-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 22:39
shaos (spnet, 2) => wT4majKSbAi77KmnSRD6
А у пуша какой пароль - пользовательский или особый сисоповский? Надо код ii-php поглядеть…
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Стандарт
29.10.2024 20:58
Andrew Lobanov (tavern,1) => fWNOAltbi4QKLAWXOtLC
shaos> Ну я добавил их в /x/features и типа сразу видно что оно у меня есть ;)
Ну так и оставь их в /x/features. Никто ж не мешает ;)
+++ Лично я вижу в этом перст судьбы – шли по лесу и встретили программиста.
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 20:58
Andrew Lobanov (tavern,1) => 3hzbA9rBCPIlGfioSiVZ
shaos>> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
revoltech> Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
revoltech> Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.
Ты шутишь сейчас? Лигитимный пользователь может подряд сколько угодно сообщений подряд отправлять. А /u/push вообще не для пользователей, а для других узлов сети. В том же цезии я не отправляю по одному сообщению, а отвечаю сразу на всё, что нового прилетело, а потом они пачкой по одному улетают. Зачем ломать клиенты?
Или ты предполагаешь, что клиент, отправив сообщение, будет ждать 30 секунд перед отправкой следующего? Нафиг такой клиент нужен тогда?
+++ Лично я вижу в этом перст судьбы – шли по лесу и встретили программиста.
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 20:50
shaos (spnet, 2) => 3hzbA9rBCPIlGfioSiVZ
т.е. ты предлагаешь вводить код ручками при каждой посылке? Нет спасибо :)
В моём варианте всё считается автоматически - нажал на Send и оно ушло…
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 20:45
shaos (spnet, 2) => Ey3fF61EJm2UxfSTvoBr
should = must
Американцы не любят слово must
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 18:58
revoltech (spnet, 4) => wmluHn0saf7EebryINbP
shaos> " All the communications SHOULD take place over a secure channel, e.g.,
shaos> Secure Socket Layer/Transport Layer Security (SSL/TLS) [RFC5246] or
shaos> IPsec connections [RFC4301]."
shaos>
shaos> Это show stopper...
Это should, а не must, а на самом деле пофигу вообще. Между клиентом и сервером только начальная регистрация ключа должна быть секьюрной.
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 18:56
revoltech (spnet, 4) => 3tnV5YLvGxinw8z0CEMG
shaos> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 18:52
shaos (spnet, 2) => 3tnV5YLvGxinw8z0CEMG
" All the communications SHOULD take place over a secure channel, e.g.,
Secure Socket Layer/Transport Layer Security (SSL/TLS) [RFC5246] or
IPsec connections [RFC4301]."
Это show stopper...
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 18:48
shaos (spnet, 2) => 3fBFYzAzhcsvWg4eMTF2
Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
В моём случае зареюзать не получится т.к. оно зависит от контента
--------------------------------------------------------------------------------
-= idec.talks =-
subject: Re: Аутентификация поинтов через несекьюрное соединение
29.10.2024 18:42
revoltech (spnet, 4) => ovuX4IWmnmBrxtLuEE2r
shaos> А на сторонние аутентификаторы совсем не хочется завязываться - всё должно работать даже в случае тотального отключения глобальных сервисов...
Сторонний аутентификатор, работающий так же, как и всё вышеперечисленное, пишется максимум за полчаса на любом мейнстримном ЯП.
https://www.rfc-editor.org/rfc/rfc6238
--------------------------------------------------------------------------------