Non ci crederete, ma uso il PC anche come un utente normale e a volte mi capita di imbattermi in form di autenticazione che mi fanno accappppponare la pelle. Si va dal SQL, script injection ai cookie rilasciati in chiaro, contenenti nome utente, l'id dell'utente o addirittura la password.

Sì fa tanto parlare di sicurezza e si puntano gli occhi su Windows, su Passport, ma poi non si pensa alle migliaia di autenticazioni fatte in case che rendono vulnerabili i nostri dati. I framework tendono ad unificare e fornire sistemi di autenticazioni già abbastanza sicuri, come con ASP.NET, ma ciò comunque non ci ripara da fenomeni come il phising.

Quando ho visto e studiato Windows CardSpace sono rimasto abbastanza colpito, perché finalmente è nato qualcosa frutto di uno sforzo comune di più aziende. Non vi dico come funziona, perché ho scritto un articolo apposta su questo argomento, ma penso sia un buon sistema per offrire all'utente anche meno esperto un'interfaccia e un sistema univoco che eviti mille registrazioni, oppure password, scritte su post-it attaccati al monitor o facili da scoprire.

Tale sistema può essere inoltre sfruttato per sistemi di pagamento in alternativa a quelle brutte cose basate su POST di form tra i server. Certo questo sistema funzionerebbe ancora meglio se venisse sfruttato anche da banche o, addirittura, organizzazioni governative.

Il mio consiglio è quindi di dargli un'occhiata e valutarlo e mi preme dire una cosa, visto che si legge di tutto in giro: non l'ha invetato solo Microsoft, ci sono dentro grosse aziende; non ha a che fare con Passport, se non molto marginalmente, come uno dei possibili identity provider; è basato su tecnologie standard, come i web services, ed esistono implementazioni basate su Java e funzionanti in Firefox.