AC
Теперь вопрос: чем два токена лучше?
Тем что украв один нельзя вечно по нему ходить
Size: a a a
2019 October 01
AR
ах. ну сделайте тысячу
IG
Послать юзернейм/пароль, получить непротухающую куку. Нормальное готовое решение.
Для банка это не вариант, чтобы кука вечно жила. Забудешь ноут в такси, чел откроет страницу банка и переведет денги.
MG
Хорошо, в каких случаях возможно украсть один, но не второй?
AR
секюрнее же станет, да?
AC
Скажем у нас не кража телефона а man in the middle
MG
Потому что если украли телефон, то украли две куки.
IG
Даже если не переведет, увидит твои финансы и личные данные
AR
Для банка это не вариант, чтобы кука вечно жила. Забудешь ноут в такси, чел откроет страницу банка и переведет денги.
сюрприз, значит твой непротухающий токен тоже должен быть протухающим!
AC
сюрприз, значит твой непротухающий токен тоже должен быть протухающим!
ну, в банках так и есть
MG
То есть эта штука нужна только для не-TLS-соединений, если MitM?
MG
А если соединение TLS, то две куки не нужно?
AC
Там сессия тухнет через 10 минут неактивности
IG
сюрприз, значит твой непротухающий токен тоже должен быть протухающим!
Не понял, с каким утверждением ты споришь. Я и говорил о том, что вечная кука не вариант
AR
Скажем у нас не кража телефона а man in the middle
и что же ему помешает твой непротухающий токен спиздить? типа потому что он "реже"?
AC
и что же ему помешает твой непротухающий токен спиздить? типа потому что он "реже"?
да
AR
Не понял, с каким утверждением ты споришь. Я и говорил о том, что вечная кука не вариант
с тем, что два токена не имеют ничего общего с секьюрити, ничего не несет кроме усложнения системы авторизации, а значит уменьшает ее секюрность
A
@prepor @dottedmag получатся oauth2 нет смысла юзать?
AR
это ерунда. секюрити бай обскюрити
AR
@prepor @dottedmag получатся oauth2 нет смысла юзать?
для авторизации между СВОИМ беком и СВОИМ клиентом смысл исключительно отрицательный