Если на карту полезет сертификат, можно посмотреть в сторону авторизации по клиентскому сертификату. Веб серверы это умеют, для приложения будет немногим отличаться от basic аутентификации. Ну а чтобы было удобно еще и пользователю, наверное, нужно извращаться с расширениями для браузеров.

Если на карту полезет сертификат, можно посмотреть в сторону авторизации по клиентскому сертификату.

Вроде так телодвижений много. Задумка такая - есть считывальщик магнитных карт. Юзверь проводит своей картой по считывальщику и тут же авторизуется на открытом в браузере сайте.

От магнитных карт лучше отказаться, и как минимум, использовать карты с чипом. USB-читалки под них довольно доступны, многие работают без проблем и в Linux.

Наиболее кросс-платфоремнным мне кажется использование Java-апплета для целей авторизации.

От магнитных карт лучше отказаться, и как минимум, использовать карты с чипом. USB-читалки под них довольно доступны, многие работают без проблем и в Linux

О, есть человек сведущий! Подскажи, на какого произодителя такого оборудования смотреть первым делом?

Их много разных. Смотри те, которые есть в наличи и ройся в инете.

Точно заработают те, которые соответствуют CCID - Integrated Circuit Cards Interface Devices. Из известных мне это - OmniKey CardMan 5321, SCM Micro SCR 3310.

Кроме того, как правило работают нормально встроенные в клавиатуры, по крайней мере у HP - USB Smart Card Keyboard. Как бонус, некоторые умеют и бесконтактные карты читать.И загранпаспорта :-)

Вроде так телодвижений много. Задумка такая - есть считывальщик магнитных карт. Юзверь проводит своей картой по считывальщику и тут же авторизуется на открытом в браузере сайте.

достаточно один раз считать содержимое карты и выложить в интернет - весь интернет может авторизоваться за этого юзверя :)

хм... достаточно выложить логин и пароль и весь мир тож сможет авторизоваться. Защищать секреты пользователя от самого пользователя - гиблое дело...

Мы в свое время на усб-ключиках делали авторизацию на внутреннем сайте. Просто потому что ключик не нуждается в дополнительном оборудовании, в отличие от смарт-карты.

в идеале логин и пароль хранятся только в голове пользователя, и скрытно (так чтобы он сам об этом не знал) вытащить их оттуда весьма проблематично :)

Rutoken грозится в последнее время дружить с опенсорсом. Можно их решения посмотреть.
http://www.rutoken.ru/sdk/
http://www.rutokenweb.ru/download/

достаточно один раз считать содержимое карты и выложить в интернет - весь интернет может авторизоваться за этого юзверя :)

Речь не о магнитных картах, а о чиповых.

Речь не о магнитных картах, а о чиповых.

Задумка такая - есть считывальщик магнитных карт. Юзверь проводит своей картой по считывальщику и тут же авторизуется на открытом в браузере сайте.

а мне показалось наоборот :)

java-applet

Во-первых не авторизация, а аутентификация.

Во-вторых, а) с помощью RFID не получится по-определению, б) с помощью смарт-карт только в режиме клиентский TLS сертификатов.

В-третьих, посмотри лучше в сторону OTP (одноразовых паролей т.е.). Собственно помимо аппаратных OTP-токенов, есть и программные для телефонов (JME) и смартфонов, кроме того, OTP может рассылаться и с помощью SMS.

ЗЫ: Кстати, OTP - наименее банально огороженная технология из всех ;)

Во-вторых, а) с помощью RFID не получится по-определению, б) с помощью смарт-карт только в режиме клиентский TLS сертификатов.

Какая разница с чего считывать какой-нить идентификатор пользователя? Дело в том, что накатать простую программку локальную программку, которая работает с устройством - дело плевое. Другое дело как полученные данные с устройства передать в браузер.

Какая разница с чего считывать какой-нить идентификатор пользователя?

А тогда чем RFID принципиально отличается от бумажки с паролем?

Ну ты прям любитель бегать то в лес, то по дрова.

Мы в свое время на усб-ключиках делали авторизацию на внутреннем сайте. Просто потому что ключик не нуждается в дополнительном оборудовании, в отличие от смарт-карты.

Дык карту потом можно и для открытия какого-нить электронного замка использовать, а усб врят ли.

А по какому принципу реализовали через USB?

Ну ты прям любитель бегать то в лес, то по дрова.

Не понял...

Хм... Ну да, так и есть. Причем, без разницы магнитная карта или чиповая. Если защищать пином, то проще уж просто пароль, а если не защищать, то карту надо как зеницу ока беречь :)

с чиповой разница как бы есть, из неё якобы нельзя вытащить секретный ключ, а все операции она на своем встроенном процессоре выполняет :)

из неё якобы нельзя вытащить секретный ключ

А по кой хрен из СК нужно вытаскивать секретный ключ? Не нужно вытаскивать никакого ключа для достижения своих грязных целей.

И OTP, к сожалению, обходится относительно просто.

Так чтобы защитить смарт-карту нужен пин-код. А если его вводить, то какая разница, можно и пароль ввести. Единственное - типа, надежность повысится, можно ключ, который на карте, очень длинным сделать. То есть - вся выгода, юзер помнит только короткий пин-код, а пароль от учетки - длинный и сложный. Минусы - гемор с выпуском самих карт, необходимость ридера на клиентских компах, гемор с заблокированными картами, гемор со сменой пароля... Это имеет смысл, если использовать ключ на карте для шифрования и цифровой подписи, но слишком сложно для простой аутентификации. лучше уж тогда usb-токены, они хоть ридера не просят.

http://code.google.com/p/b-banklinks-opencart/

Например авторизация в эстонские банки через ID-карту(смарт-карта), на примере модуля к OpenCart. Можно нагуглить много всего на предмет id kaart и авторизации, так как в Эстонии такая карта обязательная всем. Решений уже куча.

Задумка такая - есть считывальщик магнитных карт. Юзверь проводит своей картой по считывальщику и тут же авторизуется на открытом в браузере сайте.

Всё зависит от того, насколько безопасно тебе нужно это сделать. В простейшем случае считыватель магнитных карт видится с компьютера просто как клавиатура. Соответственно на сайте яваскриптом читаем весь клавиатурный ввод и далее по введённым данным авторизуем.

Вот мне как-раз ближе к простейшему случаю. Только вот совсем не уверен, что оно как клавиатура будет выглядеть разве жабаскрипта для этого достаточно?

Только вот совсем не уверен, что оно как клавиатура будет выглядеть

Практически все USB'шные считыватели магнитных карт являются HID-клавиатурами.

разве жабаскрипта для этого достаточно?

Судя по игрушкам на жабаскрипте - для считывания с клавиатуры его вполне достаточно 8).

А можно ли на жабаскрипте будет определить откуда был произведен ввод - с клавиатуры, или с устройства, а то можно чего лишнего навводить )

Кстати, мы что-то все коллективно забыли про TPM. Во всех нормальных компах он имеется.

Дык даже с ТРМ, как бы реализовать сам момент перекинуть полученные данные на открытую web-страичку?

как бы реализовать сам момент перекинуть полученные данные на открытую web-страичку?

а) Плагин к браузеру; б) локальный HTTP-сервис; в) ActiveX или ява-апплет.

А уже есть какие-нить наработке в этом плане?

Хочется как можно более простое решение без заморочек, пока смотрю в сторону zmq+js+swf, но оно какое-то не рабочее, возможно даже заброшенное.

Хочется как можно более простое решение без заморочек

Простое решение без заморочек - аутентификация на основе клиентскикх TLS сертификатов. За все остальное придется платить бабло.

Я вроде бы натыкался на OSS решения в области OTP, но понятно дело, без аппаратных девайсов.

Если корпоративная среда, то не ищи ничего кроме TLS. Если коммерческий сайт, то ищи готовое коммерческое же OTP решение.

А в интернет-банках сейчас применяют ажно смарт-карта + OTP, и это не роскошь, к сожалению. На подходе девайсы с LCD мониторчиком, которые не просто подписывают, а еще на этом самом мониторчике показывают *что* именно они подписывают. Ибо, man-in-the-box совсем-совсем не призрачная угроза в отличие от man-in-the-middle.

zmq+js+swf

А для чего именно?

zmq+js+swf

А для чего именно?

Это я хочу приспособить таким образом: Висит демон и поджидает когда проведут картой по считывающему устройству. Как только карта провелась, демон расшифровывает содержимое и посылает его с помощью zmq в открытое окно браузера, где, в свою очередь, должен крутиться замес с zmq+js+swf, получить данные и заполнить их в форму.

Простое решение в виде смарт карт выбрано для того, чтобы этой картой пользователю не только на сайте авторизовываться, а еще и просто на машинке, или там какой-нить замок дверной открыть и т.д.

Это я хочу приспособить таким образом

Эта схема ничем не отличается от такой же карточки с напечатанным на ней паролем, который юзер самостоятельно вбивает в подходящую форму на сайте. Тогда какой в этом сакральный смысл?

Юзай тогда что-ли DS1963, оно хоть HMAC'и делать умеет. И двери открывать ей 100% получится. :)

Фсем чмоки в этом чяте.

До чего договорились, чего решили? У меня тоже встаёт такая задача - авторизация на сайте через смарткарту. Поиск в гугле привёл сюда. Смотрю - тут как обычно все переругались, а толкового ничего не сказали :(