Gestione e sicurezza dell'identity 2.0

La maggior parte delle attività svolte online, come l’invio di email o la partecipazione ai social network richiedono una corretta gestione dell’identità dell’utilizzatore.

Non siamo nuovi alle notizie di bachi sui livelli di sicurezza, sui framework o sulle librerie utilizzate, ma può essere di enorme conforto sapere che mentre da un lato le grandi case o i grandi team di sviluppo ci bombardano con roboanti promesse di nuove feature e nuovi prodotti qualcuno lavora costantemente al problema della gestione delle informazioni sulla nostra “identità elettronica”.

C’è una sovrabbondanza di informazioni che vengono scambiate e gestite e i massimi esperti della materia ipotizzano una gestione più flessibile e una struttura basata sull’individuo piuttosto che sull’applicazione stessa.

E’ il caso di Kim Cameron, con il suo blog, oppure di Anthony Nadalin, capo progetto della sicurezza di Tivoli, ospite il 21 maggio alla AusCert2007, dove ha parlato di Higgins ed Identity 2.0 , una visione opensource del problema della gestione dell’identità.

The infrastructure must empower the end users to execute effective controls over their identity information. These requirements have far reaching consequences, not only on the user-interfaces of the identity management system but also on the infrastructure itself and how it must be built.

Particolarmente apprezzata la session di Mary Ann Davidson (Oracle Corporation) di cui vi riporto l’abstract.

The advent of Web 2.0 represents the mainstreaming of collaborative computing. The old fortified, bastion model of information, with its attendant portcullises and gatekeepers – both individuals and technical guard dogs – has largely been replaced by a wide open “information campground” in which information is heavily disbursed into multiple “tents” instead of a single castle, tents that are erected and disassembled rapidly and flexibly. Data is no longer constrained by locale, device or, to some degree, individual. As such, Web 2.0 has important implications for security. To what extent does Web 2.0 pose new security challenges, and to what extent does Web 2.0 comprise the same old threats with a new bunch of protocols and products? And what are the non-technical – but critical – security implications of Web 2.0? How must Web 2.0 evolve to enable flexible, collaborative associations without cyberanarchy?