Сегодня поговорим о том, как мы нашли локальную авторизацию без пароля в Ubuntu, которая, похоже, никогда не будет закрыта. Как всё происходило, читайте под катом.
Читать полностью »
Рубрика «авторизация» - 4
Локальная авторизация без пароля в Ubuntu
2018-07-09 в 7:49, admin, рубрики: Ubuntu, unity, авторизация, Блог компании Акрибия, информационная безопасность, уязвимостьКак я писал логин по протоколу SRP6a на Python, а получил… JavaScript и Python в одной коробке
2018-06-10 в 10:55, admin, рубрики: python, srp, srp-6, srt, srt6, авторизация, аутентификация, информационная безопасность, парольная защита, передача данных, ПрограммированиеБольшое и увлекательное путешествие начинается с простого и банального шага. Когда мне на работе понадобилось реализовывать процесс логина для набора автоматизированных тестов, я даже не представлял, куда это приведет.
Дальше в статье вы узнаете, как доказать, что вы знаете пароль, ни разу не передав его в каком бы то ни было виде (доказательство с нулевым разглашением), и как я спотыкался на готовых примерах, чтобы получить работающий код на Python в конце пути.
ОТКАЗ ОТ АВТОРИТЕТНОСТИ: Я программирую на Питоне не очень давно, потому, вещи о которых я расскажу, и ошибки, которые я совершал могут показаться вам тривиальными.
Я тебе конечно верю, разве могут быть сомненья?
Я и сам всё это видел, это наш с тобой секрет
Для начала, если вы не знаете о незаслуженно мало упоминаемом протоколе SRP-6a тот вамобязательно надо ознакомиться с замечательной статьей на Хабре и крайне подробная англовики.
Читать полностью »
Авторизуем ресурсы в REST-сервисе
2017-11-09 в 7:18, admin, рубрики: .net, api, ASP, rest, rest api, авторизацияВ мире ASP.NET существуют мощные и гибкие механизмы авторизации. Например, ASP.NET Core 2.0 предоставляет разработчику возможность использования политик авторизации, обработчиков и т.д.
Но как реализовать метод GET, возвращающий список ресурсов? А если этот метод к тому же должен возвращать не все ресурсы, а лишь специфицированную страницу? Каждый пользователь должен видеть только те ресурсы, к которым у него есть доступ. Можно получать из базы каждый раз полный список и затем фильтровать его на основе прав текущего пользователя, но это будет слишком неэффективно – количество ресурсов может быть очень велико. Предпочтительно решать вопросы авторизации и разбиения на страницы на уровне запроса к базе данных.
В этой статье описывается подход к решению проблемы авторизации в REST сервисе на базе ASP.NET Web API 2 с использованием Entity Framework.
Читать полностью »
Пять простых шагов для понимания JSON Web Tokens (JWT)
2017-10-15 в 19:15, admin, рубрики: oauth, авторизация, информационная безопасность, Программирование, Разработка веб-сайтов, токены
Представляю вам мой довольно вольный перевод статьи 5 Easy Steps to Understanding JSON Web Tokens (JWT). В этой статье будет рассказано о том, что из себя представляют JSON Web Tokens (JWT) и с чем их едят. То есть какую роль они играют в проверке подлинности пользователя и обеспечении безопасности данных приложения.
Предъявите паспорт. Часть 1
2017-08-18 в 11:33, admin, рубрики: авторизация, Альфа-Банк, альфа-паспорт, Блог компании «Альфа-Банк», веб-дизайн, дизайн, дизайн мобильных приложений, прототипированиеЭтот проект выполнен в соавторстве с Митей Теряевым — талантливым frontend-разработчиком.
Что такое Паспорт и зачем он нужен?
Задача нашей команды — простой и безопасный онлайн-доступ ко всем сервисам банка. Со стороны клиента это кажется вполне очевидным. Например, после авторизации в едином аккаунте Google пользователю доступны все сервисы компании. И это нормально и правильно — зачем заново входить в Диск, Документы, Музыку или Заметки, если ты уже успешно залогинился в Почте?
«Юрики» (Альфа-Бизнес), «физики» (розница), «зарплатники» (Альфа-Зарплата) — независимые системы, которые делали разные команды, оторванные друг от друга.
Прошли годы…
Читать полностью »
Требования к паролям — полная чушь
2017-03-14 в 10:39, admin, рубрики: авторизация, безопасность, безопасность веб-приложений, безопасность сайтов, Блог компании Everyday Tools, информационная безопасность, пароли, форма авторизацииЗнаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
→ Тупые требования
→ Примеры плохой политики
→ Доска позора
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Читать полностью »
Корпоративная мобильная безопасность и управление доступом пользователей
2017-03-09 в 7:00, admin, рубрики: авторизация, авторизация без паролей, безопасность, безопасность в сети, Блог компании Gemalto Russia, информационная безопасность, облачные сервисыПериметр ИТ-безопасности постоянно меняется и деформируется под влиянием облачных вычислений, проникновения ИТ в жизнь пользователей и интенсификации рабочего времени. Лицам, принимающим решения в сфере информационных технологий и информационной безопасности, приходится находить тонкий баланс между соблюдением безопасности корпоративных данных и сохранением простоты, доступности и удобства в эксплуатации, которого ожидают пользователи. Потребность в том, чтобы закрыть пробел между идентификацией пользователя и обеспечением мобильного доступа, привела к развитию инновационных решений для управления идентификационными данными и управления доступом (IAM), обзор которых мы и предлагаем ниже.
Авторизация в ASP.NET Core MVC
2017-03-02 в 10:54, admin, рубрики: .net, asp.net core mvc, authorization, C#, авторизация, Разработка веб-сайтов, метки: asp.net core mvc
Logo designed by Pablo Iglesias.
В статье рассмотрены паттерны и приемы авторизации в ASP.NET Core MVC. Подчеркну, что рассматривается только авторизация (проверка прав пользователя) а не аутентификация, поэтому в статье не будет использования ASP.NET Identity, протоколов аутентификации и т.п. Будет много примеров серверного кода, небольшой экскурс вглубь исходного кода Core MVC, и тестовый проект (ссылка в конце статьи). Приглашаю интересующихся под кат.
Содержание:
Аутентификация пользователей терминальных серверов на FirePOWER
2017-02-15 в 10:53, admin, рубрики: Cisco, Firepower, ftd, TS Agent, авторизация, аутентификация, Блог компании CBS, ит-инфраструктура, Сетевые технологии, системное администрирование, терминальные серверы, файрвол
Для нас, инженеров, следить за появлением новых версий FirePOWER – настоящее удовольствие. Каждый раз, открывая очередной Release Notes, мы с замиранием сердца (а иногда и с полной остановкой) изучаем новые фичи, добавленные разработчиками.
Одним из долгожданных нововведений стал Cisco Terminal Server Agent (далее TS Agent). Он предназначен для корректной аутентификации пользователей терминальных серверов (далее ТС). В данном материале расскажу, зачем он нужен и как работает. Читать полностью »
Аутентификация и авторизация в микросервисных приложениях
2016-09-29 в 17:44, admin, рубрики: .net, C#, oauth 2, open id, авторизация, аутентификация, микросервисы, токены, метки: Аутентификация
Автор: Вячеслав Михайлов, Solutions Architect
Это вводная часть материала, основанного на докладе, прочитанном мной прошлым летом. Печатный материал предполагает больше информации, т.к. в одном докладе обычно не получается рассказать обо всех деталях.
Мы разберемся с процессом аутентификации пользователя, работой технологии единого входа (Single sign-on/SSO), дадим общее представлении о технологии OAuth2 и принципах ее работы, не углубляясь в особенности конкретной технической реализации. В следующей статье в качестве примера удачной реализации мы рассмотрим библиотеку Thinktecture Identity Server v3, подробнее остановимся на ее функциональных возможностях, поговорим, как собрать минимальный набор компонент, необходимый для работы в микросервисной архитектуре и достойный использования в боевой системе. В третьей части мы покажем, как расширять эту библиотеку, подстраиваясь под нужды вашей системы, а завершит цикл статей разбор различных сценариев, встречавшихся в жизни многих разработчиков с рекомендациями для каждого случая.