Přihlašte se QR kódem

23. 4. 2015 18:10:41

Obávám se, že máte v hlavě příliš zidealizovaný svět. Prostě znovu a naposledy opakuji, je to zdlouhavé a složité. Lidé to používat nebudou.

Pokud se to ujme, gratuluji (i Steve Jobs byl považován za podivína a kam to dopracoval), ale osobně se vsadím, že za rok na toto zapomenete i vy.

23. 4. 2015 18:10:41

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/3#reply1108487

bredy

23. 4. 2015 18:23:13

Pokud spravujete nějaký portál, kam se přihlašujete, bylo by dobré to zkusit nasadit. Byl bych vděčný za provozní data i za názory uživatelů aby se to dalo vylepšit.

Práce nutná k nasaení je podle mě minimální, speciálně, pokud implementujete přihlášení na Google+

23. 4. 2015 18:23:13

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/3#reply1108486

krnac

(14 hodnocení)

23. 4. 2015 18:57:08

Já bych to klidně i nechal nasadit na moje weby, ale jak sem psal zdlouhavé a složité, další věc které nevěřím je ta, že nevím kam co mobil bude odesílat, to je ještě strašnější představa než heslo 1234 upřímně? kašlete na to, tohle dle mého nemá šanci.

23. 4. 2015 18:57:08

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/3#reply1108485

roman_pro

(4 hodnocení)

24. 4. 2015 08:44:21

Mozna by se naslo upltatneni jenom v te druhe fazi (neco vlastnit) overeni, treba misto SMS co pouzivaji banky pri zadavani platby. Mozna by to zabralo o dve sekundy min nez tam ten kod vypisovat.

24. 4. 2015 08:44:21

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/3#reply1108484

bredy

24. 4. 2015 09:01:58

Napsal krnac;1189268
Já bych to klidně i nechal nasadit na moje weby, ale jak sem psal zdlouhavé a složité, další věc které nevěřím je ta, že nevím kam co mobil bude odesílat, to je ještě strašnější představa než heslo 1234 upřímně? kašlete na to, tohle dle mého nemá šanci.

K tomu asi nemám co říct, to je Váš názor, jen se zastavím u toho, že nevíte co kam bude mobil odesílat a cítím z toho obavu bezpečnost. Tu bych rád rozptýlil zejména pro další čtenáře.

Protože se nepovažuju za experta na zabezpečení, sáhl jsem po existujícíh a léty ověřených nástrojích, které se přímo nabízely. Celý systém generování tokenů a jejich ověřování je postavený na podepisování zpráv v Bitcoinovém protokolu. Doslova jsem vzal knihovnu k tomu určenou a tu používám. Konkrétně javascriptovou bitcoinjs. Bitcoinová síť je tu s námi už 6 let a za tu dobu ji ještě nikdo neprolomil (útoky na konkrétní provozovatele do toho není možné počítat, protože prolomení nedošlo skrz bitcoin, ale skrz jejich vlastní bezpečnostní chybu)

To co mobil posílá lze jednoduše ověřit tak, že URL z QR kódu otevřete v novém okně v prohlížeči s konzolou a síťovým monitoringem. Nezjistíte ovšem nic překvapivého. Po potvrzení přihlášení cestuje na server elektronických podpis zprávy s jasně definovaným formátováním. Naprosto totožný token se pak vynoří na přihlašovacím portále (také zjistíte ve webové konzoli). Token obsahuje 65 bajtů elektronického podpisu (BASE64), text challenge (ten z QR kodu) a timestamp v HEX v UTC, kdy k podpisu došlo. Pokud máte na své straně k dispozici knihovnu pro ověřování podpisu tak jak probíhá u Bitcoinů - nebo třeba nějaký SW který to umí, třeba Multibit, můžete ověřit, že zpráva (kterou si musíte sestavit stejně jako to dělá mobil) a podpis odpovídají vrácené identitě. Dokonce víc (to Multibit neumí, ale jde to spočítat), přímo z podpisu a zprávy lze získat identitu, bez nutnosti se více dotazovat mého serveru. Server zde funguje jen jako roura mezi zařízením a PC.

I přesto je dobré dodržet patřičné RFC 6749 a nechat si ověřit autorizační token (code) ještě na mém serveru, aby se tím eliminovaly některé potencionální útoky, například útok opakováním (útočník odchytne token v prohlížeči oběti, třeba pomocí doplňku, nebo pokud token přistává na http:// stránce a pokusí se vpašovat token do svého prohlížeče, ale ten už se podruhé na mém serveru nedá ověřit). Vlastní výpočet + ověření na mém serveru je další stupeň zabezpečení, v obou případech musíte dojít ke stejné identitě. Doporučuju to tam kde je kladen větší důraz na bezpečnost, u internetového fóra není potřeba se vlastním výpočtem zabývat, ale uvádím ho aby bylo vidět, že tato možnost tu je a jako důkaz, že žádný postranný kanál v zásadě existovat nemůže.

Proto si myslím, že z hlediska bezpečnosti jde o celkem slušně zabezpečený protokol. Samozřejmě jako první verze může trpět nějakou chybou, taky proto je celý kód serveru a webovek plně otevřen a k dispozici na githubu k revizi. I taky proto, že nechci být hlavním provozovatelem portálu, naopak bych rád, pokud to zaujme větší hráče, si ve své infrastruktuře rozběhli vlastní server pomocí zdrojáků na githubu. Návod jak to přeložit a nainstalovat pod linuxem či windowsem tam je.

24. 4. 2015 09:01:58

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem/strana/3#reply1108483