Autenticazione Cross-Site

[jonquerido]

Ciao a tutti,
secondo la vostra esperienza quale può essere una buona tecnica per consentire un'autenticazione cross-site?
Ho la necessità che l'utente già autenticato sul sito A possa tramite un link essere re-diretto sul sito B senza la necessità di dover reinserire utente e password. Il sito A naturalmente conosce quantomeno l'utenza del sito B da utilizzare.

Il primo meccanismo a cui avevo pensato era quello di passare dei parametri di autenticazione nel redirect tra A e B, e pensavo naturalmente di criptarli con una chiave segreta comune ai due siti.

Il mio dubbio principale è: se metto i parametri necessari nella mia QueryString e li cripto, è possibile con qualche tecnica di hacking intercettare tutta la querystring e riutilizzarla per entrare sul sito B?

Grazie a chi mi saprà dare qualche indicazione o documentazione.

Ciao

[raffaeu]

Questo articolo spiega proprio come risolvere il tuo problema.
http://www.123aspx.com/redir.aspx?res=37145

[jonquerido]

Originariamente inviato da raffaeu
Questo articolo spiega proprio come risolvere il tuo problema.
http://www.123aspx.com/redir.aspx?res=37145

Grazie per il link: lo avevo già trovato e provato.

Il mio dubbio è però questo: per quanto i parametri siano criptati e non leggibili, mi chiedevo se tramite tecniche di hacking sia possibile intercettare tutta la stringa che consente l'autenticazione e riutilizzarla pari pari senza nemmeno sapere cosa contiene. Ho provato in effetti manualmente dal browser e riutilizzando la stringa per aprire il sito di destinazione l'accesso viene consentito. Quindi se ci sono riuscito io manualmente dal mio browser mi chiedo se sniffando il traffico di rete qualcuno non riesca a fare la stessa cosa.

Grazie per la risposta.

Ciao
John

[raffaeu]

Beh ma la chiave privata dovrebbe risiedere nel client che autentica ... e comunque dovrebbe autenticare la sessione corrente, quindi se tu sniffi la GET e la posti con un' altra sessione non dovrebbe validare il login ..

[jonquerido]

Originariamente inviato da raffaeu
Beh ma la chiave privata dovrebbe risiedere nel client che autentica ... e comunque dovrebbe autenticare la sessione corrente, quindi se tu sniffi la GET e la posti con un' altra sessione non dovrebbe validare il login ..

Mmmmm....
Primo: se intercetto la stringa e non mi preoccupo di interpretarla ma la riutilizzo, posso anche non conoscere la chiave utilizzata, non mi interessa il contenuto effettivo.

Secondo: la sessione mentre sono sul sito A sarà X, la sessione quando vengo rediretto sul sito B sarà Y. I due siti stanno su macchine e/o domini diversi.
Quindi niente validazione sulla sessione, al max avevo pensato di fare una validazione sull'host che trovo nella Request: se la richiesta di autenticazione viene dall'IP del sito A allora OK, altrimenti la scarto.

Ripeto, magari io mi faccio troppi problemi, ma un hacker può intercettare l'intero stringa e riutilizzarla?

Grazie
Ciao