. Если же вы используете одинаковые имена и пароли на нескольких сайтах, то, похитив ваши реквизиты в одном месте, злоумышленник сможет получить доступ и ко всем остальным.
По-видимому, наиболее приемлемым решением может стать единая служба идентификации в Internet, надежно хранящая все личные данные пользователей. При этом все сайты, которым нужна какая-либо информация о посетителях, должны будут обращаться именно туда. Идея такая, конечно же, не нова, и в Сети уже появились подобные службы.
Microsoft .NET Passport
 |
| Добавить .NET Passport к учетной записи Windows XP очень просто |
Пожалуй, самая известная сегодня служба сетевой идентификации — это .NET
Passport компании Microsoft. Сейчас она насчитывает около 200 млн. активных
пользователей и ежемесячно обрабатывает более 1,5 млрд. транзакций. Пока что "паспорт"
применяется главным образом в службах самой Microsoft — MSN, Hotmail, MSN/Windows
Messenger. Других компаний, поддерживающих данную технологию, пока мало, и в основном
это мелкие сайты, однако Microsoft продвигает ее весьма настойчиво. Так, возможность
автоматической регистрации в службе .NET Passport при установлении соединения
с Internet изначально встроена в Windows XP.
Кроме обычной функции Single Sign-In, в .NET Passport реализованы еще две — Express
Purchase и Kids Passport. Первая заключается в том, что владелец электронного
"паспорта" может создать себе электронный же кошелек — .NET Passport
Wallet — и занести в него информацию о своих кредитных карточках. После этого
в некоторых онлайновых магазинах, например на сайте www.buy.com,
для совершения покупки будет достаточно буквально одного щелчка мыши. Kids Passport
— это "паспорт" для детей, номинально предназначенный для защиты их
личных данных. Он создается родителями, которые указывают, какая информация (имя,
адрес и т. п.) может предоставляться различным сайтам, посещаемым их отпрысками.
Естественно, имеются в виду только сайты, поддерживающие эту технологию. Пока
что их "растущее число" (цитата с passport.com) равно 20, причем 18
(!) из них принадлежат самой Microsoft.
Для создателей сайтов, которые хотели бы идентифицировать своих клиентов с помощью
.NET Passport, Microsoft бесплатно
предлагает SDK. Он доступен для Windows, Linux и Solaris. На платформе .NET
данный способ идентификации входит в число стандартных и, более того, является
рекомендованным. Разумеется, чтобы ваш сайт смог поддерживать эту технологию,
загрузить и установить у себя SDK мало, требуется еще заключить лицензионное соглашение
с Microsoft и получить специальный SiteID (вначале для разработки и тестирования,
а затем еще один — для финальной версии). Выполнить требования соглашения, а
их около 30, не очень сложно, в основном они чисто формальные, например необходимо
поместить ссылку на privacy statement — документ, декларирующий, что данные клиентов
без их ведома не будут предоставляться третьим лицам и т. п.
Серьезным пунктом является использование протокола HTTPS. Это гарантирует, что имена, пароли и другая частная информация будут передаваться от сервера клиенту и обратно только в зашифрованном виде и, таким образом, не "засветятся" на промежуточных узлах. Для обеспечения защищенного соединения необходимо приобрести и установить на своем Web-сервере специальный цифровой сертификат (PC Certificate). В компании Verisign, выдающей более 90% таких сертификатов, он стоит порядка $350 в год (плюс $100 единоразово). Нужно также иметь в виду, что в перспективе Microsoft планирует взимать с использующих .NET Passport сайтов ежегодную абонентскую плату, размер которой неизвестен (пока сервис предоставляется бесплатно).
Все описанные удобства и достоинства .NET Passport — это, конечно же, только одна сторона медали. Как обычно, имеется и обратная. Очень большие сомнения вызывает принципиальный вопрос — сможет ли Microsoft обеспечить надлежащий уровень безопасности программ и данных? Сообщения об обнаружении очередных дыр в защите самой OC Windows, Web-сервера Internet Information Server, броузера Internet Explorer, СУБД SQL Server и других продуктах компании поступают практически каждую неделю. Вирусы, использующие эти "особенности", за считанные дни заражают миллионы Windows-компьютеров по всему миру. Бывают месяцы, когда Microsoft выпускает такое число "заплат" к своему ПО, что их приходится группировать в специальные cumulative patch — настолько утомительно загружать их по отдельности.
Когда эта статья была практически готова, обнаружилась серьезнейшая брешь в защите самой службы .NET Passport, что заставило Microsoft приостановить все операции с электронными кошельками .NET Passport Wallet. Вкратце суть ее такова. Владельцу e-mail-адреса на Hotmail или MSN отправляется особое сообщение в HTML-формате со ссылкой на некий Web-сервер. При отображении письма почтовая программа обратится к этому Web-серверу, причем в заголовке HTTP-запроса будет фигурировать ключ, полученный ею от passport.com. С помощью этого ключа злоумышленник может в течение 15 мин оперировать со всеми данными "паспорта" жертвы, включая и его электронный кошелек.
Марк Слемко (Marc Slemko), обнаруживший слабое место, сказал, что на это дело он потратил всего несколько часов — настолько все было очевидно. Даже несмотря на миллиардные затраты на маркетинг, с такими "успехами" Microsoft будет трудно завоевать доверие пользователей. Некоторые аналитики считают, что изменить общественное мнение в свою пользу будет гораздо сложнее, чем просто возложить реализацию системы безопасности на специализирующуюся на этих вопросах компанию и "прикрыться" ее репутацией.
Есть и другие моменты, заставляющие задуматься о целесообразности использования и перспективах .NET Passport. Данные всех "паспортов" сейчас хранятся в одном месте — на серверах passport.com. Не все еще забыли события 23 января 2001 г., когда какой-то "специалист" из Microsoft неправильно настроил DNS и заблокировал доступ ко всем сайтам компании, включая и passport.com, почти на целый день. Конечно, такие случаи — большая редкость, но когда речь идет о сотнях миллионов людей и компаний, которые могут при этом пострадать, вполне достаточно и одного раза — сумма нанесенного ущерба будет числом со многими нулями. Правда, по неофициальным заявлениям отдельных сотрудников, Microsoft планирует переход от централизованной системы к федеративной, когда учетные записи будут храниться не только на passport.com, но и у доверенных партнеров. Клиенты при этом сами смогут выбирать, где именно должны располагаться их данные.
Определенные сомнения также вызывают некоторые особенности реализации функции Single Sign-In. После первой же идентификации в .NET Passport, во все HTTP-запросы, поступающие от пользователя, автоматически включается некоторое 64-разрядное число. По нему нельзя, конечно, определить имя и фамилию владельца, однако два различных сайта могут легко отождествить своих посетителей по значению этого числа. Теоретически если сайты, не поддерживающие .NET Passport, скооперируются с одним из тех, где эта поддержка есть, появляется возможность отслеживать практически все перемещения пользователя в Сети. Прощай, анонимный Web-серфинг!
Liberty Alliance
В противовес "паспортам" Microsoft ее главный конкурент Sun Microsystems
инициировала создание организации Liberty Alliance, целью которой является реализация
альтернативной системы централизованной
идентификации в Internet. Состав этого альянса еще формируется, но участвовать
в нем уже решили такие известные компании, как Cisco Systems, Nokia, American
Airlines, Sony Corporation, Sprint, Bank of America и многие другие.
По охвату Internet-аудитории Liberty Alliance значительно превосходит .NET Passport — в сумме у всех членов альянса насчитывается более 2 млрд. учетных записей. Разумеется, стоящих за ними реальных физических лиц меньше, но их число все равно во много раз больше, чем у службы .NET Passport.
Создаваемая система изначально основывается на федеративной модели. Члены альянса сохранят имеющиеся у них клиентские базы (сведение их в некий единый реестр или репликация на другие сайты недопустима из-за требований соблюдения приватности, т. е. невозможности передачи личных данных третьим лицам). Однако для конечного пользователя это будет выглядеть так, что имя и пароль, когда-то полученные им на одном сайте, подходят теперь и ко многим другим. Унификации подвергнутся способы обращения к личным данным пользователей и их структура. Сказать что-то более определенное трудно, проект еще совсем новый, технические документы и спецификации пока не готовы. Их появление ожидается в декабре. Интересно, как будет решена проблема наличия у одного человека нескольких учетных записей, хранящихся в базах данных разных компаний?
Другие
Несмотря на миллионы и миллиарды учетных записей в базах данных Microsoft
и членов Liberty Alliance, они все же не покрывают большинство регистраций, выполняемых
пользователями Internet. Такие крупные порталы, как Amazon.com, AOL, Yahoo! и
многие другие, в ближайшее время не собираются ни внедрять у себя .NET Passport,
ни участвовать в инициативе Sun. Однако это совсем не означает, что они не интересуются
подобными технологиями. Та же Amazon.com, например, разработала, запатентовала
и с большим успехом использует собственную технологию для "быстрых покупок"
1-Click. В AOL применяется единая идентификация пользователей, благодаря которой
абоненты Internet-провайдера AOL, входя в Internet, автоматически, с теми же идентификаторами
и паролями, получают доступ и к порталу компании.
Собственными средствами регистрации посетителей обладают также многочисленные более мелкие сайты, однако там, как правило, вопросам защиты не уделяют должного внимания. Известны даже случаи явного злоупотребления — так, в течение последнего года некоторые обанкротившиеся Internet-компании (так называемые "доткомы") продавали базы данных с информацией о своих бывших клиентах конкурентам или спамерам.
Нельзя также забывать и о различных государственных службах, которые становятся все более доступными в Internet. Они тоже требуют идентификации граждан для оказания им услуг. И весьма возможно, что именно государственные структуры станут настаивать на вводе унифицированных "удостоверений личности" в Internet.
Заключение
Интересно, как будут разворачиваться события дальше. С одной стороны, Microsoft
обладает колоссальными ресурсами, сравнительно давно продвигает свою услугу Passport
и встроила ее поддержку в Windows XP, которая в будущем, вероятно, станет очень
распространенной ОС. С другой стороны, относительно новый проект Liberty Alliance
уже находит широкий отклик среди крупных и средних компаний, в то время как число
поддерживающих Microsoft Passport до сих пор остается весьма скромным. Важно также
и то, что в Liberty Alliance входят как поставщики услуг, так и производители
мобильных телефонов и карманных компьютеров. По прогнозам аналитиков, именно на
долю таких интеллектуальных устройств в недалеком будущем будет приходиться основная
доля обращений в Internet, поэтому встроенная поддержка идентификации очень важна.
Вполне вероятно, ситуация окажется аналогичной тому, как обстоит дело с кредитными карточками, т. е. одновременно будут сосуществовать несколько систем идентификации. А сайтам для привлечения посетителей придется поддерживать их все, так же, как современные электронные магазины вынуждены принимать платежи с помощью VISA, MasterCard, American Express и т. п. Это, конечно, требует дополнительных затрат от создателей Web-сайтов, но зато весьма удобно для клиентов, а это, как известно, важнее.