Как стать автором
Обновить

Совместный митап Х5 Group и Слёрм по Keycloak. Предварительная запись

Блог компании Southbridge Блог компании X5 Group Информационная безопасность *IT-инфраструктура *Администрирование баз данных *
Почему мы решили провести такой митап: во-первых, популярность технологии набирает обороты, это видно по трендам запросов и по частоте упоминаний; во-вторых, растет число компаний, которые в требованиях указывают знание и опыт работы с Keycloak.

Далее передаем слово нашему спикеру Виктору Попову, (многие его знают по интенсиву по Docker), он не понаслышке знаком с Keycloak, работает в компании Х5 Технологии и видел некое дерьмо может кое-что рассказать.


Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 1.4K
Комментарии 0

rss feed требующий авторизации

Чулан
Я вот тут наконец-то достиг того момента в жизни, когда читать кучу разных лент стало просто не выносимо, а главное, неудобно…
Таким образом, я осознал потребность в освоении какого-то ридера, и, конечно, первым местом куда я пошёл стал google reader. Однако, после некоторого раздумья, и, соответствующей проверки выяснилось, что гугл не поддерживает фидов, которые требуют аутентикации. (кстати проголосовать за эту фичу можно вот тут)

Подскажите, каким онлайн сервисом лучше всего пользоваться. Или, если это конечно не мега сложно (хотя и линки сгодятся) — как мне самому себе настроить такой ридер… *(хотя сервис сейчас подойдёт больше :)

Спасибо
Всего голосов 4: ↑2 и ↓2 0
Просмотры 372
Комментарии 6

OAuth тихо подкрался ко всем Google Data API

IT-компании

Сегодня, одна из серьезнейших проблем для разработчиков mashup-приложений — это отсутствие стандартизации в аутентификации и авторизации для открытых API. Так что можно считать, сегодня Google вновь показывает всем тот тренд, который будет определять как минимум близлежащее будущее, а именно тихонько добавил поддержку OAuth для Google Data APIs

Это наш первый шаг в данном направлении. Имейте в виду, что это альфа-релиз, и мы можем внести изменения в протокол до выхода официального релиза.


Это знаменательное событие, так как с данного момента уже два монстра поддерживают OAuth: в начале этого года, Yahoo Fire Eagle API также объявила о комплексной поддержке OAuth.

Есть определенные нюансы, но это уже рабочие моменты, важен сам факт принятия Google данного стандарта идентификации.

via SocialTrend
Всего голосов 17: ↑16 и ↓1 +15
Просмотры 587
Комментарии 5

OpenID запустил мобильный аутентификатор CallVerifID

Чулан
MyOpenID запустил дополнительную возможность аутентификации пользователей с помощью телефона. Новый способ проверки подлинности называется CallVerifID и в ближайшем будущем может заменить используемые на данный момент токены, смарт-карты и сертификаты. CallVerifID использует сервис PhoneFactor — признанного лидера в организации безопасности и проверки подлинности с помощью телефона.



Базовый принцип работы сервиса CallVerifID индетичен работе любого провайдера OpenID и может работать с любыми провайдерами OpenID. Уровень безопасности myOpenID итак находится на высоком уровне, так как всегда запускается в безопасном режиме SSL.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры 207
Комментарии 2

Zend_Mail отправка писем через SMTP с аутентификацией

Zend Framework *
Переделывал както один сайтик за горе-создателями и потребовалось мне отправлять почту через SMTP c аутентификацией.

Смотрим в руководство на сайте зенда http://framework.zend.com/manual/ru/zend.mail.smtp-authentication.html
и видим: "… на данный момент SMTP-аутентификация не поддерживается" :(

Что же делать?
Читать дальше →
Всего голосов 13: ↑8 и ↓5 +3
Просмотры 6.7K
Комментарии 5

Двойная Аутидентификация

Чулан
По работе мне часто приходится работать с компьютерами, которые находятся в домене, отличном от домена моей рабочей машины.
Такое часто случается, когда нужно подключиться с домашней или рабочей машины к TFS, VSS, расшаренной папке или подобному сервису, находящемуся в другой корпоративной сети, например сети клиента.

Каждый, кто сталкивался с подобной задачей, знает — приходится постоянно вводить логин/пароль, при каждой установке соединения, на каждый отдельно взятый сервис.
image
Не проблема, когда это нужно сделать пару раз, но когда с этим работаешь постоянно — ручной ввод паролей начинает порядком надоедать.

К счастью, есть простое решение
Всего голосов 17: ↑7 и ↓10 -3
Просмотры 226
Комментарии 14

Зверинец аккаунтов гугла

Чулан
В общем, не сказать чтобы мне есть на что жаловаться в Гугле. Целиком и полностью функционал мне нравится.
Единственное, чего я так и не могу допетрить: ну чего они так тянут со слиянием аккаунтов?

Восхитившись идеей Google Apps, я прикрутил почту к двум свои доменам. И теперь для каждого у меня отдельный логин и пароль. Кроме того, у меня есть учетка и gmail.com.

Почему нельзя настроить доступ через один аккаунт ко всем подчиненным доменам, черт возьми? Система аутентификаций-то одна! А те могут быть лишь синонимами.
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 173
Комментарии 14

Межсайтовая авторизация 2

Разработка веб-сайтов *
По итогам поста, сделанного в июле 2009 и продолжительным испытаниям, мы пришли к простой и оптимальной для нас схеме межсайтовой авторизации.
Спешу поделиться с общественностью
Всего голосов 51: ↑41 и ↓10 +31
Просмотры 24K
Комментарии 61

Code Signing в Windows, просто и недорого

Разработка веб-сайтов *
Tutorial
Хотел бы рассказать тут о такой важной особенности разработки под Windows как Code Signing. А ведь многие достаточно серьёзные разработчики до сих пор ей не пользуются, и очень зря. Помимо того что при запуске вашего неподписанного приложения появляется противная красная иконка с крестом и неприятным текстом:
«Этот файл не имеет цифровой подписи которая может подтвердить производителя. Вы должны запускать программы только от производителей которым доверяете.»
Это ещё и пропуск на корпоративный рынок.
Читать дальше →
Всего голосов 50: ↑42 и ↓8 +34
Просмотры 40K
Комментарии 86

SRP-6: аутентификация без передачи пароля

Информационная безопасность *
Tutorial
Как и было обещано в соседней теме, где рассказывался велосипед, выкладываю описание алгоритма SRP RFC2945 — способе регистрации и аутентификации пользователей безопасным образом по небезопасному каналу. Вот только в процессе подготовки статьи я обнаружил более свежую версию протокола, SRP-6, вместе с реализацией, в связи с чем решил выбросить свои архаичные наработки по SRP-3, и просто дать ссылки на имплементацию новой версии.
Читать дальше →
Всего голосов 48: ↑47 и ↓1 +46
Просмотры 29K
Комментарии 28

Postsharp: авторизация и аутентификация

.NET *
Перевод
Одно из самых востребованных применений аспектно-ориентированного программирования это вынос обслуживающего инфраструктурного кода, который часто повторяется в системе, в отдельный класс. Что в свою очередь является проявленем принципа единой ответственности (SRP — Single Responsibility Principle). Очень часто задачи авторизации и аутентификации разбросаны по всему коду проверяя права доступа пользователя. Следствием этого является большая трудоемкость изменений в этой немаловажной части логики, а так же ее общая проверка. Принцип единой ответственности говорит о том, что должна быть только одна причина для изменения класса, так что все что относится к авторизации и аутентификации просто просится в отдельные классы.

Основные методы аутентификации обычно не то, что используется по всему приложению. Например в веб приложениях ввод данных для аутентификации и сама аутентификация происходит на одной странице, после чего информация о пользователе хранится в каком-либо токене со сроком годности. Благодаря этому пользователь может автоматически входить в систему в течении срока работы токена. Таким образом единственным кодом, который пронизывает все страницы приложения будет проверка того, что пользователь до сих пор в системе. Конечно, вы можете использовать PostSharp для такой проверки, но это не лучший способ применения, по моему мнению.

Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 1.5K
Комментарии 0

Symfony2\SecurityBundle

Symfony *
Перевод
Аутентификация и Авторизация Автор рассказывает об устройстве бандла Security (на мой взгляд, самого трудного в понимании для symfony-новичков) и разбирает пример его применения. Статья будет особенно полезна для тех, кто желает знать, как работает их инструмент: Symfony2 Security в общем и FOSUserBundle в частности — однако не подходит для первого знакомства с фреймворком, поскольку требует знания некоторых из его компонент.
Статья была опубликована 21 марта 2011 года, когда ещё не вышла финальная версия symfony2.0, однако принципы работы бандла не изменились.

Оригинальная статья — «Symfony2 Blog Application Tutorial Part V: Intro to Security» — часть цикла обучающих статей на примере создания блога.
Есть прямое продолжение/дополнение статьи — «Symfony2 Blog Application Tutorial Part V-2: Testing Secure Pages», где даётся пример тестирования «закрытых» частей приложения.


Читать дальше →
Всего голосов 64: ↑53.5 и ↓10.5 +43
Просмотры 41K
Комментарии 18

Аутентификация через PAM в MySQL

MySQL *
Из песочницы
На Хабре уже писалось, что в MySQL появилась возможность подменять встроенную процедуру аутентификации, загрузив соответствующий плагин. В таком плагине можно реализовать совершенно произвольную политику аутентификации пользователей, полностью уходя от традиционной в MySQL схемы username/password в таблице mysql.user.

А недавно Оракл выпустил PAM authentication plugin. При использовании которого сервер не ищет пароли в mysql.user, а перекладывает задачу аутентификации на PAM, подсистему специально разработанную для решения задач аутентификации в различных приложениях и контекстах, с гибко настраиваемыми правилами и на лету подключаемыми модулями.

К сожалению, у этого плагина есть несколько недостатков. Во-первых, он распространяется только с коммерческой версией MySQL и его исходники закрыты. Во-вторых, он не поддерживает коммуникацию между пользователем и pam-модулем, и единственно возможной остается аутентификация по паролю. Что, как-бы, убивает всю идею.

«А почему-бы...» — подумал я. «Я напишу свой pam-плагин, с блэкджеком и шлюхами!»
Читать дальше →
Всего голосов 33: ↑33 и ↓0 +33
Просмотры 4.8K
Комментарии 13

Одновременная межсайтовая аутентификация без велосипеда

Разработка веб-сайтов *
Одновременная межсайтовая аутентификация (SSO), для чего же она нужна? Допустим у нас есть, назовём его анахроничным термином «портал», с блогами, фотками, фейлами (или файлами, кому как), назовём его fail.ru (не путать с одноимённым сервисом почты на букву М), причём всё это усложнено следующими факторами:
— функционал совершенно разный;
— код написан разными людьми, с испольованием разных технологий;
— работает всё это на разных серверах в разных датацентрах и с разными базами данных;
— сервера находятся на разных доменах.

И вот у такого Кощея нам нужно будет сломать яйцо и дать пользователю возможность зайти только один раз, а потом заходить на все дружественные ресурсы не подтвеждая свою личность ещё раз.

Об этом уже достаточно много писали, причём и код в том числе. Но мы не пойдём по проторенной дороге велосипедостроения, а как настоящие инженеры возьмём готовые наработки и используем их. Способ прост, и подходит даже для такой сложной ситуации.

Далее мы рассмотрим самописные альтернативы, OpenID, OAuth, SAML, и почему всё это в общем случае не слишком хорошее решение, вопросы хранения аутенитификационных данных, а также некоторые вопросы безопасности в которые без хороших знаний самому лезть не стоит, что такое вообще межсайтовая аутентификация, развеем некоторые мифы.
Шок, ужас, потрясение
Всего голосов 56: ↑44 и ↓12 +32
Просмотры 20K
Комментарии 32

Двухфакторная аутентификация на домашнем серваке — быстро, дёшево, дружелюбно

Системное администрирование *
Двухфакторная аутентификация — предоставления информации от двух различных типов аутентификации информации [»]

Например, это могут быть последовательно введённые пароль и код, который выдаёт токен с кнопкой. Думаю, многие из вас такие девайсы видели, а кто-то даже их регулярно использует.



Это как если бы на дверь поставили второй замок. Ключ к первому — обычный пароль. Ко второму — действующий в течение 30 секунд одноразовый код. Попасть за дверь можно только если оба ключа окажутся правильными, а не один, как было раньше.

С некоторых пор Google сделала доступной двухфакторную аутентификацию в своих сервисах. Теперь токен переехал в ваш мобильный телефон с Android'ом! iPhone и Blackberry тоже сгодятся в такой роли. Очень удобно. Опробовав на Gmail, мне захотелось такую же штуку сделать у себя, тут-то я внезапно и нашёл libpam-google-authenticator.
Читать дальше →
Всего голосов 92: ↑89 и ↓3 +86
Просмотры 15K
Комментарии 29

Авторизация на сайте через API социальных сетей с интеграцией в Spring Security

Чулан
Из песочницы
Решил реализовать на разрабатываемом портале авторизацию (регистрацию) и идентификацию пользователей с помощью инструмента разработчика социальных сетей (Social Networks REST API) – тематика далеко не новаторская, активно используется и очень удобная в использовании. Как бы перечислять все удобства и преимущества использования на своих сайтах подобного функционала не буду, но замечу, что меня очень устраивает не запоминать пароли для каждого сайта (пусть даже если у меня пара-тройка стандартно используемых), не участвовать в утомительных регистрациях с пересылками писем и подтверждениями, а также лишний раз не сталкиваться с каптчами.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 5.5K
Комментарии 6

Проблемы в корпоративном использовании SAAS

SaaS / S+S *
Итак, поддавшись новомодным веяниям, малые и большие компании начинают, кто несмело, кто резво и решительно подписываться на разнообразные сервисы.

Первоначальная эйфория и «Ухты!»-эффект проходят.
И начинаются серые будни ...
Всего голосов 25: ↑19 и ↓6 +13
Просмотры 12K
Комментарии 41

Настройка Cisco ACS 5.3 в связке с Active Directory

Cisco *Сетевые технологии *
Tutorial
Cisco ACS (Access Control Server) — система для централизованной аутентификации, авторизации и аккаутинга пользователей на всякого рода оборудовании, в частности на активном сетевом оборудовании различных производителей.

Имея достаточно небольшой опыт работы системным администратором в крупной компании enterprise сегмента пришёл к выводу, что каждый системный администратор в идеале должен иметь одну учётную запись для авторизации на всех необходимых ему ресурсах: сетевое оборудование, серверы, рабочие станции и т. д. Это связано как с удобством администрирования, так и с безопасностью. В случае увольнения человека можно залочить всего одну учёту в одном хранилище и пропадёт доступ абсолютно ко всему. Но идеальных случаев, как известно, не бывает. В статье мы попробуем приблизиться к идеалу и настроим авторизацию пользователей на активном сетевом оборудовании с использованием учётной записи Active Directory.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 43K
Комментарии 7

Блог на node.js

JavaScript *Node.JS *
Вышла ноль пятая версия mvc фреймворка Autodafe для node.js. Код стало писать удобнее, кода теперь писать нужно меньше, ещё меньше. Скоро код писать не надо будет совсем, достаточно будет лишь подумать о нём.

Пример действия контроллера, которое совершает два асинхронных запроса к базе данных, компанует вьюшку index.html и отправляет ее клиенту (при этом отлавливая и обрабатывая все ошибки):

Site.prototype.index = function( response, request ){
  response.send({
    topic : this.models.topic.With( 'author', 'comments.author' ).find_by_pk( request.params.topic_id ),
    news  : this.models.news.find_all()
  });
}


Написаны подробные статьи про тонкости работы с контроллерами, авторизацию пользователей и работу с URL адресами.

И самое главное: переработано и подробно задокументировано демо с блогом. Блог не обладает богатым функционалом, но может служить хорошей отправной точкой для разработки своего приложения.



За хабракатом только комментарии
Всего голосов 40: ↑33 и ↓7 +26
Просмотры 12K
Комментарии 11