Pull to refresh
  • by relevance
  • by date
  • by rating

Совместный митап Х5 Group и Слёрм по Keycloak. Предварительная запись

Southbridge corporate blogX5 Retail Group corporate blogInformation SecurityIT InfrastructureDatabase Administration
Почему мы решили провести такой митап: во-первых, популярность технологии набирает обороты, это видно по трендам запросов и по частоте упоминаний; во-вторых, растет число компаний, которые в требованиях указывают знание и опыт работы с Keycloak.

Далее передаем слово нашему спикеру Виктору Попову, (многие его знают по интенсиву по Docker), он не понаслышке знаком с Keycloak, работает в компании Х5 Технологии и видел некое дерьмо может кое-что рассказать.


Читать дальше →
Total votes 13: ↑12 and ↓1+11
Views833
Comments 0

rss feed требующий авторизации

Lumber room
Я вот тут наконец-то достиг того момента в жизни, когда читать кучу разных лент стало просто не выносимо, а главное, неудобно…
Таким образом, я осознал потребность в освоении какого-то ридера, и, конечно, первым местом куда я пошёл стал google reader. Однако, после некоторого раздумья, и, соответствующей проверки выяснилось, что гугл не поддерживает фидов, которые требуют аутентикации. (кстати проголосовать за эту фичу можно вот тут)

Подскажите, каким онлайн сервисом лучше всего пользоваться. Или, если это конечно не мега сложно (хотя и линки сгодятся) — как мне самому себе настроить такой ридер… *(хотя сервис сейчас подойдёт больше :)

Спасибо
Total votes 4: ↑2 and ↓20
Views288
Comments 6

OAuth тихо подкрался ко всем Google Data API

IT-companies

Сегодня, одна из серьезнейших проблем для разработчиков mashup-приложений — это отсутствие стандартизации в аутентификации и авторизации для открытых API. Так что можно считать, сегодня Google вновь показывает всем тот тренд, который будет определять как минимум близлежащее будущее, а именно тихонько добавил поддержку OAuth для Google Data APIs

Это наш первый шаг в данном направлении. Имейте в виду, что это альфа-релиз, и мы можем внести изменения в протокол до выхода официального релиза.


Это знаменательное событие, так как с данного момента уже два монстра поддерживают OAuth: в начале этого года, Yahoo Fire Eagle API также объявила о комплексной поддержке OAuth.

Есть определенные нюансы, но это уже рабочие моменты, важен сам факт принятия Google данного стандарта идентификации.

via SocialTrend
Total votes 17: ↑16 and ↓1+15
Views587
Comments 5

OpenID запустил мобильный аутентификатор CallVerifID

Lumber room
MyOpenID запустил дополнительную возможность аутентификации пользователей с помощью телефона. Новый способ проверки подлинности называется CallVerifID и в ближайшем будущем может заменить используемые на данный момент токены, смарт-карты и сертификаты. CallVerifID использует сервис PhoneFactor — признанного лидера в организации безопасности и проверки подлинности с помощью телефона.



Базовый принцип работы сервиса CallVerifID индетичен работе любого провайдера OpenID и может работать с любыми провайдерами OpenID. Уровень безопасности myOpenID итак находится на высоком уровне, так как всегда запускается в безопасном режиме SSL.
Читать дальше →
Total votes 11: ↑10 and ↓1+9
Views207
Comments 2

Zend_Mail отправка писем через SMTP с аутентификацией

Zend Framework
Переделывал както один сайтик за горе-создателями и потребовалось мне отправлять почту через SMTP c аутентификацией.

Смотрим в руководство на сайте зенда http://framework.zend.com/manual/ru/zend.mail.smtp-authentication.html
и видим: "… на данный момент SMTP-аутентификация не поддерживается" :(

Что же делать?
Читать дальше →
Total votes 13: ↑8 and ↓5+3
Views6.5K
Comments 5

Двойная Аутидентификация

Lumber room
По работе мне часто приходится работать с компьютерами, которые находятся в домене, отличном от домена моей рабочей машины.
Такое часто случается, когда нужно подключиться с домашней или рабочей машины к TFS, VSS, расшаренной папке или подобному сервису, находящемуся в другой корпоративной сети, например сети клиента.

Каждый, кто сталкивался с подобной задачей, знает — приходится постоянно вводить логин/пароль, при каждой установке соединения, на каждый отдельно взятый сервис.
image
Не проблема, когда это нужно сделать пару раз, но когда с этим работаешь постоянно — ручной ввод паролей начинает порядком надоедать.

К счастью, есть простое решение
Total votes 17: ↑7 and ↓10-3
Views214
Comments 14

Зверинец аккаунтов гугла

Lumber room
В общем, не сказать чтобы мне есть на что жаловаться в Гугле. Целиком и полностью функционал мне нравится.
Единственное, чего я так и не могу допетрить: ну чего они так тянут со слиянием аккаунтов?

Восхитившись идеей Google Apps, я прикрутил почту к двум свои доменам. И теперь для каждого у меня отдельный логин и пароль. Кроме того, у меня есть учетка и gmail.com.

Почему нельзя настроить доступ через один аккаунт ко всем подчиненным доменам, черт возьми? Система аутентификаций-то одна! А те могут быть лишь синонимами.
Total votes 15: ↑12 and ↓3+9
Views163
Comments 14

Code Signing в Windows, просто и недорого

Website development
Tutorial
Хотел бы рассказать тут о такой важной особенности разработки под Windows как Code Signing. А ведь многие достаточно серьёзные разработчики до сих пор ей не пользуются, и очень зря. Помимо того что при запуске вашего неподписанного приложения появляется противная красная иконка с крестом и неприятным текстом:
«Этот файл не имеет цифровой подписи которая может подтвердить производителя. Вы должны запускать программы только от производителей которым доверяете.»
Это ещё и пропуск на корпоративный рынок.
Читать дальше →
Total votes 50: ↑42 and ↓8+34
Views39K
Comments 86

SRP-6: аутентификация без передачи пароля

Information Security
Tutorial
Как и было обещано в соседней теме, где рассказывался велосипед, выкладываю описание алгоритма SRP RFC2945 — способе регистрации и аутентификации пользователей безопасным образом по небезопасному каналу. Вот только в процессе подготовки статьи я обнаружил более свежую версию протокола, SRP-6, вместе с реализацией, в связи с чем решил выбросить свои архаичные наработки по SRP-3, и просто дать ссылки на имплементацию новой версии.
Читать дальше →
Total votes 48: ↑47 and ↓1+46
Views26K
Comments 28

Postsharp: авторизация и аутентификация

.NET
Translation
Одно из самых востребованных применений аспектно-ориентированного программирования это вынос обслуживающего инфраструктурного кода, который часто повторяется в системе, в отдельный класс. Что в свою очередь является проявленем принципа единой ответственности (SRP — Single Responsibility Principle). Очень часто задачи авторизации и аутентификации разбросаны по всему коду проверяя права доступа пользователя. Следствием этого является большая трудоемкость изменений в этой немаловажной части логики, а так же ее общая проверка. Принцип единой ответственности говорит о том, что должна быть только одна причина для изменения класса, так что все что относится к авторизации и аутентификации просто просится в отдельные классы.

Основные методы аутентификации обычно не то, что используется по всему приложению. Например в веб приложениях ввод данных для аутентификации и сама аутентификация происходит на одной странице, после чего информация о пользователе хранится в каком-либо токене со сроком годности. Благодаря этому пользователь может автоматически входить в систему в течении срока работы токена. Таким образом единственным кодом, который пронизывает все страницы приложения будет проверка того, что пользователь до сих пор в системе. Конечно, вы можете использовать PostSharp для такой проверки, но это не лучший способ применения, по моему мнению.

Читать дальше →
Total votes 12: ↑9 and ↓3+6
Views1.5K
Comments 0

Symfony2\SecurityBundle

Symfony
Translation
Аутентификация и Авторизация Автор рассказывает об устройстве бандла Security (на мой взгляд, самого трудного в понимании для symfony-новичков) и разбирает пример его применения. Статья будет особенно полезна для тех, кто желает знать, как работает их инструмент: Symfony2 Security в общем и FOSUserBundle в частности — однако не подходит для первого знакомства с фреймворком, поскольку требует знания некоторых из его компонент.
Статья была опубликована 21 марта 2011 года, когда ещё не вышла финальная версия symfony2.0, однако принципы работы бандла не изменились.

Оригинальная статья — «Symfony2 Blog Application Tutorial Part V: Intro to Security» — часть цикла обучающих статей на примере создания блога.
Есть прямое продолжение/дополнение статьи — «Symfony2 Blog Application Tutorial Part V-2: Testing Secure Pages», где даётся пример тестирования «закрытых» частей приложения.


Читать дальше →
Total votes 64: ↑53.5 and ↓10.5+43
Views41K
Comments 18

Аутентификация через PAM в MySQL

MySQL
Sandbox
На Хабре уже писалось, что в MySQL появилась возможность подменять встроенную процедуру аутентификации, загрузив соответствующий плагин. В таком плагине можно реализовать совершенно произвольную политику аутентификации пользователей, полностью уходя от традиционной в MySQL схемы username/password в таблице mysql.user.

А недавно Оракл выпустил PAM authentication plugin. При использовании которого сервер не ищет пароли в mysql.user, а перекладывает задачу аутентификации на PAM, подсистему специально разработанную для решения задач аутентификации в различных приложениях и контекстах, с гибко настраиваемыми правилами и на лету подключаемыми модулями.

К сожалению, у этого плагина есть несколько недостатков. Во-первых, он распространяется только с коммерческой версией MySQL и его исходники закрыты. Во-вторых, он не поддерживает коммуникацию между пользователем и pam-модулем, и единственно возможной остается аутентификация по паролю. Что, как-бы, убивает всю идею.

«А почему-бы...» — подумал я. «Я напишу свой pam-плагин, с блэкджеком и шлюхами!»
Читать дальше →
Total votes 33: ↑33 and ↓0+33
Views4.4K
Comments 13

Одновременная межсайтовая аутентификация без велосипеда

Website development
Одновременная межсайтовая аутентификация (SSO), для чего же она нужна? Допустим у нас есть, назовём его анахроничным термином «портал», с блогами, фотками, фейлами (или файлами, кому как), назовём его fail.ru (не путать с одноимённым сервисом почты на букву М), причём всё это усложнено следующими факторами:
— функционал совершенно разный;
— код написан разными людьми, с испольованием разных технологий;
— работает всё это на разных серверах в разных датацентрах и с разными базами данных;
— сервера находятся на разных доменах.

И вот у такого Кощея нам нужно будет сломать яйцо и дать пользователю возможность зайти только один раз, а потом заходить на все дружественные ресурсы не подтвеждая свою личность ещё раз.

Об этом уже достаточно много писали, причём и код в том числе. Но мы не пойдём по проторенной дороге велосипедостроения, а как настоящие инженеры возьмём готовые наработки и используем их. Способ прост, и подходит даже для такой сложной ситуации.

Далее мы рассмотрим самописные альтернативы, OpenID, OAuth, SAML, и почему всё это в общем случае не слишком хорошее решение, вопросы хранения аутенитификационных данных, а также некоторые вопросы безопасности в которые без хороших знаний самому лезть не стоит, что такое вообще межсайтовая аутентификация, развеем некоторые мифы.
Шок, ужас, потрясение
Total votes 56: ↑44 and ↓12+32
Views19K
Comments 32

Двухфакторная аутентификация на домашнем серваке — быстро, дёшево, дружелюбно

System administration
Двухфакторная аутентификация — предоставления информации от двух различных типов аутентификации информации [»]

Например, это могут быть последовательно введённые пароль и код, который выдаёт токен с кнопкой. Думаю, многие из вас такие девайсы видели, а кто-то даже их регулярно использует.



Это как если бы на дверь поставили второй замок. Ключ к первому — обычный пароль. Ко второму — действующий в течение 30 секунд одноразовый код. Попасть за дверь можно только если оба ключа окажутся правильными, а не один, как было раньше.

С некоторых пор Google сделала доступной двухфакторную аутентификацию в своих сервисах. Теперь токен переехал в ваш мобильный телефон с Android'ом! iPhone и Blackberry тоже сгодятся в такой роли. Очень удобно. Опробовав на Gmail, мне захотелось такую же штуку сделать у себя, тут-то я внезапно и нашёл libpam-google-authenticator.
Читать дальше →
Total votes 92: ↑89 and ↓3+86
Views15K
Comments 29

Авторизация на сайте через API социальных сетей с интеграцией в Spring Security

Lumber room
Sandbox
Решил реализовать на разрабатываемом портале авторизацию (регистрацию) и идентификацию пользователей с помощью инструмента разработчика социальных сетей (Social Networks REST API) – тематика далеко не новаторская, активно используется и очень удобная в использовании. Как бы перечислять все удобства и преимущества использования на своих сайтах подобного функционала не буду, но замечу, что меня очень устраивает не запоминать пароли для каждого сайта (пусть даже если у меня пара-тройка стандартно используемых), не участвовать в утомительных регистрациях с пересылками писем и подтверждениями, а также лишний раз не сталкиваться с каптчами.
Читать дальше →
Total votes 12: ↑11 and ↓1+10
Views4.7K
Comments 6

Проблемы в корпоративном использовании SAAS

SaaS / S+S
Итак, поддавшись новомодным веяниям, малые и большие компании начинают, кто несмело, кто резво и решительно подписываться на разнообразные сервисы.

Первоначальная эйфория и «Ухты!»-эффект проходят.
И начинаются серые будни ...
Total votes 25: ↑19 and ↓6+13
Views12K
Comments 41

Настройка Cisco ACS 5.3 в связке с Active Directory

CiscoNetwork technologies
Tutorial
Cisco ACS (Access Control Server) — система для централизованной аутентификации, авторизации и аккаутинга пользователей на всякого рода оборудовании, в частности на активном сетевом оборудовании различных производителей.

Имея достаточно небольшой опыт работы системным администратором в крупной компании enterprise сегмента пришёл к выводу, что каждый системный администратор в идеале должен иметь одну учётную запись для авторизации на всех необходимых ему ресурсах: сетевое оборудование, серверы, рабочие станции и т. д. Это связано как с удобством администрирования, так и с безопасностью. В случае увольнения человека можно залочить всего одну учёту в одном хранилище и пропадёт доступ абсолютно ко всему. Но идеальных случаев, как известно, не бывает. В статье мы попробуем приблизиться к идеалу и настроим авторизацию пользователей на активном сетевом оборудовании с использованием учётной записи Active Directory.
Читать дальше →
Total votes 4: ↑4 and ↓0+4
Views41K
Comments 7

Блог на node.js

JavaScriptNode.JS
Вышла ноль пятая версия mvc фреймворка Autodafe для node.js. Код стало писать удобнее, кода теперь писать нужно меньше, ещё меньше. Скоро код писать не надо будет совсем, достаточно будет лишь подумать о нём.

Пример действия контроллера, которое совершает два асинхронных запроса к базе данных, компанует вьюшку index.html и отправляет ее клиенту (при этом отлавливая и обрабатывая все ошибки):

Site.prototype.index = function( response, request ){
  response.send({
    topic : this.models.topic.With( 'author', 'comments.author' ).find_by_pk( request.params.topic_id ),
    news  : this.models.news.find_all()
  });
}


Написаны подробные статьи про тонкости работы с контроллерами, авторизацию пользователей и работу с URL адресами.

И самое главное: переработано и подробно задокументировано демо с блогом. Блог не обладает богатым функционалом, но может служить хорошей отправной точкой для разработки своего приложения.



За хабракатом только комментарии
Total votes 40: ↑33 and ↓7+26
Views12K
Comments 11