La parte del leone la fa la Liberty Alliance che però confonde le idee con gli standard rivolti ai Web Service. Seguono a ruota un gruppo di aziende che cerca l’appoggio dei grossi nomi e la Issa che definisce le regole per un sistema sicuro in azienda.
14 aprile 2003. Apoteosi di standard all’Rsa conference di San Francisco. L’evento dedicato alla sicurezza ha visto come protagonisti i nuovi standard tecnologici di almeno tre consorzi diversi.
L’annuncio più importante, probabilmente, riguarda il progetto della Liberty Alliance, che si occupa di realizzare uno standard per la definizione unica di un utente in rete. Durante l’evento sono state rese note le ultime modifiche alle bozze di specifiche alle quali sta lavorando il consorzio.
Secondo le dichiarazioni di Simon Nicholson di Sun Microsystems, responsabile del gruppo che si occupa di business e marketing del consorzio, le nuove specifiche offrono un blueprint definito per gli sviluppatori di applicativi Web service.
Le specifiche definiscono le componenti necessarie da utilizzare per costruire una soluzione Web service che salvaguardi l’identità degli utenti e la privacy dei dati trasferiti. La Liberty Alliance aveva dichiarato a marzo il rilascio di due bozze di specifiche entro metà di quest’anno: l’Identity Web Service Framework (Id-Wsf) e le Identity Services Interface Specifications (Id-Sis).
Alla Rsa Conference è stata presentata la prima (Id-Wsf), in pratica la Liberty versione 1.1, che rivede la prima parte del lavoro già svolto da giugno del 2002 a gennaio di quest’anno, dimostrando ancora una volta l’evidente confusione sul tema.
Le specifiche riguardano in particolare l’accesso Single Sign-on e la condivisione degli accessi alle diverse aziende partner che sfruttano la stessa rete. In particolare, la Liberty Alliance ha lavorato al linguaggio di autenticazione Saml, un framework basato su Xml, importante perché definisce i meccanismi di scambio delle autenticazioni e delle autorizzazioni, necessari per l’accesso Single Sign-on. L’Oasis (Organizzazione for the Advancement of Structured Information Standards) ha ratificato la versione 1.0 di Saml a novembre dell’anno scorso, ora si stava lavorando alla versione 2.0.
Gli aggiornamenti prevedono miglioramenti alle caratteristiche di sicurezza come la gestione dei collegamenti di diversi account, quella dell’accesso a sessioni semplificate e alle funzionalità di logout. L’annuncio è stato accompangnato da testimonianze di diverse aziende “simpatizzanti”.
Sempre a proposito di standard per l’autenticazione, un gruppo affiliato all’Oasis ha annunciato una proposta per un protocollo basato su Xml che gestisca le vulnerabilità delle applicazioni. Il gruppo di aziende, che raggruppa Citadel Security Siftware, GuardeNet, NetContinuum, Spi Dynamics e Teros, promuove lo sviluppo di Avdl (Application Vulnerability Description Language) con l’intenzione di standardizzare il trattamento delle vulnerabilità in modo da permettere che diversi applicativi condividano le informazioni relative in ambienti di rete etereogenei. Le specifiche in bozza sono previste per settembre, a dicembre la release finale. I membri del gruppo che lavora a Avdl sperano di reclutare presto qualche rappresentante tra i partner Oasis, per esempio qualcuno di Microsoft, Bea e Ibm, la loro forza, sostengono, sarà basata sul consenso che lo standard dovrebbe raccogliere tra i clienti.
Infine, la Issa (Information Security Systems Association) ha annunciato il completamento dello sviluppo di Gaisp (Generally Accepted Information Security Principles), evoluzione del Gaap (Generally Accepted Accounting Principles) originariamente gestito dal Iisf (International Information Security Foundation) ecc. ecc. Insomma, al di là della storia travagliata di queste specifiche, che hanno iniziato il loro decorso nel 1992, l’intenzione è di definire delle regole relative alla sicurezza dei sistemi informativi.
