MG
"безопаснее" означает, что есть некий ландшафт угроз, и какая-то атака становится при каком-то решении более дорогой. Без этого анализа слово "безопаснее" не имеет смысла.
Size: a a a
2019 October 01
AR
"безопаснее" означает, что есть некий ландшафт угроз, и какая-то атака становится при каком-то решении более дорогой. Без этого анализа слово "безопаснее" не имеет смысла.
плюсик
MP
По какой?
Чтобы можно было из использовать достаточно автономно в средах типа AWS и чтобы можно было довольно дешего "протухать" их.
A
Чтобы можно было из использовать достаточно автономно в средах типа AWS и чтобы можно было довольно дешего "протухать" их.
А микросервисная архитектура своего веба не подходит?
IG
"безопаснее" означает, что есть некий ландшафт угроз, и какая-то атака становится при каком-то решении более дорогой. Без этого анализа слово "безопаснее" не имеет смысла.
ну это жонглирование словами, это раз. А во-вторых, я уже приводил пример -- твой токен украли и хотят в твой банк
AC
Чтобы можно было из использовать достаточно автономно в средах типа AWS и чтобы можно было довольно дешего "протухать" их.
Ну аксес ты не протухнешь никак. Только refresh на auth сервере
IG
А банку пофиг, что ты получил этот токен месяц назад
MG
@igrishaev Я так и не увидел, как крадут один токен, и не крадут при этом другой.
MP
Если у вас auth и вся байда достаточно централизована, что JWT может быть не самым лучшим вариантом.
IG
@igrishaev Я так и не увидел, как крадут один токен, и не крадут при этом другой.
Хотя бы так, что access-token шлют в каждом запросе, а refresh только по таймауту протухания
MG
@igrishaev Я могу на "жонглирование словами" ответить, что разговоры, не включающие эти термины — это "болтовня идиотов, которые ничерта не понимают в безопасности, и которых надо гнать метлой из профессии". Дальше будем по этому поводу перегавкиваться, или вернёмся к техническому обсуждению?
IG
ну просто на мои слова о том, что украдут мне отвечают "нет, не украдут"
A
ну просто на мои слова о том, что украдут мне отвечают "нет, не украдут"
Двойные стандарты
IG
при этом я согласен, что скоре всего не украдут
IG
но ведь лучше этого не допускать, правда?
MG
@igrishaev Но мы же говорим про MitM? Т.е. это state-level actors, которые могут перехватить TLS-соединение (вероятно, сделав DNS rebind или сделав рероутинг через BGP, и подписав сертификат у CA)? В этом случае частота токена обновления неважна.
MG
Кроме того, эта атака тривиально блокируется пиннигом сертификата.
IG
Я лично говорил о том, что ходить на сервер с вечным токеном это стремно
MG
Но кроме gut feeling "стрёмности" нет чёткого описания атакующих и атак? Ну ок.
IG
Но вводить креды на выпуск нового токена это тоже стремно