Freigeben über


Understanding Windows Cardspace

image_3Finalmente disponibile il primo libro interamente dedicato a Windows Cardspace e più in generale alle problematiche di Identity Management in un ambiente eterogeneo e complesso come quello di Internet.

Ne avevo già accennato molto brevemente qui circa 3 mesi fa quando il libro ancora non era disponibile.

Tre aspetti attirano la mia attenzione già solo dalla copertina :

1) Dei libri della Addison Wesley quelli con l'etichetta David Chappell, Series Editor fanno parte per così dire di un sottogruppo elitario perchè consigliati direttamente da David Chappell che, come sappiamo, nel mondo dell' IT è un'autorità.

2) Il Foreword del libro è stato scritto da Kim Kameron - Chief Architect of Identity - di Microsoft Corporation (che tra l'altro è venuto a trovarci poco tempo fa) , ovvero la persona che può essere considerata il papà dell' Identity Metasystem.

3) L'immagine di un procione! Che nonosante la spiegazione di Vittorio in un suo post non mi ha convinto del tutto :-)

Il libro è suddiviso logicamente in 3 parti : Setting the context, The Technology e Pratical Considerations per facilitare la comprensione di un argomento che non è proprio tra i più facili: L'identity management oggi (e domani).

Nella prima parte (dove mi sembra di riconoscere lo stile di Vittorio :-) ,ma potrei sbagliarmi...) gli autori scattano una fotografia molto realistica della (triste) situazione in cui oggi ci troviamo in ambito identity management su internet. Questa introduzione fa capire a tutti, senza uso di tecnicismi o giri di parole, perchè ci troviamo a combattere contro fenomeni via via sempre più perfezionati e difficili da intercettare come i furti di identità, le frodi online e più in generale il phishing. E' in questa (triste) realtà che si arriva all'introduzione di Windows Cardspace come un tassello molto importante di un concetto molto più vasto che va sotto il nome di Identity Metasystem, ovvero di un "sistema di sistemi" capace di fornire una base di interoperabilità per le identità elettroniche tra i vari sistemi presenti e futuri. A questo proposito mi piace la molto il titolo A world without a center perchè in questa breve sentenza è racchiusa una grande verità : internet non ha un centro e come tale non ha una autorità in grado di governare e controllare le altre; è proprio in questo contesto di collaborazione che prende vita e si articola l' Identity Metasystem.

Nella seconda parte invece si entra subito nei dettagli tecnici vivisezionando Cardspace nei suoi più intimi componenti: Information Cards, la UI di Windows, l'identity selector, il supporto alla federation, integrazione con WCF e per concludere con un sempre gradito excursus (in realtà è un capitolo :-) dedicato al mondo unmanaged dando spazio alle API native in C/C++.

Nella terza ed ultima parte ci spostiamo da un'analisi prettamente tecnologica ad una serie di considerazioni che gli autori fanno grazie anche alla loro esperienza sul campo nel supporto di progetti di vari clienti nel mondo. Ho gradito molto il capitolo e le considerazioni fatte su uno degli aspetti secondo me più controversi e meno chiari oggi: l'identity provider o meglio le implicazioni nel diventare un identity provider su internet.

Perchè mi piace questo libro

Se ci soffermiamo un attimo a considerare i "nuovi" trend architetturali da quelli più consumer come il Web 2.0 a quelli più business oriented come ad esempio OBA (Office Business Applications - ovvero composite applications) fino a fenomeni più vasti come può essere quello di Software Plus Services scopriamo che portano tutti a fattor comune la centralità delle persone e la facilità di veicolare e condividere informazioni giuste al momento giusto. Un trend che Microsoft già da tempo ha sintetizzato in due parole : "People Ready" .

Purtroppo questa visione deve fare i conti con un aspetto molto umano che rischia di frenare in modo consistente la spinta verso il futuro : la sfiducia delle persone verso Internet.Stiamo parlando di percezione a 360 gradi, di sfiducia che gli utenti comuni (non gli esperti di sicurezza informatica) ripongono nelle soluzioni internet. Una sfiducia avvertita grazie e soprattutto alle numerose notizie di frodi informatiche che colpiscono gli ignari utenti di internet dandone una percezione come di un mondo parallelo dove sia difficile se non impossibile essere tutelati. Molte di queste frodi sono possibili perchè di fatto Internet non possiede un sistema di Identity Management integrato che garantisca uno dei principi base della sicurezza : chi siamo.

Ebbene, questo libro pur non essendo ovviamente orientato agli utenti finali (non mi immagino mia madre che usa spesso internet, l'email e word per scrivere i suoi testi, si metta a leggerlo :-) pone però le basi per capire in modo pratico e realistico come operare e cooperare alla realizzazione di un sistema dei sistemi o metasystem per superare l'impasse durato decenni causato dalla mancanza di un sistema di identità. Questo metasystem ha l'obiettivo di trovare dei meccanismi comuni basati su standard capaci di lavorare con più digital identities e security tokens garantendone la creazione e lo scambio. Questo approccio è esattamente l'opposto di quello che quasi tutte le grandi aziende del mondo IT che operano su Internet (Microsoft compresa) hanno cercato di fare negli ultimi decenni ovvero di imporre una particolare tecnologia su tutte...con i risultati che ben sappiamo.

Purtroppo non siamo ancora nella fase di convincimento degli utenti internet, ma piuttosto di dimostrazione agli esterti dell' IT della bontà del disegno di un sistema di identità capace di propagare le identità elettroniche tra ambienti e tecnologie diverse in modo sicuro, intuitivo e trasparente per l'utente. Windows Cardspace è quindi l'implementazione Microsoft di una componente dell' Identity Metasystem (qui sul sito di Kim potete trovarne molte altre anche per sistemi non MIcrosoft) capace di racchiudere tre aspetti fondamentali : Il supporto a qualsiasi Identity System, un uso consistente da parte dell'utente della propria identità ed infine (finalmente) un meccanismo che possa mettere in soffitta l'uso delle password.

Convincere gli esperti significa da un lato dimostrare la bontà dell'architettura (sicurezza, scalabilità, ecc..) e dall'altro evidenziare tutti gli aspetti implementativi e di supporto come nel caso di Windows Cardspace. In entrambi i contesti il libro di Vittorio, Garrett e Caleb è sicuramente la migliore lettura.

Bravo Vittorio ;-)

--Mario

Comments

  • Anonymous
    January 29, 2008
    Bravo!!! Carmelo Lisciotto

  • Anonymous
    January 29, 2008
    Carissimo, sono commosso & lusingato per questa bellissima (& positivissima!) review che fai del libro! Spero che un esperto di security come te non si sia annoiato troppo nelle parti un cui spieghiamo le informazioni di base (crittografia, http, x509, saml, kerberos, etc); e sono davvero felice che tu abbia apprezzato "a world without a center", come hai intuito la prima parte e' colpa mia :) Ovviamente dalla review e' chiaro che il libro l'hai gia' letto, ma sono felice di passartene un'altra copia se la vuoi! Vieni a Seattle a questo TechReady? Grazie ancora & ciao :) V. P.S.: di solito il procione e' una cosa che gli smericani faticano a capire, mentre gli europei di norma ci prendono subito... secondo me sono tutte le storie sulla banda bassotti che ci siamo letti da piccoli (qui in US non ho ancora visto nessun negozio vendere Topolino)

  • Anonymous
    January 29, 2008
    Per restare in tema identità e di sforzi nel definire un identity metasystem capace di promuovere lo