Здравствуйте, Ночной Смотрящий, Вы писали:

НС> Кроме того, наличие самопального окна логина позволяет атаки с подделкой этого окна. Вводишь ты свои креды, а царь окно ненастоящее, твои креды отправляет куда нибудь в другое место. Когда у тебя окно логина открывается в браузере, в котором виден url и сертификат, такая атака становится сильно сложнее.

Когда у тебя на десктопе можно показать поддельное окно, разговоры о безопасности можно прекращать.

Здравствуйте, Ночной Смотрящий, Вы писали:

S>> Хотя непонятно, а чем Api для получения токенов не угодил?

НС>Какой именно?
Да любой. Обычно кроме вэб морду есть некий апи, что бы через него с сайтом обмениваться данными обмениваться.
Обычно токен протухающий через нное количество времени.

Здравствуйте, Ночной Смотрящий, Вы писали:

НС>>>Нет, это твое дилетантство. Кури бамбук или оставайся в невежестве
S>>Сознаюсь в дилетанстве. Поэтому и спрашиваю. Чем форма данные формы и отправка данных формы нельзя ручками подправить?

НС>Тем что окно логина содержит энное количество JS скриптов, в том числе обеспечивающих безопасность. Кроме того, наличие самопального окна логина позволяет атаки с подделкой этого окна. Вводишь ты свои креды, а царь окно ненастоящее, твои креды отправляет куда нибудь в другое место. Когда у тебя окно логина открывается в браузере, в котором виден url и сертификат, такая атака становится сильно сложнее.
Но через тот же Selenium я привел примеры даже с виндовым окном можно все вводить.
Зачем все через браузер? Проще https плюс еще для прочности открытый и закрытый ключ плюс код подтверждения на почту или мобильный.
Для приложения нужен только токен.
Ладно. Я тут сам недавно связался. Надо будет разобраться. Там с использованием Cef вытаскивают токены. Был удивлен.
В любом случае спаисбо!

Здравствуйте, rudzuk, Вы писали:

R>Когда у тебя на десктопе можно показать поддельное окно, разговоры о безопасности можно прекращать.

О, я вижу тут эксперты по безопасности собрались.

Здравствуйте, Serginio1, Вы писали:

S> Но через тот же Selenium я привел примеры даже с виндовым окном можно все вводить.

И что? Я в курсе что чисто технически можно извратиться и таки сделать. Но небезопасной практикой оно от этого быть не перестанет. Если продашь его в контору поприличнее, и первая же серьезная проверка обеспечит тебе много проблем.

S>Зачем все через браузер?

Я тебе ссылку дал, прочти уже ее наконец, а не занимайся фантазиями.

8.12. Embedded User-Agents

Section 9 of OAuth 2.0 [RFC6749] documents two approaches for native
apps to interact with the authorization endpoint. This best current
practice requires that native apps MUST NOT use embedded user-agents
to perform authorization requests and allows that authorization
endpoints MAY take steps to detect and block authorization requests
in embedded user-agents. The security considerations for these
requirements are detailed herein.

Embedded user-agents are an alternative method for authorizing native
apps. These embedded user-agents are unsafe for use by third parties
to the authorization server by definition, as the app that hosts the
embedded user-agent can access the user's full authentication
credential, not just the OAuth authorization grant that was intended
for the app.

In typical web-view-based implementations of embedded user-agents,
the host application can record every keystroke entered in the login
form to capture usernames and passwords, automatically submit forms
to bypass user consent, and copy session cookies and use them to
perform authenticated actions as the user.

Even when used by trusted apps belonging to the same party as the
authorization server, embedded user-agents violate the principle of
least privilege by having access to more powerful credentials than
they need, potentially increasing the attack surface.

Encouraging users to enter credentials in an embedded user-agent
without the usual address bar and visible certificate validation
features that browsers have makes it impossible for the user to know
if they are signing in to the legitimate site; even when they are, it
trains them that it's OK to enter credentials without validating the
site first.

Aside from the security concerns, embedded user-agents do not share
the authentication state with other apps or the browser, requiring
the user to log in for every authorization request, which is often
considered an inferior user experience.

Здравствуйте, Ночной Смотрящий, Вы писали:

НС> R>Когда у тебя на десктопе можно показать поддельное окно, разговоры о безопасности можно прекращать.

НС> О, я вижу тут эксперты по безопасности собрались.

По делу-то можешь что-то возразить, или как обычно?

Здравствуйте, Ночной Смотрящий, Вы писали:

S>> Но через тот же Selenium я привел примеры даже с виндовым окном можно все вводить.

НС>И что? Я в курсе что чисто технически можно извратиться и таки сделать. Но небезопасной практикой оно от этого быть не перестанет. Если продашь его в контору поприличнее, и первая же серьезная проверка обеспечит тебе много проблем.

S>>Зачем все через браузер?

НС>Я тебе ссылку дал, прочти уже ее наконец, а не занимайся фантазиями.
НС>[q]
Спасибо. Я читал. У меня другая ситуация. У меня есть пароль логин. Но работать мне надо не через браузер, а через API используя токен, который протухает.
Пока до конца не разобрался. Но в любом случае спасибо за информацию и потраченное время!

Здравствуйте, Pauel, Вы писали:

P>Чтото мне кажется, количество юзеров aimp на этом фоне в микроскоп не видно.
А пользователей VLC? Который кроме компов ещё что на ведре что на iOS активно используется.

Здравствуйте, Pauel, Вы писали:

P>Итого — оказалось ,что калькуляторов в вебе пруд пруди.


P>1. вводишь calculator и получаешь ровно то, что ты запрашивал
P>2. первая ссылка в выдаче — цельный сайт https://www.calculator.net/, если тебя п1 не устраивает
P>3. вторая ссылка — еще один калькулятор
То, что кто то сделал сайт с калькулятором никак не отвечает на вопрос когда локальный калькулятор перепишут на электрон.

P>Ну ты понял — калькуляторов в вебе пруд пруди
И?

Здравствуйте, Pauel, Вы писали:

P>>>А плагины по твоему разумению ищутся и инсталируются, обновляются магией?
CC>>Это не является основным назначением VS Code.
P>А я и сказал "некоторые части".
А речь про саму аппу

P>А как ты будешь сообща работать над одним документом?
А с чего ты взял что надо сообща работать над одним документом?
Кроме того, с чего ты взял что для реализации этого нужна именно имплементация в виде веб аппы?

P>При чем здесь ты вообще? Что толку рассматривать один собственный пример?
Потому что это реалии, в отличие от теории.

Здравствуйте, Serginio1, Вы писали:

S>Но работать мне надо не через браузер, а через API используя токен, который протухает.
S>Пока до конца не разобрался. Но в любом случае спасибо за информацию и потраченное время!

Тебе надо получить refresh token с которым потом ходить за обновлением.
И скорее всего наилучший вариант будет RFC 8628: OAuth 2.0 Device Authorization Grant, который позволяет делать OAuth на девайсах вообще без браузера.

Здравствуйте, Ночной Смотрящий, Вы писали:

НС>Без понятия. Расскажи как ты токен получаешь и куда креды вводишь.
Через Device Authorization Grant

Здравствуйте, CreatorCray, Вы писали:

C>>Kerberos + LDAP. Но оно сдохло, вместе с десктопными приложениями.
CC>Сдохло оно, ага. До сих пор живое — каждый день пользуемся.
Ну да, вместе с софтом из 2009-го. Согласен, оно примерно одной свежести.

Здравствуйте, Serginio1, Вы писали:

C>>Раньше была настоящая попытка сделать SSO для "десктопных" приложений — Kerberos + LDAP. Но оно сдохло, вместе с десктопными приложениями.
S>Порылся https://stackoverflow.com/questions/11522434/how-to-handle-login-pop-up-window-using-selenium-webdriver
Это метод автоматизации, который работает для конкретного SSO-провайдера. А их может быть десятки. Например, логин в Okta выглядит совсем по-другому.

S> Хотя непонятно, а чем Api для получения токенов не угодил? Есть открытые закрытые ключи, отправка на почту кода подтверждения итд.
S>Через мобильное приложение то вход работает по отпечаткам итд.
Тем, что это всё зависит от произвольного JS и HTML, который нельзя запустить кроме как в браузере.

Можно попробовать сделать так, что приложение прикидывается "умным телевизором", и использует соответствующий workflow: https://auth0.com/docs/get-started/authentication-and-authorization-flow/device-authorization-flow Но это небезопасно, и будет работать далеко не со всеми SSO (с моим, например, не будет).

Здравствуйте, Cyberax, Вы писали:

CC>>Сдохло оно, ага. До сих пор живое — каждый день пользуемся.
C>Ну да, вместе с софтом из 2009-го.
2023

Здравствуйте, CreatorCray, Вы писали:

CC>То, что кто то сделал сайт с калькулятором никак не отвечает на вопрос когда локальный калькулятор перепишут на электрон.

Переписывать ради переписывания никто в своем уме не станет — денег заработать на переписывании не получится.
Особенно сейчас, когда десктоп как таковой умирает. Проекты, которые могли бы появиться на десктопе, появляются в вебе. В крайнем случае — на веб-технологиях.

Здравствуйте, Pauel, Вы писали:

P>Здравствуйте, CreatorCray, Вы писали:

CC>>То, что кто то сделал сайт с калькулятором никак не отвечает на вопрос когда локальный калькулятор перепишут на электрон.

P>Переписывать ради переписывания никто в своем уме не станет — денег заработать на переписывании не получится.

Некоторые в основном на этом и зарабатывают.

Здравствуйте, 4058, Вы писали:

P>>Переписывать ради переписывания никто в своем уме не станет — денег заработать на переписывании не получится.

4>Некоторые в основном на этом и зарабатывают.

А можно подробнее, как можно заработать на переписывании бесплатного калькулятора?

Здравствуйте, CreatorCray, Вы писали:

P>>А я и сказал "некоторые части".
CC>А речь про саму аппу

Если приложению требуются локальные ресурсы, то придется пилить десктопный вариант. Если локальных ресурсов не требуется — всегда есть веб аналог.

P>>А как ты будешь сообща работать над одним документом?
CC>А с чего ты взял что надо сообща работать над одним документом?

Это один из основных кейсов сейчас. Это поняли даже в Беларуси на госпредприятиях, а вот ты понять не можешь.
Например, ревью — вместо того, что бы отсылать туда-сюда, документ расшаривается на комменирование, и все видят чужие правки и комментарии. При чем не "раз в месяц", а сразу, что позволяет существенно сократить время.

CC>Кроме того, с чего ты взял что для реализации этого нужна именно имплементация в виде веб аппы?

У офисных приложений ничтожная потребность в локальных ресурсах. Всё это дело уже 17 лет как движется в сторону веб приложений.
Уже не только Гугл, но и Микрософт выкатил веб версию офиса.

P>>При чем здесь ты вообще? Что толку рассматривать один собственный пример?
CC>Потому что это реалии, в отличие от теории.

Из твоего личного примера мы и так знаем, что человек, который пользуется исключительно старьём, ничего, кроме старья не видит.

Онлайн офисы это тоже реалии, только ты ими не пользуешься. И калькуляторы в виде веб-приложений, тоже реалии, а ты про них ничего не знал всего неделю назад.

В вебе проекты стартуют каждый день. Но ты этого не видишь, потому что зациклен исключительно не себе.

Здравствуйте, CreatorCray, Вы писали:
CC>Ну вот возьмём такой сложный и дорогой софт как калькулятор.
CC>Нахрена ему что то вне локальной машины?
Прекрасный пример, спасибо.
Калькулятор обычно используется не просто так, а для решения какой-то прикладной задачи.
И если какие-нибудь константы для, скажем, перевода цельсиев в фаренгейты или миль-на-галлон в литры-на-100км можно и забить в свой оффлайн калькулятор, то курсы обмена валют требуют онлайна.
Поэтому калькулятор от гугла неимоверно рулит по сравнению с десктопным калькулятором