Posted: August 13th, 2005 | No Comments »
“Microsoft’s Internet Information Server version 6 is rock-solid and arguably safer than Apache.”
When Jon Udell speaks, I listen. Wow. Did our world change THAT much? Microsoft’s life has been marked by two major (and successful) turns: the late Internet push of the late 90s – when Bill Gates realized the potential of the Internet after most of us but managed to reclaim the first spot with Internet Explorer – and now the Scoble turn, when these guys recognized they had to listen to their customers and outsource public relations to them. Good job guys, I think I could work for Microsoft again.
Related news : Hackers look outside Windows for flaws
Posted: August 10th, 2005 | No Comments »
Marc, qui travaille sur l’incroyable projet DestiNY chez Wisekey, m’a fait suivre ce document publié par Kim Cameron, responsable du projet d’identité digitale chez Microsoft. Dans ces pages Kim essaye de cerner les règles qu’il faut respecter pour qu’un système d’identification fonctionne (et pour éviter les erreurs passées du projet Passport dans lequel Microsoft a perdu quelques plumes et beaucoup de crédibilité). C’est l’un des enjeux majeurs d’Internet, dans un contexte de généralisation des virus, des spams et autres problèmes de phishing. Comment savoir qui est qui sur un réseau aussi décentralisé.
Les lois de l’identité sont donc :
• Donner le
contrôle aux utilisateurs et obtenir leur consentement (le système doit sécuriser les personnes qui l’utilisent, celles-ci doivent avoir la possibilité de s’y engager et d’en sortir facilement et en tout temps)
• Donner aussi peu d’informations que possible. Si une transaction nécessite le nom et le prénom, pas besoin d’y inclure le numéro de sécurité sociale et la date de naissance.
• Que les parties impliquées aient toutes une raison d’être présentes.
• Système multidirectionnel (qui peut gérer des transactions uni et multilatérales)
• Que plusieurs technologies et intervenants soient disponibles et en compétition sur le marché (le document est donc écrit par un employé de Microsoft, comme quoi les temps changent)
• intégration des être humains dans le système. C’est vrai que si les échanges entre machines sont souvent cryptés, tout l’effort n’est pas très utile si on continue à utiliser des post-its collés sur son écran pour se rappeler de son mot de passe.
• Le système doit fonctionner à travers plusieurs contextes, du
téléphone portable au navigateur internet.
Comme vous l’avez compris ce document n’est pas une lecture facile, mais il vous permettra de mieux comprendre l’avenir d’un des problèmes majeurs qu’il va falloir affronter dans les années à venir.
Téléchargez le rapport et visitez le site qui va avec, Identity Blog.
A lire également : Les anglais veulent voter en ligne!
66% des non votants affirment qu’un système en ligne les encouragerait à s’exprimer. Il est grand temps que ces systèmes d’identification soient mis en place.
Posted: August 10th, 2005 | No Comments »
Marc-François Besson, who is working on the destiNY project at Wisekey, pointed this document by Kim Cameron, the guy in charge of the digital identity project at Microsoft. Kim tried to identify what would be the prerequisites of an effective digital ID system. These laws are:
1. User Control and Consent (the ability to get into and out of the system at will)
2. Minimal disclosure (ask as little information as possible)
3. Justifiable Parties (people involved in the process have to be needed in it)
4. Directed Identity (system can be uni or bilateral)
5. Pluralism of Operators and Technologies (and it is someone from Microsoft saying so)
6. Human integration
7. Cross contexts
Overall it is an amazing reading even if it is old news (the document
was published last may). If you haven’t already download the report and follow the conversation on the identity blog.
Related news: Brits want to vote online
66 per cent of those who didn’t vote in the last election reckoned they’d be more likely to join in on polling day if they could vote online.
We might need digital identity more than we know.
Posted: July 1st, 2005 | No Comments »
The Register publie les résultats d’une enquête sur la sécurité des moyens informatiques mobiles dans les entreprises. Il apparaît que les ordinateurs portables sont plutôt bien sécurisés mais qu’il faut s’inquiéter du manque de protection des Palm Pilots qui sont de plus en plus utilisés et quasiment pas protégés.
Article complet
Une remarque intéressante:
Créer une politique de sécurité est un bon début, mais il faut la communiquer, la comprendre, l’accepter et la faire respecter, ce qui peut être très compliqué pour le responsable IT quand le fautif est un membre de la direction.
Posted: July 1st, 2005 | No Comments »
The Register explains how companies are treating handhelds devices way too lightly when it comes to security. Some good laptop protection solutions are available on the market but PDAs are still very much unsecured (and their usage is expanding beyond email and contact management).
Full article
Somehow unrelated but interesting quote:
Setting out a strong policy is the right start, but it must be communicated, understood, accepted and enforced. This is often difficult for an IT manager to enforce when the perpetrator is a senior executive.
Posted: June 23rd, 2005 | No Comments »
Internal security attacks affecting banks
Internal security breaches at the world’s banks are growing faster than external attacks as institutions invest in technology instead of employee training.
Employee fraud was already common in the offline world for many industries (most notably retail). Threats are evolving.
Note for the Swiss bankers: the article contains some very interesting info for you guys.
Recent Comments