Здравствуйте, Serginio1, Вы писали:
S> Для тестов и собственных разработок вполне себе приемлемый способ!
Зачем тестировать несуществующий сценарий? А для собственных разработок, если уж тебе срать на безопасность, используй ropc или client.
НС>>Чувак, еще раз — иди и внимательно почитай, причины почему нужно использовать системный браузер по ссылке подробно описаны, нужды насасывать из пальца левые мотивы нет. S> Читал. Какой большой толк от использования апи? S>Если есть данные для авторизации, то нахрен этот браузер.
Читал, но не смог понять прочитанное? Ну ок. Дальнейший разговор теряет смысл.
S> Понятно, что такое применять можно только для тестов. Но можно.
Ты опять пытаешься подменить тему.
НС>>Только пока refresh token не протух. Он, конечно, обычно месяца три живет и "эксперты по безопасности" про это забывают. Но не суть. Разговор про токены начинался с того факта, что без браузера SSO по нормальному не сделать, и refresh token тебе таки придется через браузер получить.
S> Да и хрен с ним! Один раз в 3 месяца это проблема клиента.
Здравствуйте, Ночной Смотрящий, Вы писали:
НС> R>Да ты не в rfc тыкай,
НС> Не указывай что мне делать ...
НС> R> а расскажи, о какой безопасно ты ведешь речь
НС> По ссылке все есть.
Здравствуйте, Pauel, Вы писали:
P>А можно подробнее, как можно заработать на переписывании бесплатного калькулятора?
Также, как и на переписывании мессенджера (типа Skype).
Захочет M$ распространить его за пределами Windows, возьмёт и перепишет на Electron. Станет прекрасен как Skype, т.е. не будет ощутимо лагать начиная с Core i5 с 8 Гб оперативки.
S>> Для тестов и собственных разработок вполне себе приемлемый способ!
НС>Зачем тестировать несуществующий сценарий? А для собственных разработок, если уж тебе срать на безопасность, используй ropc или client.
Ты, самое главное, имей в виду что там написано в самом начале в специальной рамке:
Warning
Microsoft recommends you do not use the ROPC flow. In most scenarios, more secure alternatives are available and recommended. This flow requires a very high degree of trust in the application, and carries risks that are not present in other flows. You should only use this flow when other more secure flows aren't viable.
Здравствуйте, rudzuk, Вы писали: R>Да ты не в rfc тыкай, а расскажи, о какой безопасно ты ведешь речь, допуская ситуацию с поддельным окном логина на десктопе. Очень интересно.
Всё элементарно: допустим, я написал мега-приложение, которое помогает произвольному пользователю Альфа-Банка оптимизировать его расходы.
Приложение обещает подключиться к банку под кредами пользователя, вынуть историю транзакций, а потом при помощи Продвинутого ИИ указать пользователю пять простых мер, которые позволят ему на 20-30% сократить ежемесячные расходы.
Пользователь качает приложение, нажимает на кнопку "авторизоваться", после чего приложение показывает ему окно с инпутами логина/пароля.
(Глупый) пользователь вводит туда логин и пароль, после чего обнаруживает обнуление счёта злоумышленниками.
(Пугливый) пользователь не доверяет левому приложению, которое спрашивает у него сокровенное, и выбрасывает приложение на помойку.
Авторизация через браузер позволяет пугливому пользователю наглядно убедиться, что авторизация проходит через альфабанк, и никакие сторонние негодяи не получают его креды; так что MITM-атака невозможна.
При этом процесс авторизации ещё и позволяет бдительному пользователю посмотреть на список разрешений, запрошенных приложением. И, в частности, отсутствие разрешения на выполнение переводов от имени пользователя.
А если пользователь это проморгает, и приложение спишет чужие деньги, то после первого же обращения в саппорт это приложение будет забанено альфа-банком вместе с партнёрским аккаунтом владельцев приложения.
В целом схема понятна?
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
НС>Microsoft recommends you do not use the ROPC flow. In most scenarios, more secure alternatives are available and recommended. This flow requires a very high degree of trust in the application, and carries risks that are not present in other flows. You should only use this flow when other more secure flows aren't viable.
Спасибо я прочитал и буду иметь ввиду для тестирования если поставщик поддерживает. Пока даже один раз в несколько дней не напрягает и через браузер получить.
Еще раз спасибо за предоставленную информацию. За пару дней открыл для себя много нового. Просто по роду занятий приходится всем заниматься. До этого времени меня эта тема не касалась.
Но и удивило отсутствие Алисы и Боба. При этом используется код подтверждения через почту или смс.
То же можно было бы сделать и через АПИ с еще бОльшей секьюрностью.
Причем это проблема не десктопа! Но на него нужно заходить, что бы получить токен!
и солнце б утром не вставало, когда бы не было меня
Здравствуйте, Sinclair, Вы писали:
S>При этом процесс авторизации ещё и позволяет бдительному пользователю посмотреть на список разрешений, запрошенных приложением. И, в частности, отсутствие разрешения на выполнение переводов от имени пользователя. S>А если пользователь это проморгает, и приложение спишет чужие деньги, то после первого же обращения в саппорт это приложение будет забанено альфа-банком вместе с партнёрским аккаунтом владельцев приложения.
А большинство как раз ворует через поддельные сайты. А вот установленные, через магазины как правило более защищены. Ну и вход по отпечатку пальца.
В том числе идет двухфакторная защита, если конечно пугливому пользователю не давать приложению доступ к СМС.
Вот у меня сбербанк. Никаким браузером я не пользуюсь. Что я делаю не так?
и солнце б утром не вставало, когда бы не было меня
Здравствуйте, Sinclair, Вы писали:
S> В целом схема понятна?
В целом я тебя понял. Но это все выглядит притянутым за уши. Что помешает приложению поставить хук на нажатия кнопок/делать скрины и таким образом получить, все что нужно? Что, в конце-концов, помешает приложению пролезть в браузер и поиметь все, что оно хочет. Ответ — ничего. Авторы rfc, кстати, об этом в курсе, но говорят, что они ни при чем. И они правы. Не решает эта схема проблему с наличием зловредного кода на пользовательском устройстве.
Здравствуйте, Serginio1, Вы писали:
S> Но и удивило отсутствие Алисы и Боба. При этом используется код подтверждения через почту или смс. S>То же можно было бы сделать и через АПИ с еще бОльшей секьюрностью. S> Причем это проблема не десктопа! Но на него нужно заходить, что бы получить токен!
Здравствуйте, rudzuk, Вы писали:
R>В целом я тебя понял. Но это все выглядит притянутым за уши. Что помешает приложению поставить хук на нажатия кнопок/делать скрины и таким образом получить, все что нужно?
Здравствуйте, Ночной Смотрящий, Вы писали:
S>> Но и удивило отсутствие Алисы и Боба. При этом используется код подтверждения через почту или смс. S>>То же можно было бы сделать и через АПИ с еще бОльшей секьюрностью. S>> Причем это проблема не десктопа! Но на него нужно заходить, что бы получить токен!
НС>
Ну вот объясни мне зачем для апи браузер?
Почему не хватает открытого закрытого ключа, доверенного сервиса итд, которое может устанавливаться при регистрации?
Зачем лезть в браузер, для получения рефрештокена?
А так клиенту при протухшем рефрештокене, надо лезть в браузер и передавать его в клиент сервиса.
При этом работа сотни пользователей останавливается, а админ который должен достать новый рефрештокен и отправить его на клиента апи где то заболел или еще где.
Бред!
Да сервис конечно сам может такую авторизацию сделать, но почему то не делают!
и солнце б утром не вставало, когда бы не было меня
Здравствуйте, 4058, Вы писали:
P>>А можно подробнее, как можно заработать на переписывании бесплатного калькулятора?
4>Также, как и на переписывании мессенджера (типа Skype).
Скайп работает на хрен знает скольки платформах и приносит деньги, в отличие от бесплатного калькулятора
Здравствуйте, Ночной Смотрящий, Вы писали:
НС> R>В целом я тебя понял. Но это все выглядит притянутым за уши. Что помешает приложению поставить хук на нажатия кнопок/делать скрины и таким образом получить, все что нужно?
НС> Отсутствие прав локального админа, к примеру.
Не помешает. Кейлогить можно и без хука, да и для доступа к профилю браузера привилегии админа не нужны.
Здравствуйте, Sinclair, Вы писали:
S>А вот и подмена тезиса. Только что речь шла о S>
S>Нахрена ему что то вне локальной машины?
S>И вдруг мы перепрыгнули с топологии деплоймента к технологии отображения.
Это ты у икемфулы спроси с какого перепугу он начал рассказывать про сайты когда речь шла про аппу на локальной машине.
S>Ну, ок — калькулятор на электроне, очевидно, прекрасен тем, что предсказуемо себя ведёт и отображается на любой платформе.
И жрёт ресурсов как ни в себя.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Sinclair, Вы писали:
S>Калькулятор S>курсы обмена валют
Я удивлён что ты прогноз погоды туда не притянул.
S>Поэтому калькулятор от гугла неимоверно рулит по сравнению с десктопным калькулятором
При этом по твоей ссылке совсем не калькулятор
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Pauel, Вы писали:
P>Например, ревью — вместо того, что бы отсылать туда-сюда, документ расшаривается на комменирование, и все видят чужие правки и комментарии.
Для collaboration есть сразу ориентированные на подобную работу сайты, типа того же Atlassian Confluence.
P>У офисных приложений ничтожная потребность в локальных ресурсах. Всё это дело уже 17 лет как движется в сторону веб приложений.
Особенно для документов в полгигабайта+ весом, ну очень "хорошо" они работают в угробищных "веб" версиях.
P>Уже не только Гугл, но и Микрософт выкатил веб версию офиса.
И оба лютое глючное говно
P>Из твоего личного примера мы и так знаем, что человек, который пользуется исключительно старьём, ничего, кроме старья не видит.
P>Онлайн офисы это тоже реалии, только ты ими не пользуешься.
Потому что у меня есть нормально работающий (в отличие от) локальный софт.
P> И калькуляторы в виде веб-приложений, тоже реалии, а ты про них ничего не знал всего неделю назад.
Потому что у меня есть нормальный локальный калькулятор.
P>В вебе проекты стартуют каждый день. Но ты этого не видишь, потому что зациклен исключительно не себе.
Потому что мне надо решать мои задачи, и я выбираю под них наиболее оптимальное решение.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Ночной Смотрящий, Вы писали:
НС>Чего вдруг? Device нужен, если на целевом устройстве нет клавиатуры и нормального браузера. НС>А если они есть, то это только лишние заморочки.
Как раз наоборот, минимум заморочек.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Ночной Смотрящий, Вы писали:
НС>Только пока refresh token не протух. Он, конечно, обычно месяца три живет и "эксперты по безопасности" про это забывают.
Гуглотокен для девайса живёт с 2014го и всё никак не протухнет.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
