Comments (9)
@fottavi @aantetomaso avete dati da condividere in merito a quanto discusso? Se non sbaglio avete riportato alcuni problemi riscontrati in fase di signing e la necessità di usare certificati differenti (SHA-1/SHA-2).
Lascio qui questo link per fare ulteriori verifiche: https://knowledge.symantec.com/support/code-signing-support/index?page=content&id=INFO3199
from cie-middleware.
@gvarisco @aantetomaso il problema che abbiamo incontrato riguarda l'installazione di controlli ActiveX in Internet Explorer (e non è detto che sia lo stesso scenario del middleware). Abbiamo provato inizialmente a firmare due volte il CAB dell'ActiveX, con un certificato SHA-1 (con timestamp SHA1) e un certificato SHA-256 (con timestamp SHA-256). Abbiamo comunque avuto problemi sui sistemi più vecchi, fino a XP SP2, perché a quanto abbiamo capito la firma multipla non era ancora supportata.
Se decidiamo di non supportare Windows XP diventa tutto più facile perché possiamo distribuire un solo binario con la firma SHA-256, ma se XP deve essere supportato credo che l'unica strada sia distribuire due binari distinti, uno firmato SHA-1 e l'altro SHA-256
Comunque, al di là del fatto che sia buna norma distribuire solo librerie firmate digitalmente, la firma del codice, almeno fino a Windows 10, non è critica per l funzionamento del minidriver:
https://social.msdn.microsoft.com/Forums/onedrive/en-US/dcba3ba5-f1fc-4af0-847d-730f137d5367/smart-card-minidriver-authenticode-verification-at-runtime?forum=windowssecurity
Infatti ho fatto altri test su minidriver non firmati in passato e non ho mai avuto problemi. E' possibile che sia stato implementato un controllo del genere su Windows 10 (mi sembra di averlo letto su Microsoft Tech, se ritrovo l'articolo ve lo giro), e in tal caso comunque è sufficiente la firma SHA-256.
In passato, quando si sviluppava il CSP completo e non il solo minidriver, era molto più complicato perché la dll poteva essere firmata solo da Microsoft, ma adesso le cose sono più semplici.
from cie-middleware.
@fottavi considerato che Windows XP è formalmente EOL da Aprile 2014, prenderei rapidamente una decisione in merito (spero anche da voi condivisa) di escluderlo, così da focalizzarci su Windows 7, 8, 8.1 e 10. Va aperta anche una piccola parentesi su Windows Vista (che però supporta SHA-2), considerato che diventerà EOL questo mese (Aprile 2017, ref. https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet)
@valeriopaolini @rasky @umbros siete d'accordo sul non considerare Windows XP tra le piattaforme supportate?
from cie-middleware.
sì penso che promettere di poter ottenere sicurezza su un sistema non più supportato da qualche anno è comunque un errore.
from cie-middleware.
from cie-middleware.
Si, xp e vista li terrei fuori.
Ciao, Umberto
from cie-middleware.
Aggiungo il fatto che lo specifico problema (SHA256 non supportato) è presente solo in XP SP2 che è andato EOL a Luglio 2010. Probabilmente non basta un contatore a 16 bit per i problemi di sicurezza conosciuti e non fixati su quella versione di Windows; secondo me non possiamo dare il messaggio che su XP SP2 si può utilizzare la CIE in modo sicuro, perché non è cosi, indipendentemente dai nostri sforzi.
from cie-middleware.
Ad oggi nel manuale utente del middleware (#17) è indicato che sono supportati solo Windows 7, Windows 8, Windows 8.1 e Windows 10. Se capisco bene questo soddisfa questa issue e non servono altre azioni prima di chiuderla, giusto @gvarisco?
Vogliamo aggiungere un runtime check relativo alle versioni di Windows supportate?
from cie-middleware.
@alexrj se non un 'runtime check', almeno assicurarci che sia chiaro nella documentazione che produrremo.
from cie-middleware.
Related Issues (20)
- Porting del manuale su docs-italia HOT 1
- Gestione compatibilità con sistemi a 32 bit HOT 3
- Finestra di immissione del PIN in Abbina carta HOT 1
- problema con app citrix o altre HOT 1
- Mio 100000
- Chiusura di Firefox 105.0.1 HOT 1
- Migliore compatibilità con CIE emesse nel 2016 e 2017 HOT 1
- SIGSEGV Dopo Inserimento PIN Su Ubuntu 22.04 HOT 14
- Crash di Mozilla Firefox con build superiori alla 90 HOT 1
- Errore nello script e Verfica aggiornamenti HOT 2
- certificato scaduto? HOT 1
- cryptlib.lib danneggiato o non valido
- Firma non attendibile HOT 2
- Errori compilazione CIEPKI
- Compatibilità con Bit4ID - NXP JCOP4 HOT 1
- Compatibilità con chip RF Actalis - NXP JCOP4 HOT 1
- impossibile da usare con la mia CIE.... HOT 6
- LAMENTAZIONI DEI CITTADINI HOT 1
- <ApplicationOverride> su Shibboleth: applicazione/risorsa già mappata per SPID HOT 1
- CIE ID non funziona se connesso in RDP
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from cie-middleware.