[>]
Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
revoltech(spnet, 4) — shaos
2024-10-29 15:56:26
shaos> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.
[>]
Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
revoltech(spnet, 4) — shaos
2024-10-29 15:58:29
shaos> " All the communications SHOULD take place over a secure channel, e.g.,
shaos> Secure Socket Layer/Transport Layer Security (SSL/TLS) [RFC5246] or
shaos> IPsec connections [RFC4301]."
shaos>
shaos> Это show stopper...
Это should, а не must, а на самом деле пофигу вообще. Между клиентом и сервером только начальная регистрация ключа должна быть секьюрной.
[>]
Re: Стандарт
idec.talks
Andrew Lobanov(tavern,1) — shaos
2024-10-29 17:58:50
shaos> Ну я добавил их в /x/features и типа сразу видно что оно у меня есть ;)
Ну так и оставь их в /x/features. Никто ж не мешает ;)
[>]
Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
Andrew Lobanov(tavern,1) — revoltech
2024-10-29 17:58:50
shaos>> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
revoltech> Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
revoltech> Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.
Ты шутишь сейчас? Лигитимный пользователь может подряд сколько угодно сообщений подряд отправлять. А /u/push вообще не для пользователей, а для других узлов сети. В том же цезии я не отправляю по одному сообщению, а отвечаю сразу на всё, что нового прилетело, а потом они пачкой по одному улетают. Зачем ломать клиенты?
Или ты предполагаешь, что клиент, отправив сообщение, будет ждать 30 секунд перед отправкой следующего? Нафиг такой клиент нужен тогда?