2009년 03월 04일

Lift09 동영상 등

channy님께서 lift09의 참관기를 올려주셨습니다. 제가 직접 가는 것보다 더 많은 것을 볼 수 있었습니다. 세션 동영상이 공개되어 있으니 관심있는 주제는 꼭 봐야겠습니다.

그 밖에 RFID 보안 이슈 등 여러 가지 세션이 있으니 Lift 09 모든 세션의 동영상이 영어/프랑스어로 공개되어 있으니 프로그램 목록을 보시고 관심있는 분들은 참고하시길 바랍니다.


유명한 보안 전문가인 브루스 슈나이더의 에세이에 대한 내용입니다. Data를 쓰레기에 비유했는데, 현대 정보사회에는 Data가 쓰레기처럼 넘치고, 재사용하면 유용하지만 잘못 사용할 경우에는 치명적일 수 있다고 합니다.(toxic) 프라이버시는 Data를 잘 관리하고, 부가적인 수익을 얻기 위한 기본권이라는 주장이 신선하네요. 산업시대의 이슈가 정보화시대에도 이렇게 적용되다니.. 세상은 돌고 도는 것 같습니다.

Privacy isn’t just about having something to hide; it’s a basic right that has enormous value to democracy, liberty, and our humanity.

누군가 XACML과 SAML을 같이 사용하려면 문제가 많다는 의견을 냈습니다. 이에 대한 반박글로 이미 2005년에 XACML v2.0의 SAML 2.0 프로파일 문서가 나왔다는 내용입니다.
 
Four years ago, OASIS defined the interaction between XACML and SAML in SAML 2.0 profile of XACML v2.0 [PDF] , part of the XACML 2.0 specification set .

site-scrapping 같이 타 사이트의 id/pw를 직접 입력받는 패턴은 피싱 공격을 초래할 수 있으므로 피해야 한다는 내용입니다. 대신 OAuth 서비스를 이용하는 방안을 제안했습니다.

리플을 보니, 많은 사이트들이 사용하는 방식인 session key와 유사한 기술은 어떨까라는 의견이 몇 개 있네요. 아직 외국에서는 이 방식도 드문가봅니다.

다른 리플 중에서는 OAuth는 아직 성숙되어 있지 않기 때문에 도입하기에는 시기 상조이며, OAuth 같은 공개 스펙은 사이트의 정보를 다른 사이트와 공유하겠다는 마인드를 가정하고 있기 때문에 비즈니스 관점에서는 널리 받아들여지기 어렵다는 의견입니다.

저도 동감입니다. 여전히 id/pw 식의 site-scrapping 방법이 사용될 수 밖에 없겠죠.


웹2.0의 거품이 빠지는 것 같습니다. 제가 있는 ID 관리 쪽도 얼마전에 유럽 컨퍼런스가 연기되었다는 소식이 들렸는데, 다행히 하반기로 일정이 잡혔더군요.

RSA는 ID 관리 기술을 중요하게 다루는 컨퍼런스 중의 하나입니다. 4월 중순이라 참석할 수 있을지는 모르겠지만, 주위 분들이 자료를 얻어오시면 한동안 즐거운 시간을 보낼 수 있을 것 같군요. 아래는 agenda 중에서 제가 관심있는 부분입니다.

키노트
- The Transformation of Identity and Access Management
- Moving Towards ‘End to End Trust’: A Collaborative Effort

1-day 튜토리얼
- TUT-M21 - Building an Enterprise-Strength Identity & Access Management Architecture
- TUT-M31 - The Evolution of Authentication

세션
XML Attacks and Prevention in a Web 2.0 World
Case Study: Five Web Services Security Examples
Fostering Collaboration and Opportunities in Identity Management
Building Authorization Into The Enterprise Identity Metasystem
Drafting Identity Management Contracts: Understanding the Legal Challenges
Protecting User and Corporate Data Privacy in the Browser
Social Networks: The New Frontier for Malware, Spam and Identity Theft
The Seven Most Dangerous New Attack Techniques, and What's Coming Next
Identity Management for the Cloud: Challenges, Opportunities and Best Practices
Harnessing the Power of Digital Identity: 2009 and the Promising Road Ahead

Identity Woman, Kaliya는 이 분야에서 매우 활발하게 활동하는 여성입니다. 수많은 프로젝트에서 중요한 기능을 담당하고 있습니다. 이번에도 장거리 출장을 다녀와서 어떤 이야기를 주고 받았는지 소개합니다. 그 중에 Information Card와 관련된 부분이 인상적이네요. 기업 위주로 진행되기 때문에 여러가지 우려가 존재하지만, 기업 위주로 진행되기 때문에 이 분야가 그만큼 성장했고 더욱 발전할 수 있다는 내용에 동감합니다. 지금은 경쟁보다는 파이를 키우는데 집중해야겠죠.

Most knew about OpenID they were unfamiliar with information cards.It was interesting to hear people’s deep concern about corporateinvolvement in the development of these standards - the three corporatenames I mentioned in relationship to information cards seemed to raiseparticular ire - Microsfot, Novell and IBM.

 I mentioned Higgins (the open source project) andtalked about the standardization effort at OASIS. This didn’t sway themmuch they “just distrusted” the corporate involvement.


I personally am very clear that corporate involvement is essentialto getting an identity layer to happen. I was re-affirmed in thisexchange in knowing that the corporate perspective is not enough andhaving a trusted space for critical conversations around issues thatarise with identity need a commons for them to occur (that is a spacewhere corporations do note have the ultimate veto about what groups areor are not allowed in the conversation).


If a space like this does notexist to create a dialogue amongst diverse interests and perspectivesthen the risk of it not happening or not getting adoption by people.

by S_H_Kim | 2009/03/04 21:11 | OpenID | 트랙백

◀ 이전 페이지다음 페이지 ▶