Pull to refresh
  • by relevance
  • by date
  • by rating

Apple заплатила хакеру $100 000 за обнаруженный 0day в системе авторизации «Вход с Apple»

Information SecurityWebsite developmentCryptography


Специалист по безопасности из Дели Бхавук Джайн обнаружил 0day в системе авторизации «Вход с Apple». Уязвимость действительно значительная. Как продемонстрировал хакер, для авторизации в чужой учётной записи достаточно только идентификатора электронной почты жертвы, причём эксплоит очень простой.

Баг может привести к полному захвату чужих аккаунтов на сторонних платформах, которые установили кнопку «Войти с Apple» (Spotify, Dropbox и др.), независимо от того, использует человек электронную почту Apple или нет.
Читать дальше →
Total votes 21: ↑20 and ↓1+19
Views7.9K
Comments 7

Новости Windows Azure: мобильная разработка, мультфакторная аутентификация, MPEG-DASH, JWT, тесты и видео

Microsoft corporate blogWebsite developmentMicrosoft Azure
image

Уважаемые разработчики и ИТ-специалисты интересующиеся темой облачных технологий, разрешите представить вам очередную порцию нововведений и анонсов платформы Windows Azure, которые увидели свет за последние две недели.

Список новостей, обновлений и анонсов платформы Windows Azure в этом обзоре:

  • Анонс крупного обновления Windows Azure для разработчиков бэкенда мобильных приложений;
  • Анонс нового сервиса мультифакторной аутентификации Active Authentication;
  • Результаты тестирования 5 облачных провайдеров предлагающих IaaS-платформу;
  • Поддержка стандарта MPEG-DASH в Windows Azure Media Services;
  • Глобальная доступность JSON Web Token (JWT) Handler;
  • Записи докладов конференций DevCon 2013 и TechEd North America 2013.

Ниже вы найдете более подробное описание этих новостей и анонсов.
описание и новостные видео-обзоры...
Total votes 28: ↑16 and ↓12+4
Views3K
Comments 2

[ПЕРЕВОД] Аутентификация на основе JSON Web Token в Django и AngularJS: часть первая

DjangoAngular
Sandbox
Наиболее распространенным методом аутентификации является аутентификация с использованием cookie файлов. Более современный метод аутентификации основан на использовании JSON Web Token (дословно: вэб маркер в формате JSON) и он быстро набирает популярность. В этой статье мы сосредоточимся на нем.

Что такое JSON Web Token?


На самом деле маркеры довольно просты. Представьте себе маркер как ключ в виде карточки, с помощью которого вы каждый день заходите в офис. Когда вас взяли на работу в компанию, вы подтвердили свою личность (логин), предоставив набор учетных данных, таких как водительские права или номер социального страхования. В обмен на эти данных вам выдали ключ (маркер), который разрешает вам находиться в здании. Если бы вы решили уйти с работы или вас уволили (вышли из системы), компания может просто отключить ключ. Конечно, этот ключ может остаться у вас в кармане, но он не даст вам ничего хорошего.

JSON Web Token – это простой маркер в специальном формате. Пока формат не стандартизован, но многие уже используют одну из его реализаций (JWT).

JWT (произносится как jot) состоит из трех частей:
  • Заголовок
  • Полезная нагрузка
  • Подпись

Давайте рассмотрим каждую из них, прежде чем углубимся в реализацию.
Читать дальше →
Total votes 16: ↑15 and ↓1+14
Views70K
Comments 5

Аутентификация на основе JSON Web Token в Django и AngularJS: часть вторая

DjangoAngular
Translation
В первой части мы рассмотрели, что для формирования JSON Web Token необходимы: сериализаторы и представления.

Теперь мы создадим шаблоны и поработаем над сервисами для аутентификации и получения данных.

Bower, менеджер пакетов для web-приложений


Прежде чем перейдем к коду, давайте установим все необходимые зависимости. Для этого мы будем использовать Bower, он является идеальным инструментом для управления зависимостями web-приложений.

Предполагается что у вас уже установлен Node.js. Для установки bower просто выполните следующую команду:
$ npm install -g bower

Примечание: Возможно понадобятся права администратора.
Для того чтобы изменить каталог по умолчанию, в который bower будет устанавливать пакеты, в корне вашего проекта создайте файл с названием “.bowerrc ” и добавьте в него следующие строки:
{
    "directory": "static/bower_components"
}

Мы указали каталог “static”, чтобы эти компоненты были доступны в Django.
Читать дальше →
Total votes 14: ↑13 and ↓1+12
Views19K
Comments 3

В ногу со временем: Используем JWT в ASP.NET Core

Microsoft corporate blogOpen source.NETASP
В июне 2016 вышел релиз ASP.Net Core 1.0 и теперь, если вас не пугает возраст нового фреймворка, можно аккуратно запустить микросервис в продакшн (все ведь используют микросервисную архитектуру, не так ли?). Для того, чтобы ограничить доступ к вашему микросервису для третьих лиц, необходимо сделать аутентификацию, используя довольно распространенный способ — токены. В статье под катом мы расскажем подробнее о том, как это сделать с помощью JSON Web Token (JWT), а также о плюсах и минусах этого подхода.


Читать дальше →
Total votes 29: ↑27 and ↓2+25
Views33K
Comments 7

Имплементация OpenId Connect в ASP.NET Core при помощи IdentityServer4 и oidc-client

Information SecurityJavaScript.NETC#
Sandbox


Недавно мне потребовалось разобраться, как делается аутентификация на OpenId Connect на ASP.NET Core. Начал с примеров, быстро стало понятно, что чтения спецификации не избежать, затем пришлось уже перейти к чтению исходников и статей разработчиков. В результате возникло желание собрать в одном месте всё, что необходимо для того, чтобы понять, как сделать рабочую реализацию OpenId Connect Implicit Flow на платформе ASP.NET Core, при этом понимая, что Вы делаете.

Читать дальше →
Total votes 13: ↑11 and ↓2+9
Views40K
Comments 39

Атаки на JSON Web Tokens

AlexHost corporate blogInformation SecurityWeb services testing


Содержание:


  • Что такое JWT?
    • Заголовок
    • Полезная нагрузка
    • Подпись
    • Что такое SECRET_KEY?
  • Атаки на JWT:
    • Базовые атаки:
      1. Нет алгоритма
      2. Изменяем алгоритм с RS256 на HS256
      3. Без проверки подписи
      4. Взлом секретного ключа
      5. Использование произвольных файлов для проверки
    • Продвинутые атаки:
      1. SQL-инъекция
      2. Параметр поддельного заголовка
      3. Внедрение заголовка ответа HTTP
      4. Прочие уязвимости

Что такое JSON Web Token?


Веб-токен JSON обычно используется для авторизации в клиент-серверных приложениях. JWT состоит из трех элементов:


  • Заголовок
  • Полезная нагрузка
  • Подпись

Заголовок


Это объект JSON, который представляет собой метаданные токена. Чаще всего состоит из двух полей:


  • Тип токена
  • Алгоритм хэширования

Официальный сайт предлагает два алгоритма хэширования:


  • «HS256»
  • «RS256»
Читать дальше →
Total votes 20: ↑12 and ↓8+4
Views8.7K
Comments 25