Juval Lowy non ha mancato di sottolineare più volte di essere uno dei "Software Legend" (così sono stati chiamati i relatori VIP). Peccato che le leggende sono tali quando sono gli altri a ricordaselo ;-)
Gli argomenti erano tutt'altro che noiosi e hanno ripercorso i passi della security.
Siamo partiti dai classici concetti di role-based, declarative e imperative security per proseguire alle problematiche di security nei web services. Ovviamente si è parlato anche di WS-Security, impersonation e non è mancato un bel tip. Quando la LogonUser delle Win32 riceve un dominio errato, l'utente viene impersonato a guest... motivo in più per disabilitare il guest account.
Buone e cattive notizie sul remoting. Le cattive le sapete già: non c'è un secure-channel per il remoting. La bella notizia è che in .NET 2.0 dovremmo finalmente vederli.
Mi ha fatto piacere risentire dei grossi e sani warning sull'impersonation che, come è noto, fallisce al secondo hop di richiesta di accesso alla risorsa. Ma attenzioone alla delegation che Juval sconsiglia nel modo più assoluto.
Altro concetto che vado ripetendo alla nausea da tempo me lo sono sentito alla fine della sessione. Deve essere usata l'autenticazione e l'autorizzazione sul middle tier. Su sql server invece è più che sufficiente una semplice autenticazione per verificare che il middle tier sia veramente lui. Aggiungo io... come mi avete sentito più volte sui gruppi ... se la security la implementiamo sul middle tier avremo il pieno controllo, anche record a record. Sulla security a record, sql server non può ovviamente fare nulla. Concetti tutti questi maturati insieme al caro amico Stefano SDP che saluto dalla bellissima Barcelona.