Pull to refresh
4
1

Java программист

Send message

Люди перестают воспроизводиться когда им это не выгодно.

У меня есть давнее подозрение, что участие во всем этом разума и подсчета выгодности - сильно преувеличено и здоровенную роль играют совершенно биологические механизмы.

Условно: встретил организм в детском возрасте не 10 вариантов вирусов "простуды обыкновенной", а 100. Потому что город, общественный транспорт, закрытый класс с толпой народа (это, кстати - еще и ту самую корреляцию с образованностью дает) - иммунитет немного озверел и самую малость погрыз клетки, что вырабатывают гормоны, регулирующие поведение. И готово - человек чуть менее склонен завязывать отношение, ему меньше хочется преодолевать трудности и т.д. и т.п.

Ни или еще как-то но с другим триггером, завязанным на "плотность населения". Плоть до "организм чувствует носом в общественном транспорте, что нас слишком много.

И такой механизм регулирования численность вполне может существовать - потому что вполне хватает видов, у который оно работает не только на основе "дохнем, если нас настолько много, что еды перестало хватать".

(после небольшого гулежа) Они эту фабрику прямо называют "темной", т.е. не требующей освещения. Вот рекламные материалы это и подчеркивают.

должен быть, как минимум, 1 номер телефона, который опсос не может отобрать и передать другому человеку ни при каких обстоятельствах.

Нельзя. Потому что если сделать - то на такой номер завяжут еще больше. Вроде 'ну вам же повестку в суд на этот телефон SMS-кой послали. Ах, телефон выключен был? Сожалеем, но по правилам считается, что вы были оповещены.'

Хочу купить игру своему 14-15-летнему ребёнку

Идешь на ютуб и смотришь как в игру играют. А на маркировку можно вообще не смотреть.

Тут принципиален момент: их всего несколько десятков потому что больше не получается обучить

Потому что не получается. Видно же, что система образования в значительной степени учит тому, что потом человек не использует. С чудовищным расходов ресурсов да потом еще обучаемые/работодатели недовольно.

Так вот это делают - чтобы найти тех самых 10 человек. По другому просто не умеем.

Если Вы пролюбите мастер пароль к менеджеру паролей или сам менеджер, то куку всем вашим паролям.

Эм. Так в случае использования генератора - точно так же ведь?

Если злодей знает мастер-пароль, имеет в руках базу - то генерирует все пароли, что так 'хранятся'.

Или такое. Там "The generation of passwords is based on the combination of the key deviation function PBKDF2 and the hash algorithm BCrypt."

Вот только - если все равно приложением пользоваться, то обычный парольный менеджер ничуть не хуже. Точно так же есть некая база с параметрами, если мастер-пароль. И телодвижения при входе на сайт совершенно идентичны.

Как пример берем домен+логин и разбавляем какими нибудь еще данными

...потом применяется какой-то хитрый самопальный алгоритм и получаем то, что используется в качестве пароля.

А PBKDF2 упомянут как нормальный вариант этого самопального алгоритма, который к тем же домен+логин+какие-то еще данные применяется.

Либо в голове не пароль, а алгоритм его генерации.

PBKDF2 и его смысловые эквиваленты очень плохо в голове вычисляются. А все что проще - видимо, несколько недостаточно. Иначе бы этот самый PBKDF2 не нужно было придумывать.

Проблема возникает тогда, когда надо перевести эфемеридное время в обычное, которым на Земле пользуются.

Переводить астрономическое время в гражданское нужно приблизительно только астрономам же? Которые этим и так вроде бы занимаются постоянно. И наличие високосных секунд в гражданском времени только головной боли в эти переводы добавлять должно.

Это решение связанное с продвижением Passkeys именно резидентных ключей с организацией дополнительно синхронизации в хранилищах ключей, всё для того, чтобы упростить жизнь пользователей.

С этим вопросом товарищи как-то не определились, кажется. Тот же гугл, судя по тому, что я видел - склонен создавать отельный для своей учетки passkey на каждом устройстве. Потому что 'отозвать доступ этого устройства к учетной записи' - так выполняется ловчее. А когда один ключик на всех устройствах используется - придется мудрить.

 но caBLE форсируется

А как соответствующая рекомендация гуглится? Или это тихое коллективное решение вендоров?

Всё же это несколько иное, отношения к сайту ровно ни какого.

Владелец сайта перестанет так думать, когда вход в него отвалится из за отсутствия связи с этим релеем - вопросы к нему посыплются.

По USB, возможно это будет реализовано, возможно нет, однозначно связано с режимом работы и протоколом по USB, не просто так ведь есть выбор зарядка, передача файлов, midi, etc.

Неубедительно как-то. Ну ладно, не хотим шнурок или не можем проводом - ну так все равно же Bluetooth используется - почему бы по нему всю нужную информацию не передать?

Опять таки к сайту релеи не имеют никакого отношения и вообще глобально, что приложения, что сайты даже не в курсе того, что есть какие-то посредники

Я все-таки буду настаивать. Если вход в сайт ломается без какого-то сервера, то этот сервер - часть сайта, пусть и отданная на оутсорс какой-то третей стороне.

Что, впрочем, не отменяет основного вопроса - почему хардварный USB ключ может авторизовать меня без интернета, а аутентификатор в смарфоне - нет? Какая, вообще, логика в том, что нужно стучаться в какой-то релей в интернете, если ключики они вот тут, прямо на устройстве, вроде бы, лежат?

Есть, конечно, альтернативный путь — перед каждым посещением новой страны находить нейтива

Просить у него справочник имен, выбирать, какое понравилось и использовать его, пока находишься в этой стране.

А та бюрократия, которая настаивает, что оно должно хоть сколько-то походить на имя в родной стране - попадает под какой-то то там пункт из "Falsehoods Programmers Believe About Names"

(пусть и на стороне аутентификатора) с самим же чипом общение идёт по ctap на hid. У юбиков ну никак нет интернета.

Вот именно. И них - есть оффлайн по очевидным причинам. А для смарфонов - интернет почему-то понадобился.

Вопрос стоит так. Вот этот протокол для втыкаемых в USB железок есть? Есть. Работает? Работает.

Но какие-то соображения мешают смартфону работать по тому же самому протоколу по тому же самому USB. Чего я слегка не понимаю.

Т.е. у Google (Chrome, Android, Play Services) это cable.ua5v.com и им владеет Google. У Apple это cable.auth.com.

Это у них развесистая экосистема. Просто для одиночного сайта можно считать, что соответствующий сервер аутентификации - это часть сайта.

Ну, во первых ничего сложного там нет ;)

Я вот уверен, что 100% населения земли разницы между какими-нибудь звуками этого алфавита просто не услышит.

Ну это не совсем так, на сайт ничего не лезет от слова совсем

При использовании QR-лезет. Вот описание.

Scanning the QR code triggers the users second device (e.g. smartphone or tablet) to interpret the FIDO URI and communicate with the authentication server, sending a signal that the user is attempting to authenticate via a new device (e.g. the friends laptop).

И ниже

No Bluetooth, Pure Internet: It is important to note that in this QR code-based passkey cross-platform authentication (hybrid transport), Bluetooth is not involved in the authentication and data exchange. This process relies entirely on an Internet connection for the transmission of encrypted data between the devices and the server.

Сам QR это по сути хендшейк на соединение по ctap.

Вот, к сожалению, нет.

Вот когда железку в порт втыкаем - там от воткнутой железки интернета не хотят, но смартфон таким образом использовать нельзя.

Используйте смартфон

Там, к сожалению, все на браузер в этом смартфоне завязали. И на связь с интернетом. И на наличие Bluetooth на десктопе. Иметь приложение и использовать какой-нибудь мелкий смарт, чтобы логинится на десктопе - нельзя. После чтения QR оно (да устройство, что QR прочитало) запускает хром или сафари, через интернет на сайт лезет, чтобы хандшейк сделать и посредством bluetooth проверяет, что я рядом нахожусь. Причем только для этого, а не для того, чтобы все то, для чего интернет понадобился, сделать.

Если бы этот смарфон можно было по USB подключить и он работал в качестве того самого хардварного токена и в оффлайне - было бы хорошо. Но оно так не умеет.

Потенциальная проблема с аппаратными токенами - как их использовать если токен рассчитан под круглую дырку а на устройстве - квадратная?

Стандартизировать токены а потом - дырки. Или наоборот. И настойчиво внедрять, чтобы все начали это все поддерживать.

<rant mode>

Вот не судьба было Микрософту еще -дцать лет назад потребовать, что если клавиатура хочет иметь иконку "Windows compatible" - то она должна иметь ридер смарт-карт? А сейчас - уже и NFC ридер неплохо бы требовать.

Наверняка бы уже от паролей избавились, а пользовались для авторизации карточками.

Information

Rating
1,369-th
Location
Россия
Date of birth
Registered
Activity