Как стать автором
Обновить

Комментарии 28

Apple… единый стандарт


Какое прекрасное сочетание взаимоисключающих параграфов…
Компания которая всю свою историю существования плевала на все стандарты, вдруг захотела разработать стандарт. Хмм… чуствую я что это будет повторение истории с micro usb и в последствии с type-c.
Ну, сама идея стандарта довольно здравая.
Не реализуют они, так кто-нибудь другой перехватит

Эээ… вы сейчас серьезно? На счет плевать и стандарты?

НЛО прилетело и опубликовало эту надпись здесь
А вы поищите информацию, насколько «хорошо» были реализованы веб стандарты в сафари. Или например когда эпл вместе с остальными производителями договорились сделать универсальную зарядку, все перешли на micro usb, а эпл плевать хотела и сделала лайтинг. Причем запатентовала способ вставки лайтинга и из-за этого постарадал type-c, а теперь сама же переходит на этот type-c. Ирония судьбы однако.
Мы тут не кабели сравниваем, я вам наглядный пример привел. Ты уже либо гни свою линию выдумывай кабели и мучай пользователя, либо договаривайся и делай как все, но не надо договариваться, а потом забивать и делать свое. И так у эпл во всем. Особенно порадовали ссд с проприетарным разьемом в последних макбуках…
Нет бы предлагать отказатсья от этого порочного и потенциально опасного фактора авторизации, но нет — давайте стандартизируем!

Ну всё правильно.
Чтобы ваш айфон не беспокоил вас разными смс из Сбербанк.Онлайн типа "Вы тут захотели кино в Apple TV купить за 100500 денег. Вы уверены?" — а сам и оплатил.
Сам придумал (Siri) — сам выбрал — сам купил — и сам оплатил.
Оллинклюзив.

А можно не отказываться и не навязывать мне смартфон? Меня сейчас весьма и весьма устраивает старый добрый 5110 для СМСок с кодами, а все эти пуши и весь остальной хлам работающий только там где есть интернет — пусть будут для фанатов.

А OTP работает и вовсе без связи, но нужен смартфон. Хотя может и под J2ME можно использовать.

*TOTP


SMS является одним из OPT. Теоретически для генерации TOTP подойдёт любое электронное устройство с часами и небольшой перезаписываемой памятью.

А я где-то говорил про пуши? Только TOTP, только хардкор.
То есть это предполагается, что я буду из телефона в комп перепечатывать не только циферки, но и еще кучу всякой ерунды?

В данном случае предполагается, что на мобильном устройстве пришедшая SMS с одноразовым паролем будет сама заполнять поле ввода этого пароля, распознав формат SMS-ки.
А на десктопе — как обычно.

Если мак и телефон под одной учеткой то уже сейчас код автоматически вставляется и на десктопе. Функция называется handoff, там много что поддерживается (единый буфер обмена, перекидывание из мобильной программы в десктопную через alt-tab, возможность отвечать на телефонные звонки с компьютера и так далее).

на макоси оно тоже само заполняет

iOS форвардит СМС-сообщения на macOS, поэтому на (яблочном) компьютере это работает так же легко, как на айфоне.

Для того, чтобы мой телефон мог что-то отфорвардить на компьютер, мне сначала надо на телефоне включить интернет. А я этого обычно не делаю.

Насколько я помню, два фактора безопаснее всего работают, когда используются два устройства — по одному для каждого фактора.
А с учётом плановых отказов от смс вообще как-то печально смотрится.

Как указывают в компании, стандартизированные SMS для двухфакторной аутентификации будут передаваться по защищённому каналу, чтобы не допустить их перехвата.

СМС
@
Защищённый канал


Я догадываюсь, что они имеют в виду передачу сообщения от телефона в браузер, но звучит совсем неочевидно.


Такие тренды меня немного пугают: вместо того, чтобы мотивировать пользователей разделять устройства для честной двухфакторной авторизации и следить за тем, что и где вводишь и оплачиваешь, компании хотят проводить авторизацию самостоятельно. Ведь телефоны настолько надёжны, что им всегда можно верить.

Проблема не столько телефонов, сколько безопасности самих сотовых сетей. известны случаи перехвата СМС.
они просто хотят автоматизировать процесс «пришла смс — открыть ее — скопировать код — вернуться в браузер — вставить код» до того, что уже работает на всех их девайсах в большинстве случаев, просто чтоб это работало теперь в 100% случаев, а заодно и другие вендоры чтоб подключились. Плюс они туда хотят добавить сайт, к которому относится эта СМС, для того, чтоб избежать фишинга

А то, как у них это реализовано — реально удобно, мне просто приходит смс и оно мне предлагает воткнуть код оттуда сразу в поле, без «альт-табов» и прочего.
Почему именно через СМС, если существуют программы-аутентификаторы?
Какая-то странная инициатива. Ещё более странно это от эппл слышать

Я так понимаю что сейчас есть проблема — вы можете зайти на фишинговый сайт, ввести там свой пароль от банка, вам придёт смс от реального банка вы ведёте код на поддельном сайте и тем самым успешно сольёте свою учётку мошенникам. От смс в ближайшее время многие сервисы не откажутся (из-за универсальности способа), почему бы его немного не усилить?

В ответ на единый формат кабелей))

Бред какой то, представьте ситуацию. Хакер заходит на сайт, жмёт кнопку двух факторная идентификация, тут же происходит авторизация без участия владельца аккаунта. Злоумышленник без особых усилий получает доступ к данным пользователя.


Звучит конечно тупо, но после того как я как то захотел воспользоваться своим старым ай фоном и не смог из за того что нужно было принять обновленын условия конфедициальности, страница с которыми не хотела загружатся, то я готов поверить что люди которые там работают способны на все в плохом смысле этого слова.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.