RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Monday, October 21. 2019

Aż boli...

Ten artykuł aż boli: Nowy, bzdurny pomysł mBanku. Artykuł i zamieszone pod nim komentarze. W sumie nawet nie wiem, która perełka boli najbardziej. Odczytywanie adresu MAC i licencji Windows z poziomu przeglądarki? Nagłówki HTML? Flaga HttpOnly w kontekście malware na stacji (jako ochrona)?

Ślady
Brak Śladów
Komentarze
Przyznam że nie widzę powodu by zapamiętywać urządzenie.
Po zapamiętaniu, drugi czynnik upraszcza się do cookie, a te da się kraść.
#1 Tom (Strona) o 2019-10-21 12:01 (Odpowiedz)
Dodanie urządzenia do zaufanych jest opcjonalne, jeśli ktoś robi to świadomie - nie widzę problemu. Zwykle jest to realizowane albo przez cookie, albo przez coś w LocalStorage. Jeśli urządzenie jest bezpieczne (rzeczywiście zaufane), wielkiego problemu nie ma. A jeśli nie to i 2FA do końca nie pomoże.

Do tego w ogólnym przypadku warto dodać system wykrywania anomalii, który w przypadku stwierdzenia odchylenia od standardu może wymusić pytanie o drugi składnik.

Tak, można do tego dodać również fingerprint urządzenia, ale trzeba przy tym pamiętać, że jeśli jedna strona jest w stanie go wyliczyć, nic nie stanie na przeszkodzie, by inna strona również ten sam fingerprint wyliczyła, tak więc sam w sobie nie może on być wykorzystany do oznaczenia urządzenia zaufanego.
#1.1 Paweł Goleń o 2019-10-21 21:34 (Odpowiedz)
Sugestia, żeby trzymać cookies na serwerze zamiast na przeglądarce przebija wszystko.
#2 km o 2019-10-22 08:31 (Odpowiedz)
Prawda? Zastanawiam się jak serwer miałby wiedzieć, którego klienta cookie ma użyć.

Swoją drogą bardzo, bardzo temu coś podobnego istniało. Nie cookie, ale klucze prywatne do podpisywania operacji. W jednym z rozwiązań zamiast przechowywać klucze lokalnie były one przechowywane po stronie serwera i pobierane przez klienta automatycznie po logowaniu. Cóż, nie działało to zbyt dobrze.
#2.1 Paweł Goleń o 2019-10-27 09:12 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Walidacja to nie wszystko
Sunday, 4 February 2007
Child process /etc/ppp/ip-up (pid 9317) terminated with signal 15
Sunday, 27 August 2006
Dlaczego nie wystarczy mieć backup II
Tuesday, 15 September 2009
Tak rodzą się błędy
Saturday, 8 December 2007
Wild, wild net
Saturday, 1 August 2015
Mityczny "uprzywilejowany zegar"
Tuesday, 2 December 2008
Nie wszystko złoto
Wednesday, 25 April 2012
Trochę inne OR 1=1 --
Wednesday, 27 June 2012
Bootcamp IV: CSRF - hint(y)
Thursday, 16 April 2009
I (prawie) po emigracji
Wednesday, 10 June 2015