Tja, en hoe cross-platform is InfoCard? Is er een open
specificatie van?

Goh..... en Microsoft denkt het bedrijf te zijn die de wachtwoorden gaat
beheren? Goed plan om echt wereldleider te worden. George Orwell was
zo gek nog niet......

En lees dan:
Dit lijkt juist te impliceren dat Microsoft dit keer juist
NIET van plan is de gegevens te beheren, maar dit bij de
gebruiker laat.

Oh oh, lezen is een vak apart...

En jij denkt dat die InfoCard technologie alleen lokaal z'n
werk doet? Hoe moeten websites dan bij de in InfoCard
opgeslagen wachtwoorden komen? Daar zit gewoon een mooie api
achter, en daarmee maakt Microsoft weer een basale security
fout: ze voegen twee gebieden (local machine en internet)
samen die helemaal niet samengevoegd zouden mogen worden!

en hoe vaak in het verleden heeft Microsoft NIETS geleerd
van zijn fouten? Juist.

Lezen is een vak apart, maar je over de feiten buigen ook. Er is
inmiddels voldoende documentatie beschikbaar over Infocard. Zie
hiervoor de website van MS. Was ook leuker geweest op deze
site als daar een samenvatting van gebruikte ontwerpprincipes of
standaarden was genoemd. Ik doe een poging:
1. Is gebaseerd op webservices
2. Gaat uit van een federaal stelsel, ofwel verschillende identitity
providers.
3. maakt gebruik van open standaarden of defacto standaarden
zoals SAML, X.509, Kerberos
4. kent verschillende betrouwbaarheidsniveaus: shared secrets,
tokens, certificaten, etc.

Overigens heeft Microsoft zelf aangegeven wat ze hebben
geleerd van het Paspoort debacle: "Passport was originally
intended to solve two problems: to be an identity provider for the
MSN and Microsoft properties, and to be an identity provider for
the Internet. It succeeded at the first, with over 250 million active
Passport accounts and over 1 billion authentications per day. As
for the second original goal, it became clear to us through
continued engagement with partners, consumers, and the
industry that in many cases it didn't make sense for Microsoft to
play a role in transactions between, for instance, a company and
its customers."

Lijkt dit nu heel veel op Keychain wat ik op m'n Mac ook
heb, of heb ik iets niet begrepen?

MacFan

Dat klopt. Helaas biedt de marketing-lectuur van Microsoft
te weinig aanknopingspunten om een voldoende afweging op
basis van feiten te kunnen maken.
Dit doet mij network security wise al het ergste vermoeden,
maar goed...
Federated identity is technologie die nog in de
kinderschoenen staat. Het lukt verschillende grote
organisaties niet om dit binnen hun organisatie op te
lossen. Heel ambitieus van Microsoft om er van uit te gaan
dat zij die problemen op nog grotere schaal op kunnen lossen.
Welke Kerberos? MS Kerberos of RFC 1550 Kerberos? Welke
SAML? Welke versie?
In alle gevallen is het trust level het zelfde. Je kunt
namelijk nooit met zekerheid zeggen wie je
authenticeert, alleen wat je authenticeert. En in
geval van token of certificaat authenticeer je dus
alleen het token of certificaat.
Mooi stukje Microsoft-spin. Wat ze bedoelen te zegen is dat
niemand voldoende vertrouwen had en heeft in Microsoft om
hen als global identity provider op te laten treden. Nog los
van het feit dat ze dat technisch gezien niet kunnen. Nog
los van de organisatorische problemen.

Ten eerste kun je de marketing mensen van Microsoft niet de
schuld geven dat je informatie niet begrijpt.

Ten tweede, wat doet jou network security wise het ergste
vermoeden? Onderbouw je vermoedens eens moet goede
argumenten. Dit soort uitspraken valt niet over te
discusieren omdat je eigenlijk gewoon niets zegt.

Ten derde:Je hebt het over "dit"... Wat??

Ten vierde, waarom vraag je naar de versies van encyptie
ongein van een techniek die nog niet is uitgebracht? Ik
geloof dat Vista ergens in 2007 op de markt komt. We moeten
er vanuit gaan dat MS de nieuwste en beste versies pakt. Je
kunt gaan zeuren zodra ze dit niet doen, maar waarom zou je
in gods naam aannemen dat ze verouderde gekraakte troep
implementeren?

Ten vijfde, met de huidige smartcard authenticatie heb je
niet alleen een token nodig, maar ook een pincode. Men heeft
dus in de gaten dat alleen een pasje niet goed genoeg is.
Echter is het wel stukken veiliger dan een wachtwoord,
aangezien dit overal af te kijken is.

Ten zesde, je reactie over het falen van MS pasport is pure
onzin. Lees dat stukje nog eens goed, en concludeer dat je
ongelijk hebt. Anders is het voor ons ook makkelijk
conclusies te trekken. MS verteld dat het passport op 1 van
de 2 bedoelde manieren gefaald heeft, omdat het voor
bedrijven niet practisch is om het beheer van gebruikers bij
een externe partij te doen. Dit heeft bijvoorbeeld als
gevolg dat gegevens niet in eigen huis liggen, en dat de
bewerking van gegevens via internet een vertragende factor word.

Het is zo simpel om te zeggen dat MS het slechtste bedrijf
ter wereld is, maar als je het niet kunt onderbouwen, laat
dit soort uitspraken dan, en hou het gewoon bij je linux
computertje...

Wil hier wel evem op reageren, maar om verwarring in de
discussie te voorkomen: Ik ben NIET te anoniem van het
bericht waarop je reageerd.

Marketing verteld vaak maar de helft met een hoop blabla
eromheen. Marketing informatie is daardoor vaak niet
betrouwbaar, geef mij maar technische specs.

Ik denk dat de anoniem doelt op de twijvelachtige reputatie
om standaarden te verbasteren tot MS standaarden en die
vervolgens te implementeren. Hierdoor is het direct
incompatible met al het standaard spul, en zal het ook nu
weer zijn doel missen (omdat stomweg niet iedereen een
potentiele klant is als je niet aan de standaard voldoet).

Ja, dat zegt de marketing machine van M$. Buiten dat de
diensten van M$ me niet interesseeren heb ik ook nooit een
passport account genomen vanwege wantrouwen ten opzichte van
M$. De onderbouwing van de andere anoniem vind ik dus wel
degelijk een deel van de waarheid.

Moet dat echt nog onderbouwd worden dan ? M$ laat bijna
dagelijks zien dat ze het vertrouwen niet waard zijn, en ik
snap dan ook echt niet waarom men die rommel van ze nog wil
hebben. En ik hou 't inderdaad bij m'n linux computers :-)

Vage marketing termen maar weer..... 'Identity provider'.
Sorry, ik heb mijn identiteit en niemand die het mij gegeven
heeft. Het is ontstaan. Het zijn geen juiste termen als het
verwarring te weeg brengt.


MS is niet het slechtste bedrijf. Want het floreert prima.
Het is enkel niet het beste bedrijf wat zich met verregaande
techniek bezighoudt. Marketing intensief is het een top
bedrijf. De spelletjes die zij op wereldniveau spelen wordt
door velen overgenomen.

Maar.... Linux is een Unix afgeleide. MS heeft zelfs een
paar keer geprobeerd delen van het Unix systeem na te doen.
Beter goed nadoen dan slecht bedacht moeten ze denken. Maar
dat goede nadoen lukt ze niet eens. Unix is ontwikkeld in
een tijd waarin de Hertzen en bytes nog op 10 vingers geteld
konden worden, waardoor optimalisatie noodzakelijk was. In
1980 had Bill Gates daar nog geen oog voor, maar zag een
strategie met de gebruiker aan zijn voeten. Niks liefde voor
techniek, liefde voor de Mammon kun je beter zeggen. Dat is
in 20 jaar niet veranderd. Mensen met liefde voor techniek
zien in *nix de drijfveer om iets moois te maken, niet iets
dat enkel goed verkoopt.

- Unomi -

Ik ben het niet met je eens dat "mensen met liefde voor
techniek" dingen in *nix zien. Persoonlijk ben ik ook
techniek geil, maar werk (op een paar machines na) alleen
maar op Windows. Ik heb aardig wat redenen om Windows boven
Linux te kiezen. De grootste is toch wel de eeuwig genoemde
gebruiksvriendelijkheid. Linux mist dit nog sterk. Dit zou
op zich niet heel erg zijn als elke distro hetzelfde zou
zijn, maar je merkt dat bij verschillende linux distro's
dezelfde bestanden op verschillende plekken staan.
Buiten dat kies ik, en vele bedrijven met mij, voor
Microsoft boven Linux, omdat Microsoft als bedrijf
betrouwbaarder is. Velen hier zullen deze uitspraak zien als
een flame-uitnodiging, maar ik zal het uitleggen. Microsoft
is duidelijk in zijn handelen. Bijvoorbeeld de patches. Het
is voor bedrijven makkelijker processen in te richten
wanneer er regelmaat is. Beveiligingsfouten komen niet met
regelmaat, maar MS heeft hierom de regel toegepast dat elke
2e dinsdag van de maand patches uitgebracht worden.
Ook is het zo dat Linux distro's zo verschillend zijn, dat
het inrichten ervan lang duurt. Installeer bijvoorbeeld eens
Oracle database op 2 verschillende distro's te installeren.
Daarna op een Windows machine. Op de Windows machine gaat
dit volgens het aloude klik-klik-ok systeem, en bij Linux
kan het zomaar zo zijn dat je een paar dagen bezig bent.
Patches installeren, kernel variabelen goed zetten, opstart
scripts schrijven. Allemaal extra werk.

Daar komt ook nog eens bij dat Linux experts een stuk
duurder zijn dan Microsoft experts. Deze redenen zijn er een
paar om niet voor Linux te kiezen.

Omdat onze productie servers op Unix draaien heb ik wel wat
Linux test machines. Vanwege de scripts werd ik gedwongen om
een *nix systeem te keizen, en vanwege de kosten koos ik
voor Linux. Ik heb dus wel ervaring met Linux.

Na gebruik van Linux en Windows heb ik de volgende conclusie
getrokken. Ik kan me goed voorstellen dat velen Linux leuk
vinden door de complexe problemen die zich voor kunnen doen.
Het geeft natuurlijk een ongelooflijke kick om deze
problemen op te lossen. Maar ikzelf zit niet achter een PC
om problemen te verhelpen, maar voor andere dingen als
ontwikkelen. Ik wil het liefst geen onderhoud plegen. Omdat
dit toch moet, en met Windows makkelijker is vanwege de
automatic update die ervoor zorgt dat ik eens per maand een
keertje opnieuw moet opstarten, hou ik het toch bij Windows
om op te ontwikkelen.