Hlavní navigace

Názor k článku Ještě k úniku @gmail.com adres s hesly: používání e-mailu jako login je potíž od Jenda - > Jenže problém je, že aplikace nad nim...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 9. 2014 16:06

    Jenda (neregistrovaný)

    > Jenže problém je, že aplikace nad nim nemá plnou kontrolu. Tudíž nemůže plně důvěřovat datům, které dostane. Ostatně největší problém tohoto typu autentizace je náchylnost na man-in-the-middle attack.

    To si nějak nedokážu představit, můžeš to rozvést? Jak se liší MITM nad form+cookies „přihlašováním“ a nad HTTP auth?

    > A když jsem psal, že aplikace nemá plnou kontrolu, tak jedním z nich představuje odhlašování.

    Ano, to je myslím ten problém, o kterém Filip občas píše - prohlížeče neimplementují funkci „odhlásit“. Existují hnusné hacky jako že klientovi pošleš 403 a revokuješ mu pomocnou cookie, ale to je humus. Prostě ve Firefoxu mi schází tlačítko „logout“ (jde to jen globálně přes Odstranit citlivá data → Active Logins).

    > Phishing lze provést i na něm.

    Phishing lze provést tak nějak z principu úplně vždycky… Stejně, jako MITM.

    > Takže na první pohled uživatel nepozná kdo ho volá

    URL?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).