Content

Scroll back

Session-ID/Session-Cookie Alternativen

 In den MOA-ID werden Web-basierende Zugänge auf Session-Cookies bezogen. Dies bringt mit sich, dass praktisch nur Browser-basierende Anwendungen auf solche Cookies zurückgreifen können. In diesem Teilprojekt wurde evaluiert, welche Alternativen zu den Session Cookies bestehen, um SSL-basierende Clients (z.B. Mail, Kerberos, o.ä.) über MOA-ID freischalten zu können. Möglichkeiten, die evaluiert wurden, sind etwa die Bindung von Session Cookies an die SSL Session-ID oder die dynamische Steuerung der Gültigkeit von SSL Client-Zertifikaten über OCSP-Responder.

Im Rahmen dieses Projekts wurde ein Konzept erstellt, das die Motivation und Möglichkeiten zum HTTP-Session-Tracking untersucht, die Vor- und Nachteile der verschiedenen Methoden diskutiert, und eine Alternative vorstellt, die auf SSL-Client-Zertifikaten beruht und hohen Sicherheitsanforderungen genügt. Zusätzlich ermöglicht das vorgestellte Konzept die Implementierung eines Single Sign-On Mechanismus mit MOA-ID. Dieser Mechanismus erlaubt die Authentifizierung beliebiger SSL- bzw. TLS-basierter Verbindungen mit der Bürgerkarte.

Zusätzlich wurde eine Erweiterung dieses Konzepts skizziert, die es ermöglicht, den MOA-ID Single Sign-On Mechanismus in eingeschränkter Form auch für Applikationen zugänglich zu machen, in die eine direkte Kommunikation mit MOA-ID nicht einfach integriert werden kann, welche aber über eine Funktionalität zur Prüfung des Zertifikatsstatus über OCSP verfügen.

Scroll forward