Рубрика «авторизация»

Последние несколько лет я являюсь клиентом Т-Банка (в девичестве Тинькофф Банк) и использую их Android-приложение, наверное, каждый день. В декабре я обновил его из Huawei AppGallery, и что-то изменилось в моём пользовательском опыте… Мне стало казаться, что меня стали как-то слишком редко спрашивать отпечаток или PIN после запуска приложения тапом по иконке или по уведомлению. Так произошло раз, два, пять, и я невольно обратил на это внимание. А поскольку моя работа связана с информационной безопасностью, я решил немедленно настучать на плохое поведение разработчикам, Читать полностью »

Недавно сообщество spring security закончило работу над поддержкой passkeys (ключи доступа), а конкретнее WebAuthn. Протокол WebAuthn позволяет реализовать аутентификацию с помощью биометрических данных. На данный момент поддержка passkeys местами немного сыровата, и мы активно фиксим баги и всячески улучшаем саму фичу. В документации мы написали:

Passkeys are a more secure method of authenticating than passwords and are built using WebAuthn.

Ключи доступа представляют собой более безопасный метод аутентификации, чем пароли, и создаются с использованием WebAuthn.Читать полностью »

Почему работать с OAuth сложно даже сегодня? - 1


OAuth — это стандартный протокол. Ведь так? И для OAuth 2.0 есть клиентские библиотеки практически на всех языках программирования, которые можно представить.

Вероятно, вы подумаете, что имея клиентскую библиотеку, можно реализовать OAuth для любого API буквально за десять минут. Или хотя бы за час.

Если вам это удастся, то, пожалуйста, сообщите об этом нам — мы угостим вас изысканным ужином и послушаем, как у вас это получилось.
Читать полностью »

Всё о Keycloak: зачем нужен, кому подходит и какие преимущества даёт - 1

14 марта в Слёрм стартует курс «Безопасность проекта: аутентификация в Keycloak»Читать полностью »

Никто (почти) не знает, что такое авторизация - 1

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:
Читать полностью »

Прим. перев.: В этом замечательном материале компании Okta просто и наглядно рассказывается о принципах работы OAuth и OIDC (OpenID Connect). Эти знания будут полезны разработчикам, системным администраторам и даже «обычным пользователям» популярных веб-приложений, которые скорее всего тоже обмениваются конфиденциальными данными с другими сервисами.

В «каменном веке» интернета делиться информацией между сервисами было легко. Вы просто давали свой логин и пароль от одного сервиса другому, чтобы тот вошел в вашу учетную запись и получил любую необходимую ему информацию.

Иллюстрированное руководство по OAuth и OpenID Connect - 1
«Предоставьте свою банковскую учётку». — «Обещаем, что с паролем и деньгами все будет в порядке. Вот прям честно-пречестно!» *хи-хи*

Жуть! Никто и никогда не должен требовать от пользователя поделиться логином и паролем, его учётными данными, с другим сервисом. Нет никакой гарантии, что организация, стоящая за этим сервисом, будет хранить данные в безопасности и не соберет больше персональной информации, чем нужно. Это может показаться дикостью, но некоторые приложения до сих пор применяют подобную практику!

Сегодня имеется единый стандарт, позволяющий одному сервису безопасно воспользоваться данными другого. К сожалению, подобные стандарты используют массу жаргонизмов и терминов, что усложняет их понимание. Цель этого материала — с помощью простых иллюстраций объяснить, как они работают (Думаете, что мои рисунки напоминают детскую мазню? Ну и ладно!).

Иллюстрированное руководство по OAuth и OpenID Connect - 2Читать полностью »

Привет!

Этим летом на конференции WWDC 2019 Apple представила собственную систему авторизации Sign in with Apple  и сделала ее обязательной для всех приложений в App Store, которые используют вход через соцсети. Исключение составляют образовательные, корпоративные, правительственные и бизнес-приложения, использующие собственную авторизацию. К Sign in with Apple Apple сделала качественную документацию, и в этой статье мы на примере ЦИАН расскажем, как внедрить ее в свой сервис.

Внедряем Sign in with Apple — систему авторизации от Apple - 1
Читать полностью »

14 ноября пройдет Intercom'19 — конференция об автоматизации коммуникаций от Voximplant - 1

Как известно, осень — время конференций. Мы уже в четвертый раз проводим собственную ежегодную конференцию про коммуникации и их автоматизацию, и приглашаем вас принять в ней участие. Конференция, по традиции, состоит из двух потоков и нескольких специальных событий.

Мы немного поменяли формат участия в мероприятии: это первый год, когда участие в конференции бесплатное для всех желающих, но регистрация обязательна. Будем ждать вас 14 ноября в ЦДП (Цифровое Деловое Пространство, Москва, м.Курская, ул. Покровка, 47).
Читать полностью »

Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца - 1

Два наших сервиса — Почта и Облако Mail.ru — теперь позволяют входить в веб-клиенты по отпечатку пальца и с помощью внешних устройств: USB-, Bluetooth- и NFC-ключей. Наши сервисы пока единственные в России и одни из первых в мире начали использовать технологию электронных ключей WebAuthn в качестве альтернативы традиционным паролям.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js