RSS
Pages: 1 ... 33 34 35 36 37 38 39 40 41 42 43
[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — revoltech
2024-10-29 15:48:30


Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?

В моём случае зареюзать не получится т.к. оно зависит от контента

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — shaos
2024-10-29 15:52:03


" All the communications SHOULD take place over a secure channel, e.g.,
Secure Socket Layer/Transport Layer Security (SSL/TLS) [RFC5246] or
IPsec connections [RFC4301]."

Это show stopper...

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
revoltech(spnet, 4) — shaos
2024-10-29 15:56:26


shaos> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?

Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.

Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
revoltech(spnet, 4) — shaos
2024-10-29 15:58:29


shaos> " All the communications SHOULD take place over a secure channel, e.g.,
shaos> Secure Socket Layer/Transport Layer Security (SSL/TLS) [RFC5246] or
shaos> IPsec connections [RFC4301]."
shaos>
shaos> Это show stopper...

Это should, а не must, а на самом деле пофигу вообще. Между клиентом и сервером только начальная регистрация ключа должна быть секьюрной.

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — revoltech
2024-10-29 17:45:59


should = must

Американцы не любят слово must

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — revoltech
2024-10-29 17:50:57


т.е. ты предлагаешь вводить код ручками при каждой посылке? Нет спасибо :)

В моём варианте всё считается автоматически - нажал на Send и оно ушло…

[>] Re: Стандарт
idec.talks
Andrew Lobanov(tavern,1) — shaos
2024-10-29 17:58:50


shaos> Ну я добавил их в /x/features и типа сразу видно что оно у меня есть ;)

Ну так и оставь их в /x/features. Никто ж не мешает ;)

+++ Лично я вижу в этом перст судьбы – шли по лесу и встретили программиста.

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
Andrew Lobanov(tavern,1) — revoltech
2024-10-29 17:58:50


shaos>> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
revoltech> Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
revoltech> Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.

Ты шутишь сейчас? Лигитимный пользователь может подряд сколько угодно сообщений подряд отправлять. А /u/push вообще не для пользователей, а для других узлов сети. В том же цезии я не отправляю по одному сообщению, а отвечаю сразу на всё, что нового прилетело, а потом они пачкой по одному улетают. Зачем ломать клиенты?

Или ты предполагаешь, что клиент, отправив сообщение, будет ждать 30 секунд перед отправкой следующего? Нафиг такой клиент нужен тогда?

+++ Лично я вижу в этом перст судьбы – шли по лесу и встретили программиста.

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — Andrew Lobanov
2024-10-29 19:39:44


А у пуша какой пароль - пользовательский или особый сисоповский? Надо код ii-php поглядеть…

[>] Re: Аутентификация поинтов через несекьюрное соединение
idec.talks
shaos(spnet, 2) — shaos
2024-10-29 20:52:46


В новой спеке написано «строка авторизации узла» что по видимому намекает на специальный пароль

Тоже надо сделать свой вариант :)

Кстати зачем там echoarea если имя эти есть в каждом сообщении?…

Pages: 1 ... 33 34 35 36 37 38 39 40 41 42 43