Рубрика «авторизация»

У Steam довольно любопытный способ логина

2021-01-20 в 7:34, admin, рубрики: HTTPS, rsa, SSL, Steam, TLS, авторизация, двухфакторная аутентификация, Игры и игровые приставки, информационная безопасность, логин, шифрование

Как передать пароль по Интернету? Обычно приобретается сертификат SSL, а TLS выполняет задачу безопасной перемещения пароля от клиента к серверу. Разумеется, всё не так сухо, как пытаюсь представить я, но в целом это так и подобный подход прошёл проверку временем. Однако так было не всегда, и один невероятно популярный онлайн-магазин предпочёл добавить к этому процессу что-то своё. В этой статье я расскажу об уникальном способе входа в систему пользователей Steam и исследую глубокую кроличью нору удивительных подробностей его реализации.

Выявляем очевидное

Я нашёл на StackOverflow датированный 2013 годом вопрос о том, как безопасно передавать пароль по HTTP. Ответы оказались достаточно единодушными: надо получить сертификат SSL. Проведите эксперимент: настройте любимый прокси перехвата трафика, зайдите в сервис, которым вы часто пользуетесь, выполните вход со своим аккаунтом (а лучше каким-нибудь одноразовым) и изучите результаты. С большой вероятностью вы увидите, что имя пользователя и пароль передаются в открытом виде в теле запроса HTTP. Единственная причина того, что это работает, заключается в том, что ваше соединение с сервером зашифровано при помощи TLS.
Читать полностью »

Никто (почти) не знает, что такое авторизация

2019-12-17 в 12:31, admin, рубрики: auth, authentication, authorization, avanpost, MFA, авторизация, анализ, Анализ и проектирование систем, аутентификация, Блог компании Avanpost, информационная безопасность, Программирование

Никто (почти) не знает, что такое авторизация - 1

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать полностью »

Иллюстрированное руководство по OAuth и OpenID Connect

2019-11-29 в 6:13, admin, рубрики: IT-стандарты, oauth, OIDC, openid connect, авторизация, аутентификация, Блог компании Флант, информационная безопасность, Сетевые технологии, системное администрирование

Прим. перев.: В этом замечательном материале компании Okta просто и наглядно рассказывается о принципах работы OAuth и OIDC (OpenID Connect). Эти знания будут полезны разработчикам, системным администраторам и даже «обычным пользователям» популярных веб-приложений, которые скорее всего тоже обмениваются конфиденциальными данными с другими сервисами.

В «каменном веке» интернета делиться информацией между сервисами было легко. Вы просто давали свой логин и пароль от одного сервиса другому, чтобы тот вошел в вашу учетную запись и получил любую необходимую ему информацию.

Иллюстрированное руководство по OAuth и OpenID Connect - 1
«Предоставьте свою банковскую учётку». — «Обещаем, что с паролем и деньгами все будет в порядке. Вот прям честно-пречестно!» *хи-хи*

Жуть! Никто и никогда не должен требовать от пользователя поделиться логином и паролем, его учётными данными, с другим сервисом. Нет никакой гарантии, что организация, стоящая за этим сервисом, будет хранить данные в безопасности и не соберет больше персональной информации, чем нужно. Это может показаться дикостью, но некоторые приложения до сих пор применяют подобную практику!

Сегодня имеется единый стандарт, позволяющий одному сервису безопасно воспользоваться данными другого. К сожалению, подобные стандарты используют массу жаргонизмов и терминов, что усложняет их понимание. Цель этого материала — с помощью простых иллюстраций объяснить, как они работают (Думаете, что мои рисунки напоминают детскую мазню? Ну и ладно!).

Иллюстрированное руководство по OAuth и OpenID Connect - 2 Читать полностью »

Внедряем Sign in with Apple — систему авторизации от Apple

2019-11-08 в 15:37, admin, рубрики: iOS, signinwithapple, swift, авторизация, Блог компании ЦИАН, Программирование, Разработка веб-сайтов, разработка под iOS

Привет!

Этим летом на конференции WWDC 2019 Apple представила собственную систему авторизации Sign in with Apple и сделала ее обязательной для всех приложений в App Store, которые используют вход через соцсети. Исключение составляют образовательные, корпоративные, правительственные и бизнес-приложения, использующие собственную авторизацию. К Sign in with Apple Apple сделала качественную документацию, и в этой статье мы на примере ЦИАН расскажем, как внедрить ее в свой сервис.

Внедряем Sign in with Apple — систему авторизации от Apple - 1
Читать полностью »

14 ноября пройдет Intercom’19 — конференция об автоматизации коммуникаций от Voximplant

2019-10-31 в 13:53, admin, рубрики: voximplant, автоматизация бизнеса, автоматизация рутины, авторизация, Блог компании Voximplant, искусственный интеллект, конференции, конференция, облачные сервисы, разработка мобильных приложений, связь, телекоммуникации

Как известно, осень — время конференций. Мы уже в четвертый раз проводим собственную ежегодную конференцию про коммуникации и их автоматизацию, и приглашаем вас принять в ней участие. Конференция, по традиции, состоит из двух потоков и нескольких специальных событий.

Мы немного поменяли формат участия в мероприятии: это первый год, когда участие в конференции бесплатное для всех желающих, но регистрация обязательна. Будем ждать вас 14 ноября в ЦДП (Цифровое Деловое Пространство, Москва, м.Курская, ул. Покровка, 47).
Читать полностью »

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца

2019-10-10 в 12:28, admin, рубрики: авторизация, безопасность, Блог компании Mail.Ru Group, информационная безопасность, отпечаток пальца, почта mail.ru

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца - 1

Два наших сервиса — Почта и Облако Mail.ru — теперь позволяют входить в веб-клиенты по отпечатку пальца и с помощью внешних устройств: USB-, Bluetooth- и NFC-ключей. Наши сервисы пока единственные в России и одни из первых в мире начали использовать технологию электронных ключей WebAuthn в качестве альтернативы традиционным паролям.
Читать полностью »

Добавляем Refresh Token

2019-09-10 в 15:04, admin, рубрики: oauth, авторизация, информационная безопасность, Программирование, Разработка веб-сайтов, токены

Добавляем Refresh Token - 1

В прошлой статье я рассказывал про основы JWT. Если на пальцах, то это просто ключ, с помощью которого мы открываем дверь к приватным ресурсам. А что, если этот ключ украдут (точнее, сделают дубликат). Тогда кто-то еще сможет входить на сервер под вашим именем, причём мы об этом можем даже не узнать. Такого сценария мы не хотим допустить. Но что делать?

Читать полностью »

Рецепты Nginx: авторизация через ЕСИА

2019-06-18 в 8:21, admin, рубрики: nginx, авторизация, есиа

Для приготовления авторизации через ЕСИА нам понадобится сам nginx и его плагины encrypted-session, headers-more, auth_request, uuid4, set-misc, sign, jwt. (Я дал ссылки на свои форки, т.к. делал некоторые изменения, которые пока не удалось пропихнуть в оригинальные репозитории. Можно также воспользоваться готовым образом.)
Читать полностью »

Token, refresh token и создание асинхронной обертки для REST-запроса

2019-06-15 в 12:45, admin, рубрики: ECMAScript, fetch, javascript, rest api, token, авторизация

В данном туториале мы кратко разберем, как реализовываются REST-запросы к API, требующие, чтобы пользователь был авторизован, и создадим асинхронную «обертку» для запроса, которая будет проверять авторизацию и своевременно ее обновлять.Читать полностью »

Не умничайте с формами для входа

2019-02-19 в 20:25, admin, рубрики: авторизация, веб-дизайн, интерфейсы, логин, менеджеры паролей, Разработка веб-сайтов, форма входа

В последнее время меня начинает сильно раздражать авторизация на сайтах. Поскольку менеджеры паролей становятся более популярными, такие как 1Password (который я использую) и менеджер паролей Chrome (который я тоже использую), веб-сайтам важно учитывать этот факт.

Давайте рассмотрим некоторые шаблоны входа в систему, которые на мой взгляд не идеальны. А затем рассмотрим лучшие практики. TL;DR; Это страницы авторизации, которые просты, предсказуемы, на обычных страницах и дружат с менеджерами паролей.
Читать полностью »

Это интересно

Из архивов

Обсуждаемое

Рекомендуем

Рубрика «авторизация»

Никто (почти) не знает, что такое авторизация

Иллюстрированное руководство по OAuth и OpenID Connect

Внедряем Sign in with Apple — систему авторизации от Apple

14 ноября пройдет Intercom’19 — конференция об автоматизации коммуникаций от Voximplant

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца

Добавляем Refresh Token

Рецепты Nginx: авторизация через ЕСИА

Token, refresh token и создание асинхронной обертки для REST-запроса

Архив

Это интересно

Из архивов

Обсуждаемое

Рекомендуем

Рубрика «авторизация»

Выявляем очевидное

Новости

Актуальные темы

Архив