Re[20]: Веб победил десктоп?
От: Sinclair Россия https://github.com/evilguest/
Дата: 09.03.23 08:49
Оценка:
Здравствуйте, CreatorCray, Вы писали:
CC>То, что кто то сделал сайт с калькулятором никак не отвечает на вопрос когда локальный калькулятор перепишут на электрон.
А вот и подмена тезиса. Только что речь шла о

Нахрена ему что то вне локальной машины?

И вдруг мы перепрыгнули с топологии деплоймента к технологии отображения.
Ну, ок — калькулятор на электроне, очевидно, прекрасен тем, что предсказуемо себя ведёт и отображается на любой платформе.
Я, кстати, не особо уверен, что в Win11 калькулятор ещё не на электроне.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[18]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:32
Оценка:
Здравствуйте, Serginio1, Вы писали:

S> Спасибо. Я читал.


Не заметно.

S> У меня другая ситуация.


Нет, у тебя та же самая ситуация.

S> У меня есть пароль логин. Но работать мне надо не через браузер, а через API используя токен, который протухает.


Получаешь первый раз refresh token через браузер, как положено, потом по refresh token, пока он валидный, без участия пользователя можешь получать access token. Это если дело происходит на клиентском устройстве. А если server 2 server, когда можно секурно хранить секреты, то есть client credentials. Но речь тут шла не про этот сценарий.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[19]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:34
Оценка:
Здравствуйте, CreatorCray, Вы писали:

CC>И скорее всего наилучший вариант будет RFC 8628: OAuth 2.0 Device Authorization Grant,


Чего вдруг? Device нужен, если на целевом устройстве нет клавиатуры и нормального браузера. А если они есть, то это только лишние заморочки.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[16]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:34
Оценка:
Здравствуйте, CreatorCray, Вы писали:

НС>>Без понятия. Расскажи как ты токен получаешь и куда креды вводишь.

CC>Через Device Authorization Grant

Через device ты все равно открываешь системный браузер, только на другом устройстве.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[18]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:41
Оценка:
Здравствуйте, rudzuk, Вы писали:

НС>> О, я вижу тут эксперты по безопасности собрались.

R>По делу-то можешь что-то возразить, или как обычно?

По делу я дал Serginio ссылку на RFC и даже цитату оттуда. Кури до появления понимания.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[16]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:41
Оценка: 1 (1) +2
Здравствуйте, Serginio1, Вы писали:

НС>>Какой именно?

S> Да любой.

Любой в современном мире означает ровно два варианта, OAuth2/OIDC или SAML 2.0. Причем последним стоит пользоваться только в особых случаях. А про первый я тебе вроде бы уже все по теме рассказал.

S> Обычно кроме вэб морду есть некий апи, что бы через него с сайтом обмениваться данными обмениваться.


И этот API включает в себя использование браузера (auth code flow и device flow). Без браузера в случае OAuth2 есть implicit и ropc, которые объявлены небезопасным, и client crdentials, который предполагает развертывание клиентского приложения в контролируемой с точки зрения безопасности среде, а не на устройстве клиента.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[15]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 10:48
Оценка: +1
Здравствуйте, Cyberax, Вы писали:

S>>Порылся https://stackoverflow.com/questions/11522434/how-to-handle-login-pop-up-window-using-selenium-webdriver

C>Это метод автоматизации, который работает для конкретного SSO-провайдера. А их может быть десятки. Например, логин в Okta выглядит совсем по-другому.

Для окты пишешь отдельный скрипт. Потом для one login. А позавчера вот с неким F5 денежный клиент пришел. И да, если что то поменяют (а это могу сделать без предупреждения) — у тебя опять жопа в мыле. Зато job security навысоте

C>Можно попробовать сделать так, что приложение прикидывается "умным телевизором", и использует соответствующий workflow: https://auth0.com/docs/get-started/authentication-and-authorization-flow/device-authorization-flow


Но там все равно надо открывать в браузере страничку и вводить код, просто устройство при этом может быть другим и никакого допсофта кроме браузера там не нужно.

C> Но это небезопасно, и будет работать далеко не со всеми SSO (с моим, например, не будет).


Последнее время вроде бы почти все основные IdP это умеют, но по дефолту почти везде оно запрещено, надо явно врубать в настройках. И да, IdP может быть не общеупотребимым, а встроенным в какое нибудь решение, и там возможны любые варианты, от явного отключения без возможности включить, и до полностью доморощенной реализации OIDC (или даже голого OAuth2) в котором реализация отсутствует в принципе.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[19]: Веб победил десктоп?
От: Serginio1 СССР https://habrahabr.ru/users/serginio1/topics/
Дата: 09.03.23 11:02
Оценка:
Здравствуйте, Ночной Смотрящий, Вы писали:


S>> У меня есть пароль логин. Но работать мне надо не через браузер, а через API используя токен, который протухает.


НС>Получаешь первый раз refresh token через браузер, как положено, потом по refresh token, пока он валидный, без участия пользователя можешь получать access token. Это если дело происходит на клиентском устройстве. А если server 2 server, когда можно секурно хранить секреты, то есть client credentials. Но речь тут шла не про этот сценарий.

У меня как раз такой. То есть получаем рефрештокен через браузер и его используем в апи.
и солнце б утром не вставало, когда бы не было меня
Re[20]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 11:06
Оценка:
Здравствуйте, Serginio1, Вы писали:

НС>>Получаешь первый раз refresh token через браузер, как положено, потом по refresh token, пока он валидный, без участия пользователя можешь получать access token. Это если дело происходит на клиентском устройстве. А если server 2 server, когда можно секурно хранить секреты, то есть client credentials. Но речь тут шла не про этот сценарий.

S> У меня как раз такой. То есть получаем рефрештокен через браузер и его используем в апи.

Поздравляю. Тогда с чем ты вообще споришь?
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[21]: Веб победил десктоп?
От: Serginio1 СССР https://habrahabr.ru/users/serginio1/topics/
Дата: 09.03.23 11:40
Оценка:
Здравствуйте, Ночной Смотрящий, Вы писали:

НС>>>Получаешь первый раз refresh token через браузер, как положено, потом по refresh token, пока он валидный, без участия пользователя можешь получать access token. Это если дело происходит на клиентском устройстве. А если server 2 server, когда можно секурно хранить секреты, то есть client credentials. Но речь тут шла не про этот сценарий.

S>> У меня как раз такой. То есть получаем рефрештокен через браузер и его используем в апи.

НС>Поздравляю. Тогда с чем ты вообще споришь?

Я не спорил, а спрашивал. Разбирался в проблеме.
Суть так или иначе лежит на апи. Там для получения токенов можно использовать суперсложные схемы как открытые закрытые ключи, так и доверенные сервисы итд.
Но вот им уже лень. Используют браузер плюс код подтверждения по почте или на телефон.
Конечно можно через тот же селениум сделать и даже почту прикрутить, но вот с телефоном нужно свое приложение с доступом к СМС, но это уже не секьюрно и непродуктивно.
Для отладки конечно можно.

Ну и если токен постоянно использовать, то он и не протухает. Вернее при протухшем токене, можно запросить новый по старому.
По описанной твоей схеме.

Получаешь первый раз refresh token через браузер, как положено, потом по refresh token, пока он валидный, без участия пользователя можешь получать access token. Это если дело происходит на клиентском устройстве. А если server 2 server, когда можно секурно хранить секреты, то есть client credentials. Но речь тут шла не про этот сценарий.


Просто в первый раз с таким сталкиваюсь. Век живи и век учись.
и солнце б утром не вставало, когда бы не было меня
Отредактировано 09.03.2023 13:03 Serginio1 . Предыдущая версия . Еще …
Отредактировано 09.03.2023 12:47 Serginio1 . Предыдущая версия .
Re[21]: Веб победил десктоп?
От: Евгений Акиньшин grapholite.com
Дата: 09.03.23 11:50
Оценка: 2 (2)
Здравствуйте, Sinclair, Вы писали:

S>Я, кстати, не особо уверен, что в Win11 калькулятор ещё не на электроне.


Не угадал , на UWP:

https://github.com/microsoft/calculator
Не шалю, никого не трогаю, починяю примус Diagrams Designer for iPad and Windows 10
Re[19]: Веб победил десктоп?
От: rudzuk  
Дата: 09.03.23 12:04
Оценка:
Здравствуйте, Ночной Смотрящий, Вы писали:

НС> R>По делу-то можешь что-то возразить, или как обычно?


НС> По делу я дал Serginio ссылку на RFC и даже цитату оттуда. Кури до появления понимания.


Да ты не в rfc тыкай, а расскажи, о какой безопасно ты ведешь речь, допуская ситуацию с поддельным окном логина на десктопе. Очень интересно.
avalon/3.0.2
Re[22]: Веб победил десктоп?
От: Privalov  
Дата: 09.03.23 12:46
Оценка: +1
Здравствуйте, Pauel, Вы писали:

P>Берем Skype, Teams, Slack, GitKraken, Github Desktop, Spotify, Tidal, Qobuz итд итд — все они работают на Виндовс, Макос и линукс. Вы можете себе представить такую кроссплатформенность на WPF? Ан нет — WPF это чисто виндовая технология.


Кроссплатформенность на WPF или WinForms я себе представить не могу. Настоящую кроссплатформенность мог предоставить только стандартный Фортран. Говорят, что и Кобол, но утверждать не буду. Фортран я переносил между ОСями, а Кобол — нет.

Извините, не удержался.

<КСВ on>
Я не слышал, чтобы на Фортране и Коболе кто-то писал для Веб. Значит, Веб не нужен.
<КСВ off>
Re[23]: Веб победил десктоп?
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 09.03.23 13:40
Оценка: :))
Здравствуйте, Privalov, Вы писали:

P><КСВ on>

P>Я не слышал, чтобы на Фортране и Коболе кто-то писал для Веб. Значит, Веб не нужен.
P><КСВ off>

<CreatorCray on>
Я пишу на Фортране, я практик, на моей машине ничего кроме Фортрана нет. Веб — не нужен!!!!!11111111йййййqqqqqкукуку
<CreatorCray off>
Re[20]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 13:43
Оценка:
Здравствуйте, rudzuk, Вы писали:

НС>> По делу я дал Serginio ссылку на RFC и даже цитату оттуда. Кури до появления понимания.

R>Да ты не в rfc тыкай,

Не указывай что мне делать ...

R> а расскажи, о какой безопасно ты ведешь речь


По ссылке все есть.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[22]: Веб победил десктоп?
От: Ночной Смотрящий Россия  
Дата: 09.03.23 13:50
Оценка: +1
Здравствуйте, Serginio1, Вы писали:

НС>>Поздравляю. Тогда с чем ты вообще споришь?

S>Я не спорил, а спрашивал.

Вот это ты тоже так спрашивал, да?

Хотя опять же можно форму запросить и не показывать пользователю, а передать данные из нативной формы. Это просто лень некоторых товарищей


S> Суть так или иначе лежит на апи. Там для получения токенов можно использовать суперсложные схемы как открытые закрытые ключи, так и доверенные сервисы итд.

S> Но вот им уже лень.

Кому им?

S>Используют браузер плюс код подтверждения по почте или на телефон.


Чувак, еще раз — иди и внимательно почитай, причины почему нужно использовать системный браузер по ссылке подробно описаны, нужды насасывать из пальца левые мотивы нет.

S> Конечно можно через тот же селениум сделать


Нельзя.

S>Ну и если токен постоянно использовать, то он и не протухает.


Нет. Во всех известных мне приличных IdP даже если sliding expiration поддерживается, absolute expiration имеет приоритет, и бесконечное время жизни access token на проде это шиза. Это означает что рано или поздно и access token и refresh token протухнут.

S>Вернее при протухшем токене, можно запросить новый по старому.


Только пока refresh token не протух. Он, конечно, обычно месяца три живет и "эксперты по безопасности" про это забывают. Но не суть. Разговор про токены начинался с того факта, что без браузера SSO по нормальному не сделать, и refresh token тебе таки придется через браузер получить.
... << RSDN@Home 1.3.17 alpha 5 rev. 62>>
Re[24]: Веб победил десктоп?
От: Privalov  
Дата: 09.03.23 13:55
Оценка: +1 :)
Здравствуйте, Pauel, Вы писали:

P><CreatorCray on>

P>Я пишу на Фортране, я практик, на моей машине ничего кроме Фортрана нет. Веб — не нужен!!!!!11111111йййййqqqqqкукуку
P><CreatorCray off>

Могу продолжить: у меня на машине Фортрана нет, но и без него я не пишу для Веба. Значит, Веб не нужен! 11111111
Re[25]: Веб победил десктоп?
От: Pauel Беларусь http://blogs.rsdn.org/ikemefula
Дата: 09.03.23 14:00
Оценка:
Здравствуйте, Privalov, Вы писали:

P>><CreatorCray on>

P>>Я пишу на Фортране, я практик, на моей машине ничего кроме Фортрана нет. Веб — не нужен!!!!!11111111йййййqqqqqкукуку
P>><CreatorCray off>

P>Могу продолжить: у меня на машине Фортрана нет, но и без него я не пишу для Веба. Значит, Веб не нужен! 11111111


Это уже не Cray а kolesiki/baiker
Re[26]: Веб победил десктоп?
От: Privalov  
Дата: 09.03.23 14:02
Оценка:
Здравствуйте, Pauel, Вы писали:

P>Это уже не Cray а kolesiki/baiker


А вдруг это я собственное мнение высказал? Тем более, что я действительно не пишу для Веба.
Re[23]: Веб победил десктоп?
От: Serginio1 СССР https://habrahabr.ru/users/serginio1/topics/
Дата: 09.03.23 14:06
Оценка:
Здравствуйте, Ночной Смотрящий, Вы писали:

НС>>>Поздравляю. Тогда с чем ты вообще споришь?

S>>Я не спорил, а спрашивал.

НС>Вот это ты тоже так спрашивал, да?

НС>

НС>Хотя опять же можно форму запросить и не показывать пользователю, а передать данные из нативной формы. Это просто лень некоторых товарищей


Для тестов и собственных разработок вполне себе приемлемый способ!

S>> Суть так или иначе лежит на апи. Там для получения токенов можно использовать суперсложные схемы как открытые закрытые ключи, так и доверенные сервисы итд.

S>> Но вот им уже лень.

НС>Кому им?


S>>Используют браузер плюс код подтверждения по почте или на телефон.


НС>Чувак, еще раз — иди и внимательно почитай, причины почему нужно использовать системный браузер по ссылке подробно описаны, нужды насасывать из пальца левые мотивы нет.

Читал. Какой большой толк от использования апи?
Если есть данные для авторизации, то нахрен этот браузер.

С открытым и закрытым ключем. Кучу всего сделать. Вспоминаем основы криптографии про Алису и Боба
Можно тот же токен отправлять на доверенный адрес. Тогда уж даже имея логин пароль токен взломщику не получить!

S>> Конечно можно через тот же селениум сделать


НС>Нельзя.

Можно. Примеры тебе уже приводил. В том числе при высылке кода подтверждения по СМС или на почту.
Проблема только в том, что страница авторизации может меняться.
Понятно, что такое применять можно только для тестов. Но можно.

S>>Ну и если токен постоянно использовать, то он и не протухает.


НС>Нет. Во всех известных мне приличных IdP даже если sliding expiration поддерживается, absolute expiration имеет приоритет, и бесконечное время жизни access token на проде это шиза. Это означает что рано или поздно и access token и refresh token протухнут.


S>>Вернее при протухшем токене, можно запросить новый по старому.


НС>Только пока refresh token не протух. Он, конечно, обычно месяца три живет и "эксперты по безопасности" про это забывают. Но не суть. Разговор про токены начинался с того факта, что без браузера SSO по нормальному не сделать, и refresh token тебе таки придется через браузер получить.


Да и хрен с ним! Один раз в 3 месяца это проблема клиента. Может к тому времени и через апи сделают. И вспомнят про Алису с Бобом!
Это проблема с хозяином хоста я так понял не раз подымалась.
и солнце б утром не вставало, когда бы не было меня
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.