14 марта в Слёрм стартует курс «Безопасность проекта: аутентификация в Keycloak»Читать полностью »
Рубрика «авторизация»
Всё о Keycloak: зачем нужен, кому подходит и какие преимущества даёт
2022-03-05 в 10:23, admin, рубрики: keycloak, OpenID, авторизация, аутентикация, безопасность, Блог компании SouthbridgeУ Steam довольно любопытный способ логина
2021-01-20 в 7:34, admin, рубрики: HTTPS, rsa, SSL, Steam, TLS, авторизация, двухфакторная аутентификация, Игры и игровые приставки, информационная безопасность, логин, шифрование
Как передать пароль по Интернету? Обычно приобретается сертификат SSL, а TLS выполняет задачу безопасной перемещения пароля от клиента к серверу. Разумеется, всё не так сухо, как пытаюсь представить я, но в целом это так и подобный подход прошёл проверку временем. Однако так было не всегда, и один невероятно популярный онлайн-магазин предпочёл добавить к этому процессу что-то своё. В этой статье я расскажу об уникальном способе входа в систему пользователей Steam и исследую глубокую кроличью нору удивительных подробностей его реализации.
Выявляем очевидное
Я нашёл на StackOverflow датированный 2013 годом вопрос о том, как безопасно передавать пароль по HTTP. Ответы оказались достаточно единодушными: надо получить сертификат SSL. Проведите эксперимент: настройте любимый прокси перехвата трафика, зайдите в сервис, которым вы часто пользуетесь, выполните вход со своим аккаунтом (а лучше каким-нибудь одноразовым) и изучите результаты. С большой вероятностью вы увидите, что имя пользователя и пароль передаются в открытом виде в теле запроса HTTP. Единственная причина того, что это работает, заключается в том, что ваше соединение с сервером зашифровано при помощи TLS.
Читать полностью »
Никто (почти) не знает, что такое авторизация
2019-12-17 в 12:31, admin, рубрики: auth, authentication, authorization, avanpost, MFA, авторизация, анализ, Анализ и проектирование систем, аутентификация, Блог компании Avanpost, информационная безопасность, Программирование
За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать полностью »
Иллюстрированное руководство по OAuth и OpenID Connect
2019-11-29 в 6:13, admin, рубрики: IT-стандарты, oauth, OIDC, openid connect, авторизация, аутентификация, Блог компании Флант, информационная безопасность, Сетевые технологии, системное администрированиеПрим. перев.: В этом замечательном материале компании Okta просто и наглядно рассказывается о принципах работы OAuth и OIDC (OpenID Connect). Эти знания будут полезны разработчикам, системным администраторам и даже «обычным пользователям» популярных веб-приложений, которые скорее всего тоже обмениваются конфиденциальными данными с другими сервисами.
В «каменном веке» интернета делиться информацией между сервисами было легко. Вы просто давали свой логин и пароль от одного сервиса другому, чтобы тот вошел в вашу учетную запись и получил любую необходимую ему информацию.
«Предоставьте свою банковскую учётку». — «Обещаем, что с паролем и деньгами все будет в порядке. Вот прям честно-пречестно!» *хи-хи*
Жуть! Никто и никогда не должен требовать от пользователя поделиться логином и паролем, его учётными данными, с другим сервисом. Нет никакой гарантии, что организация, стоящая за этим сервисом, будет хранить данные в безопасности и не соберет больше персональной информации, чем нужно. Это может показаться дикостью, но некоторые приложения до сих пор применяют подобную практику!
Сегодня имеется единый стандарт, позволяющий одному сервису безопасно воспользоваться данными другого. К сожалению, подобные стандарты используют массу жаргонизмов и терминов, что усложняет их понимание. Цель этого материала — с помощью простых иллюстраций объяснить, как они работают (Думаете, что мои рисунки напоминают детскую мазню? Ну и ладно!).
Внедряем Sign in with Apple — систему авторизации от Apple
2019-11-08 в 15:37, admin, рубрики: iOS, signinwithapple, swift, авторизация, Блог компании ЦИАН, Программирование, Разработка веб-сайтов, разработка под iOSПривет!
Этим летом на конференции WWDC 2019 Apple представила собственную систему авторизации Sign in with Apple и сделала ее обязательной для всех приложений в App Store, которые используют вход через соцсети. Исключение составляют образовательные, корпоративные, правительственные и бизнес-приложения, использующие собственную авторизацию. К Sign in with Apple Apple сделала качественную документацию, и в этой статье мы на примере ЦИАН расскажем, как внедрить ее в свой сервис.
14 ноября пройдет Intercom’19 — конференция об автоматизации коммуникаций от Voximplant
2019-10-31 в 13:53, admin, рубрики: voximplant, автоматизация бизнеса, автоматизация рутины, авторизация, Блог компании Voximplant, искусственный интеллект, конференции, конференция, облачные сервисы, разработка мобильных приложений, связь, телекоммуникации
Как известно, осень — время конференций. Мы уже в четвертый раз проводим собственную ежегодную конференцию про коммуникации и их автоматизацию, и приглашаем вас принять в ней участие. Конференция, по традиции, состоит из двух потоков и нескольких специальных событий.
Мы немного поменяли формат участия в мероприятии: это первый год, когда участие в конференции бесплатное для всех желающих, но регистрация обязательна. Будем ждать вас 14 ноября в ЦДП (Цифровое Деловое Пространство, Москва, м.Курская, ул. Покровка, 47).
Читать полностью »
Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца
2019-10-10 в 12:28, admin, рубрики: авторизация, безопасность, Блог компании Mail.Ru Group, информационная безопасность, отпечаток пальца, почта mail.ru
Два наших сервиса — Почта и Облако Mail.ru — теперь позволяют входить в веб-клиенты по отпечатку пальца и с помощью внешних устройств: USB-, Bluetooth- и NFC-ключей. Наши сервисы пока единственные в России и одни из первых в мире начали использовать технологию электронных ключей WebAuthn в качестве альтернативы традиционным паролям.
Читать полностью »
Добавляем Refresh Token
2019-09-10 в 15:04, admin, рубрики: oauth, авторизация, информационная безопасность, Программирование, Разработка веб-сайтов, токены
В прошлой статье я рассказывал про основы JWT. Если на пальцах, то это просто ключ, с помощью которого мы открываем дверь к приватным ресурсам. А что, если этот ключ украдут (точнее, сделают дубликат). Тогда кто-то еще сможет входить на сервер под вашим именем, причём мы об этом можем даже не узнать. Такого сценария мы не хотим допустить. Но что делать?
Для приготовления авторизации через ЕСИА нам понадобится сам nginx и его плагины encrypted-session, headers-more, auth_request, uuid4, set-misc, sign, jwt. (Я дал ссылки на свои форки, т.к. делал некоторые изменения, которые пока не удалось пропихнуть в оригинальные репозитории. Можно также воспользоваться готовым образом.)
Читать полностью »
Token, refresh token и создание асинхронной обертки для REST-запроса
2019-06-15 в 12:45, admin, рубрики: ECMAScript, fetch, javascript, rest api, token, авторизация
В данном туториале мы кратко разберем, как реализовываются REST-запросы к API, требующие, чтобы пользователь был авторизован, и создадим асинхронную «обертку» для запроса, которая будет проверять авторизацию и своевременно ее обновлять.Читать полностью »