В программировании есть много разных способов аутентификации и каждая из них имеет как свои плюсы, так и минусы. В этой статье я хотел бы сделать обзор библиотеки, позволяющей с легкостью добавить аутентификацию лица в ваше .NET приложение.
Рубрика «authentication»
FaceAuth или как с легкостью встроить FaceID в любое .NET приложение
2023-07-01 в 16:53, admin, рубрики: .net, authentication, face, faceid«Это ключ? Нет, кое-что получше»: будущее беспарольной аутентификации
2023-06-15 в 8:59, admin, рубрики: authentication, Блог компании VK, информационная безопасность
Безопасность REST API от А до ПИ
2020-05-25 в 8:10, admin, рубрики: api, authentication, Clickjacking, cookies, CORS, csrf, cwe, http, HTTPS, injection, IT-стандарты, OWASP, rest api, security api, security web, token, xss, Анализ и проектирование систем, информационная безопасность, Разработка веб-сайтовВведение
Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответствии со спецификацией. Задача обеспечения безопасности REST API не так очевидна, как, например, обеспечение безопасности баз данных, но ее необходимость не менее важна.
В настоящее время многие онлайн системы с помощью API передают приватные данные пользователей, такие как медицинские или финансовые. Текущая же ситуация с безопасностью в веб-приложениях весьма печальна: по данным Comnews порядка 70% содержат критические уязвимости. Поэтому всем, кто участвует в проектировании, реализации и тестировании онлайн систем, важно иметь общую картину по существующим угрозам и способам обеспечения безопасности как всей системы, так и используемого REST API.
В статье я попытался обобщить информацию о существующих уязвимостях REST API, чтобы у читателей сложилась общая картина. На схемах представлена современная архитектура клиент-сервер и обобщенный REST API запрос с потенциальными угрозами безопасности. Далее я подробнее расскажу об этих угрозах, и как технически реализовать защиту от них.
Современные стандарты идентификации: OAuth 2.0, OpenID Connect, WebAuthn
2020-03-05 в 19:32, admin, рубрики: authentication, authorization, credentials, identification, IT-стандарты, oauth 2.0, openid connect, saml 2.0, webauthn, Анализ и проектирование систем, внешние ключи, идентификация, информационная безопасность, Разработка веб-сайтов, разработка мобильных приложенийПускать или не пускать? Вот в чем вопрос…
Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или проприетарные реализации? Можем ли мы доверять этим технологиям и использовать их для разработки сайтов и в повседневной жизни? Давайте разбираться. Итак, сейчас существуют несколько стандартов и технологий для идентификации пользователей OAuth 2.0,OpenID Connect, WebAuthn, SAML 2.0, Credential Management API и др. В статье я расскажу о трех наиболее перспективных протоколах OAuth 2.0, OpenID Connect и WebAuthn. И чтобы понять как их применять на практике, сделаем три лабораторные работы. В качестве платформ для идентификации пользователей будем использовать GitHub и Google, на которых у большинства есть аккаунты.
LDAP-«аутентификация» — это антипаттерн
2020-01-16 в 12:54, admin, рубрики: active directory, authentication, avanpost, idp, ldap, openid connect, saml, Анализ и проектирование систем, аутентификация, Блог компании Avanpost, информационная безопасность
Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам, спроектированный для чтения, записи и поиска в службе каталогов. Это не протокол аутентификации. Термин «LDAP-аутентификация», скорее, относится к той части протокола (операции bind), где определяется, кто вы такой, и какие права доступа имеете к информации каталога.
Читать полностью »
Никто (почти) не знает, что такое авторизация
2019-12-17 в 12:31, admin, рубрики: auth, authentication, authorization, avanpost, MFA, авторизация, анализ, Анализ и проектирование систем, аутентификация, Блог компании Avanpost, информационная безопасность, Программирование
За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать полностью »
Как использовать MySQL без пароля (и рисков для безопасности)
2019-12-06 в 9:41, admin, рубрики: authentication, mysql, password, percona server, security, аутентификация, безопасность, Блог компании Southbridge, пароль, Серверное администрирование, системное администрирование, Софт
Говорят, что лучший пароль — тот, который не надо запоминать. В случае с MySQL это реально благодаря плагину auth_socket и его версии для MariaDB — unix_socket.
Оба эти плагина — вовсе не новы, о них много говорилось в этом же блоге, например в статье о том, как изменять пароли в MySQL 5.7, используя плагин auth_socket. Однако, разбирая, что новенького в MariaDB 10.4, я обнаружил, что unix_socket теперь устанавливается по умолчанию и является одним из методов аутентификации ("одним из", потому как в MariaDB 10.4 одному пользователю для аутентификации доступно больше одного плагина, что и объяснятется в документе "Аутентификация" от MariaDB 10.04).
OTRS: LDAP аутентификация, авторизация и синхронизация (FreeIPA, AD)
2019-01-27 в 22:59, admin, рубрики: active directory, AD, authentication, authorization, freeipa, ldap, otrs, service desk, synchronization, Настройка Linux, Серверное администрирование, системное администрирование
OTRS — система обработки заявок с открытым кодом (Open-source Ticket Request System), написанная на Perl.
Существует в двух вариантах:
- OTRS Business Solution — платная версия
- ((OTRS)) Community Edition — бесплатная версия
Перечислю немного из того фукционала, который поддерживает эта система:
- модуль ITSM (Service Level Management, Change Management, Configuration Management, CMDB)
- адаптивный веб-интерфейс
- API
- SLA и сервисы
- мультитенантность
- эскалации
- аутентификация: DB, LDAP, HTTPBasicAuth, Radius
- поддержка MySQL, MariaDB, PostgreSQL, Oracle
И если искать в ней недостатки — так это непривычность интерфейса и сложность в настройке. Под катом — об основах авторизации (группы, RBAC, поддержка нескольких компаний-клиентов), аутентификации и синхронизации метаданных (ФИО, телефона и прочего), используя различные каталоги LDAP
FIDO2 — Пароли must die
2018-06-04 в 0:13, admin, рубрики: authentication, Fido, FIDO2, fido3, Firefox, Google Chrome, javascript, Microsoft Edge, security, u2f, информационная безопасностьДумаю, все вы неоднократно слышали о том что «пароли мертвы», «пароли вымирают», «новая технология убьет пароли» и тому подобное.
Мы в FIDO Alliance как раз-таки пришли сообщить вам о том, что пароли все-таки вымрут… в аутентификации.