v
В с JWT знакомы?
Size: a a a
2020 June 22
DB
В с JWT знакомы?
Ну конечно
A
Кто нибудь юзал app write? Вроде огонь 🔥
v
Меньше двух запросов туда-обратно и двух ответов не получается, если планировать, что вся коммуникация может быть перехвачена и все токены видны стороннему наблюдателю
А у вас не HTTPS?
DB
А у вас не HTTPS?
HTTPS, но кто гарантирует, что он надёжен?
v
HTTPS, но кто гарантирует, что он надёжен?
А кто проверял ваш подход на сисурити бричес?
DB
А кто проверял ваш подход на сисурити бричес?
Надо устроить хакатон 🙂
DB
Разве клиенту не достаточно проверить целостность данных?
Клиент проверяет, что сервер в ответ на его токен вычислил верный challenge — то есть клиент уверен, что сервер тот, за кого себя выдаёт.
Сервер проверяет, что клиент в ответ на challenge правильно вычислил новый response token — то есть сервер уверен, что клиент, это тот, кто надо.
Сервер проверяет, что клиент в ответ на challenge правильно вычислил новый response token — то есть сервер уверен, что клиент, это тот, кто надо.
VA
Мне было пока некогда разобраться, поэтому я действительно просто храню в shared_preferences токены SHA-512 — в надежде, что если кто-то их даже достанет, то раскодировать пароль обратно не сможет
Вот это стало интересно. Пароль вы храните просто сделав хэш?
DB
Вот это стало интересно. Пароль вы храните просто сделав хэш?
Ну не просто один раз, там, по-моему, хеш 10 тыс. раз вычисляется или типа того. И перед этим ещё shuffle делается по уникальному алгоритму, который известен только клиенту и серверу.
VA
Ну не просто один раз, там, по-моему, хеш 10 тыс. раз вычисляется или типа того. И перед этим ещё shuffle делается по уникальному алгоритму, который известен только клиенту и серверу.
Это хорошо. Просто есть ощущение, что вы хотите изобрести очередную модель аутентификации. Не знаю точно какая у вас модель угроз (и есть ли она вообще), но сильно сомневаюсь, что вам не хватит существующих решений по моделям аутентификации. В любом случае, это не тема данной конфы.
DB
Это хорошо. Просто есть ощущение, что вы хотите изобрести очередную модель аутентификации. Не знаю точно какая у вас модель угроз (и есть ли она вообще), но сильно сомневаюсь, что вам не хватит существующих решений по моделям аутентификации. В любом случае, это не тема данной конфы.
Возможно.
Хотя модель token —> response и challenge —> response стандартная, мы просто написали её сами на Flutter/Dart (на клиенте) и на ES6 (на сервере), чтобы не зависеть от эксплойтов внешних библиотек.
Хотя модель token —> response и challenge —> response стандартная, мы просто написали её сами на Flutter/Dart (на клиенте) и на ES6 (на сервере), чтобы не зависеть от эксплойтов внешних библиотек.
v
А что вы там такого уберсекретное защищаете?)
v
К тому же вы столько времени провели над сесурити вундервафлей а храните в шаред преф
DB
А что вы там такого уберсекретное защищаете?)
Данные примерно 1000 клиентов.
v
Та хоть 10000)
v
Кроме имени и фамилии что-то ценное есть?
DB
К тому же вы столько времени провели над сесурити вундервафлей а храните в шаред преф
Ваша правда — нужно поменять на https://pub.dev/packages/encrypted_shared_preferences
DB
Кроме имени и фамилии что-то ценное есть?
Анкета из 68 вопросов по предпочтениям клиента
VA
Возможно.
Хотя модель token —> response и challenge —> response стандартная, мы просто написали её сами на Flutter/Dart (на клиенте) и на ES6 (на сервере), чтобы не зависеть от эксплойтов внешних библиотек.
Хотя модель token —> response и challenge —> response стандартная, мы просто написали её сами на Flutter/Dart (на клиенте) и на ES6 (на сервере), чтобы не зависеть от эксплойтов внешних библиотек.
Не ставлю под сомнение ваш скилл, но что-то мне подсказывает что в вашем решении эксплойтов будет больше, а также багов и мужественных попыток их зафиксить. Я насмотрелся на велосипеды разных размеров и всегда старался держаться от них подальше. Сделать форк готового решения, которое протестировано и рассмотрено со всех сторон вполне себе мысль. Тот факт, что вы пришли с вопросами в чатик по дарту уже должен стать для вас звоночком. Но это опять же мое словоблудие, которое я завершаю.