Новое сообщение в форум О жизни

Форум	О жизни
Тема	Как правильно задавать вопросы

Здравствуйте, Marty, Вы писали:

M>Здравствуйте, CaptainFlint, Вы писали:

M>>>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов - скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать

CF>>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.

M>Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных - всё норм, иначе - фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести

Теги:

Введите теги разделенные пробелами. Обрамляйте в кавычки словосочетания с пробелами внутри, например: "Visual Studio" .NET

Имя, пароль: Загрузить Нравится наш сайт? Помогите его развитию!
Отключить смайлики Получать ответы по e-mail