Тема выпуска: Двухфакторая аутентификация Яндекса
Состав: Umputun, Bobuk, Gray, Ksenks
Гость: ivlad (Владимир Иванов, Яндекс)
00:00 [ 23:08 ] Начало
Обсуждение отключения Крыма от интернета.
Oculus не допустит порно на своих устройствах.
00:05 [ 23:13 ] Яндекс сделал беспарольную двухфакторную аутентификацию
Другие системы двухфакторной аутентификации (2FA): оба кода вводятся с клавиатуры, первый код (пароль) статический и достаточно разовой утечки через снифферы.
Яндекс: оба кода с телефона. Требуется отдельное приложение (сейчас есть для iOS и Android). Вводить пароль не требуется - достаточно с телефона сосканировать QR-код, показанный на странице логина. Либо (нет камеры / интернета) - ввести одноразовый код, сгеренированный приложением на телефоне. Время жизни кода - 30 секунд.
Имя пользователя вводится в телефон один раз при первом запуске приложения. В дальнейшем больше ничего и нигде вводить не надо. Можно завести несколько пользователей.
Имя пользователя вводится в телефон один раз при первом запуске приложения. В дальнейшем больше ничего и нигде вводить не надо. Можно завести несколько пользователей.
На серверной стороне проблематично запретить брутфорс для подбора второго кода: это требует введения глобального Lock между датацентрами - у пользователя может быть много сессий.
Вариант взлома 2FA с 6-значным числом из SMS без брутфорса (требуется контроль над пользовательским компьютером): ждём ввода первых пяти цифр из шести, и до того, как пользователь введёт последнюю цифру, из 10 параллельных сессий отправляются 10 вариантов.
Вариант с отслеживанием нажатий: можно отследить через датчик вибрации на телефоне, если он лежит рядом с клавиатурой / ноутом.
Bobuk: 5 миллионов аккаунтов гугла - собраны сниффингом.
Bobuk и Владимир объясняют, что за два фактора. Владимир объясняет, как пришли к такому решению.
Первоначальный вариант - как у всех (пароль + SMS). Другой вариант - аппаратный токен. Как показал пример Яндекс.Денег - последний не пользуется популярностью.
Решили расширить RFC 6238 - вместо 8 цифр, использовать ещё и буквы.
Объяснение, как работает биометрия на iOS (отпечаток пальца).
Чтобы вводимый текст не утекал через custom-клавиатуры, на iOS при вводе пароля форсируется использование штатной клавиатуры.
Обсуждение безопасности (permission-ов) в андроиде: программы разделены. Если телефон рутованный, то все средства защиты от этого бесполезны. Но, по статистике, похаканный телефон на андроиде - гораздо более редкий случай, чем хакнутая винда.
Umputun: придумали свой велосипед, который сломали на хабре в тот же день, который несовместим с RFC 6238, и требует отдельное приложение для Яндекса, тогда как для десятка сервисов используется другое приложение.
ivlad: считаем, что конструкция в среднем получается надёжней, чем в других местах. Упомянутую ошибку исправили за полтора часа с момента публикации на хабре. Основными угрозами считаем сниффинг и ввод с клавиатуры компьютера. Это текущая "модель угроз", и если она изменится - передизайним сервис. Про RFC 6238 - в ближайшее время обещаем поддержать, чтобы все ключи можно было бы хранить в одном приложении.
Отсыл к iOS, которая SMS-ки показывает на компе, и убивает саму идею двухфакторной авторизации.
Обсуждение про брутфорс и ограничение входа тремя попытками, про Google и то, как он обнаруживает попытку входа из другого места. Перенос cookie для "захвата сессии" на другой компьютер может не сработать, если при входе входе пользователя проверяется география его IP-адреса. Но всё это плохо работает, если пользователь зайдёт из какого-нибудь Старбакса и "обелит" всю его сеть. Правда, если есть контроль над пользовательским компьютером, сессии можно создавать и с него. Если код состоит из цифр, то три попытки - это вероятность войти порядка 30%, и это очень много.
Обсуждение про публикацию решения в виде RFC. Для простоты - как от частного лица, а не в workgroup.
Отсыл к хабру и "взлом" через фото кода с другого телефона из-за спины пользователя и возможность читать почту. Всё уже исправлено. Поскольку пользователь нарушил правило bugs bounty, вместо выплаты будет набор сувенирки.
У некоторых пользователей уже есть возможность войти с QR-кодом через главную страницу, у кого-то только passport. Из-за упрощения входа, считаем, что число пользователей использующих 2FA, перешагнёт 1%. Процент пользователей, использующих 2FA в других системах, оценивается в ~0.1%.
00:51 [ 00:00 ] MongoDB 3.0 и начало новой эпохи
Обещают три storage engine-а: (1) который был, оптимизированный для read-intensive приложений, (2) который мы не любим (WiredTiger), оптимизированный для write-intensive приложений, и (3) in-memory.
Поддержка document-level lock, мультидокументных транзакций, многопоточной записи данных. Можно одновременно использовать несколько движков.
При той же скорости доступа к данным, обещают повышение скорости записи в 7-10 раз. Требуемый объём для хранения данных может снизиться до 80% по сравнению с тем объёмом, который требовался ранее.
00:59 [ 00:07 ] iMessageClient - консольный клиент iMessage в ncurses стиле для МакОС. Use case - издалека зайти на машину и посмотреть, не приходили ли на телефон SMS. Вместо Remote Desktop теперь достаточно ssh. Работает через Messages - "аналогично" Adium-у, который умеет через Skype отправлять сообщения (для последнего требуется запущенный Skype).
01:03 [ 00:11 ] Скажем docker нет!
Взято из тем слушателей - http://www.boycottdocker.org/ . Странная супер-херня на HTML 90-х годов. Отсылает к Guix.
Автор страницы не понимает устройство докера чуть более, чем полностью. Критикует за то, что нельзя запустить более одного процесса, immutable code / mutable data "dictatorship", и вообще это vendor lock. Единственный наезд по делу - проблемы с IPv6, но и те уже исправлены в январе.
Можно покритиковать докер, но совсем по другому поводу. Docker, может и sux, но остальное - ещё хуже.
01:17 [ 00:25 ] Эпические баги прошлых лет
Проблема Y2K - хоть и преувеличено и не конец света, но для некоторых реально оказалось проблемой. Вспомнили про Кобол.
Проблема 2038 года - когда на Unix-ах "закончится" long. Какие-нибудь enterprise-ы, где код не меняется по 10 лет, могут дожить, и хз что будет.
Баг деления на ноль, отсылы к самолёту, перевернувшемуся над мёртвым морем и youtube с его counter-ом и клипом PSY.
Heartbleed - единственный из ныне живущих. Первый действительно крупный баг с собственным маркетингом - название, лого, название, ТВ, и прочее.
01:28 [ 00:37 ] Ядро .Net в Open Source
Обсуждение выкладки .NET на GitHub. Не хватает WPF, который требуется для описания и рисования интерфейсов. Правда, поскольку он работает через DirectX, есть проблемы с портированием. К тому же, оптимизирован для винды.
На текущий момент, для не-Windows приложений, рекомендуется Mono.
01:32 [ 00:41 ] Не разделяй код, но повторяй себя
Обсуждение принципа "не шарить код между микросервисами". Связи быть не должно. В идеале, чтобы разобраться с одним микросервисом, достаточно изучить его код.
Обсуждение принципа "не шарить код между микросервисами". Связи быть не должно. В идеале, чтобы разобраться с одним микросервисом, достаточно изучить его код.
На практике, даже если сервисы разделены и общаются по REST-у, будет общая модель данных, общий код, интерфейсы - получаем связь. Чтобы понять реализацию отдельного микросервиса, требуется изучить ещё и некоторый общий код. Предложение автора выглядит нереалистично, и на практике таких микросервисов не существует.
Отсыл к Knight Capital Group, которая за 45 минут потеряла из-за ошибки почти пол-миллиарда долларов, и в результате прекратила своё существование.
01:43 [ 00:52 ] Темы наших слушателей
Яндекс, вслед за "братом", убил Подписки
На самом деле, они переехали в Я.Новости. Аудитория была почти никакая. В Я.Новостях есть Мои новости, куда это всё и переместилось.
Bobuk: RSS умирает, рулят рекомендательные системы и соц-сети
Umputun: Prismatic стал основным поставщиком новостей - почти все новости Радио-Т.
Зачем Яндекс.Метро следит за пользователем?
Иногда, раз в две минуты, Метро отсылает гео-локацию. Это баг в коде, написанном года 4 назад.
Bobuk: Починим и расскажем на хабре, почему так произошло.
Обсуждение про permission-ы для приложений на Android и iOS, ограничение доступа к геолокации и сети.
Обсуждение соглашений, для которых пользователь, не читая, нажимает "ОК".
Отсыл к Borland-у, к которого в середине соглашения было указано, что пользователь соглашается оплатить переезд сотрудника Borland-а в случае обнаружения бага.
Вышел 2-й Raspberry Pi
35$, по размеру совместим с коробочкой за 7$
Ethernet остался по USB, т.е. скорость не выше 40 мбит. Декодированное видео уже не передашь. При сильных изменениях картинки - не хватает пропускной способности. Хуже всего на практике - видео, где присутствует вода / огонь.
Hipchat хакнули
Унесли все пароли. Меняйте пароль.
В Америке взломали Anthem
Унесли все данные, включая SSN, адреса и прочее для примерно 80 миллионов аккаунтов.
Из положительного - теперь можно смело называть свой номер SSN кому угодно, он и так всем известен :)
02:04 [ 1:11 ] Окончание и мощный API.
No comments:
Post a Comment