Давно себя ловлю на мысли, что производители фильмов могли-бы хорошо подняться, продавая виртуальные лицензии на просмотр фильмов. Например, если кто-то закачал фильм с торрента, он ему понравился, то ему можно просто купить эту виртуальную лицензию и владеть цифровой копией фильма для просмотра дома вполне законно.
Мне интересно, а почему с оплатой ключа не сделали стандартный вариант — что-бы оплата шла тому майнеру, который подтверждает блок с данным ключем? Мне кажется, это было-бы логично. Разве нет?
> Пока антирадары и радар-детекторы у нас не запрещены
Радар-детекторы у нас действительно НЕ запрещены. А вот на счет антирадаров в виде глушилок совсем не уверен. Мне кажется я видел про запрет антирадаров в нашем законодательстве. Пруф привести не могу — чисто субъективные воспоминания.
— После установки приложения происходит процесс его инициализации, заключающийся в формировании пары RSA ключей. Делается один раз после установки приложения;
— При необходимости привязки к какому-либо сайту, нужно перейти на соответствующую страницу сайта, где сформируется QR-код c URL сайта и одноразовым кодом;
— При сканировании этого кода, приложение получает одноразовый код, его подписывает и отправляет на URL из QR-кода вместе с открытой частью RSA ключа;
Логика последнего этапа (регистрация на сайте) возможена в двух вариантах — либо регистрация только через QR-код, либо привязка публичного ключа к уже имеющемуся обычному аккаунту на сайте. В первом случае, приложение будет единственным способом авторизации на сайте и заполнять все остальные данные с никами, именами, емэйлами и т.д. надо будет дальше в процедуре регистрации (если это, конечно, нужно). Во втором случае публичный ключ просто привязывается к обычному логину и можно требовать от пользователя подтверждения каких-то действий через приложение. Либо сделать альтернативный вариант логина через сканирование QR-кода вместо вода логина и пароля.
Мой способ подразумевает только наличие устройства и приложения. Привязка производиться отдельным одноразовым действием типа «сосканировал QR-код» и продолжить.
Нет, естественно, все что секретного храниться в приложении, храниться зашифрованным и ничего из этого по сети не передается. Но для хорошего вируса это не проблема, по идее.
Это приложение общего назначения — подписание данных ключем RSA. Секретный ключ храниться внутри в зашифрованном виде. Наружу уходят только подписи «документов». Как раз логин можно реализовать через подписание «документа» с одноразовым кодом (вводить пользователю в приложение ничего не надо — сосканировал QR-код, увидел что одноразовый код в документе совпадает с тем, что на экране и нажал «Подписать»).
Опять-же, вы описываете умозрительную относительно редкую ситуацию в которой Sign Doc проигрывает, а ваш аутентификатор выигрывает. Но, я думаю, можно придумать столько-же умозрительных ситуаций с противоположным исходом. Так зачем нам тут «меряться пиписками»? И у вас и у меня есть приложения, которые можно применить для определенной цели. Со своими достоинствами и недостатками. Я не отрицаю того, что в определенной ситуации Sign Doc может не сработать. И что-же с того?
На счет сброса вы верно подметили. При стирании данных приложения, привязка к аккаунту на сайте потеряется. В такой ситуации имеет смысл воспользоваться стандартными средствами восстановления доступа.
> как тогда защититься если кто-то ломанет почту и установит себе прогу на телефон?
А как защититься если на смартфоне у вас вирус, который будет использовать данные вашего аутентификатора? Ситуация абсурдная, т.к. не предполагает возможности как-то от нее защитится на уровне приложения. Так что и обсуждать ее не имеет смысла.
1. Легко. Но это уже дело сайта организовать проверку статуса через JS;
2. Естественно, этот вариант применим только если на телефоне есть интернет (хотя найти сейчас такой без интернета, мне кажется, будет довольно сложно). Думаю, в приложении-аутентификаторе есть свои недостатки. Это уже тому, кто будет прикручивать их использование решать что выбрать. :)
Вообще-то уже есть отличное приложение для того, что-бы организовать логин без пароля — GPLVote Sign Doc. Хотя оно и создано нашим проектом, но разрабатывалось как универсальное приложение. Весь процесс логина без пароля состоит из сканирования QR-кода и нажатия на кнопку «Войти». При этом, особенность системы такова, что если кто-то «из-за плеча» сосканирует этот код своим телефоном, они ничего не получит — просто вы после нажатия на «Войти» попадете в его аккаунт, а не в свой. :)
Само приложение сейчас доступно для Android в Play Market (версия для iOS в разработке). Оно абсолютно бесплатно и с открытыми исходными кодами. Об API и способе использования можно почитать вот тут.
К сожалению, у меня пока не хватает времени что-бы прикрутить этот способ на работающий сайт, но такие планы есть. Поиграться с приложением можно на тестовом сайте.
Есть вот такой вопрос — я так понял по тексту что информация может исчезать из сети? Есть-ли способ как-то обеспечить ее надежное присутствие в сети freenet?
Радар-детекторы у нас действительно НЕ запрещены. А вот на счет антирадаров в виде глушилок совсем не уверен. Мне кажется я видел про запрет антирадаров в нашем законодательстве. Пруф привести не могу — чисто субъективные воспоминания.
— При необходимости привязки к какому-либо сайту, нужно перейти на соответствующую страницу сайта, где сформируется QR-код c URL сайта и одноразовым кодом;
— При сканировании этого кода, приложение получает одноразовый код, его подписывает и отправляет на URL из QR-кода вместе с открытой частью RSA ключа;
Логика последнего этапа (регистрация на сайте) возможена в двух вариантах — либо регистрация только через QR-код, либо привязка публичного ключа к уже имеющемуся обычному аккаунту на сайте. В первом случае, приложение будет единственным способом авторизации на сайте и заполнять все остальные данные с никами, именами, емэйлами и т.д. надо будет дальше в процедуре регистрации (если это, конечно, нужно). Во втором случае публичный ключ просто привязывается к обычному логину и можно требовать от пользователя подтверждения каких-то действий через приложение. Либо сделать альтернативный вариант логина через сканирование QR-кода вместо вода логина и пароля.
Это приложение общего назначения — подписание данных ключем RSA. Секретный ключ храниться внутри в зашифрованном виде. Наружу уходят только подписи «документов». Как раз логин можно реализовать через подписание «документа» с одноразовым кодом (вводить пользователю в приложение ничего не надо — сосканировал QR-код, увидел что одноразовый код в документе совпадает с тем, что на экране и нажал «Подписать»).
На счет сброса вы верно подметили. При стирании данных приложения, привязка к аккаунту на сайте потеряется. В такой ситуации имеет смысл воспользоваться стандартными средствами восстановления доступа.
> как тогда защититься если кто-то ломанет почту и установит себе прогу на телефон?
А как защититься если на смартфоне у вас вирус, который будет использовать данные вашего аутентификатора? Ситуация абсурдная, т.к. не предполагает возможности как-то от нее защитится на уровне приложения. Так что и обсуждать ее не имеет смысла.
2. Естественно, этот вариант применим только если на телефоне есть интернет (хотя найти сейчас такой без интернета, мне кажется, будет довольно сложно). Думаю, в приложении-аутентификаторе есть свои недостатки. Это уже тому, кто будет прикручивать их использование решать что выбрать. :)
Само приложение сейчас доступно для Android в Play Market (версия для iOS в разработке). Оно абсолютно бесплатно и с открытыми исходными кодами. Об API и способе использования можно почитать вот тут.
К сожалению, у меня пока не хватает времени что-бы прикрутить этот способ на работающий сайт, но такие планы есть. Поиграться с приложением можно на тестовом сайте.
Под термином «сервер» в статье имеется ввиду сервер на телефоне?
Есть вот такой вопрос — я так понял по тексту что информация может исчезать из сети? Есть-ли способ как-то обеспечить ее надежное присутствие в сети freenet?