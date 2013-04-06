2.13 , morphe ( ? ), 20:55, 23/09/2025 [^] [^^] [^^^] [ответить] –1 + / – > Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте. Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys. TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту

3.14 , Аноним ( 3 ), 20:57, 23/09/2025 Не всё в жизни - это браузер. По крайней мере, у меня.

4.22 , morphe ( ? ), 22:07, 23/09/2025 > Не всё в жизни - это браузер. По крайней мере, у меня. Браузеры используют системное хранилище ключей по идее Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют

5.27 , penetrator ( ? ), 22:30, 23/09/2025 а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?

6.29 , Аноним ( 28 ), 22:43, 23/09/2025 Файл можно незаметно украсть. Лаптоп — нет.

7.36 , Аноним ( 36 ), 22:52, 23/09/2025 Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал.. еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.

7.38 , penetrator ( ? ), 22:54, 23/09/2025 > Файл можно незаметно украсть. Лаптоп — нет. если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр

8.40 , morphe ( ? ), 23:00, 23/09/2025 FIDO2 требует физического подтверждения присутствия, удачи что-то серьёзное пров... 9.47 , Аноним ( 47 ), 23:19, 23/09/2025 Можно робота сделать, который силиконовым муляжом пальца с фейковыми паппилярным... 10.50 , morphe ( ? ), 23:32, 23/09/2025 Если речь про аттестацию - то да, в стандарте действительно заложено, однако оно... 11.53 , Аноним ( 53 ), 23:42, 23/09/2025 Нет абсолютно любая аттестация именно для этого и предназначена приказать скоту... 12.54 , morphe ( ? ), 23:49, 23/09/2025 Для этого не нужно ничего в FIDO2 добавлять, владельцы платформ при желании давн... 13.56 , Аноним ( 56 ), 23:55, 23/09/2025 Что значит могли Делали Стандартизировали не для этого А чтобы всех на него... 14.58 , morphe ( ? ), 00:03, 24/09/2025 Ошейники в лице windows hello, play integrity api, и чего-то там у apple сущес... 15.59 , Аноним ( 59 ), 00:12, 24/09/2025 Я не говорил, что полностью подходит WEI похоронили потому, что Apple - важный ... 16.60 , morphe ( ? ), 00:43, 24/09/2025 У эпла Private Access Tokens, при чём тут FIDO2 ... 9.63 , penetrator ( ? ), 03:14, 24/09/2025 а кто мне мешает от твоего имени действовать после того как ты аутенфицировался ... 10.69 , morphe ( ? ), 03:59, 24/09/2025 Украсть файл намного проще чем активно атаку проводить Файл можно украсть полнос... 3.44 , Аноним ( 47 ), 23:08, 23/09/2025 А в процессорах - SGX, SEV и TrustZone. А у кого нет - те бомжи пусть на свалку проследуют, где им и место: в современном обществе нет места нежелательным элементам, саботирующим хозяйский надзор и контроль за своей собственностью, своим поголовьем. Не нравится в стойле - мусорный полигон с бомжами вон там.

4.46 , morphe ( ? ), 23:11, 23/09/2025 > А в процессорах - SGX, SEV и TrustZone. Это к чему вообще? Что из этого есть в условном nitrokey/любой другой fido2 железке?

5.49 , Аноним ( 47 ), 23:24, 23/09/2025 Стандарт читайте. В самодельных токенах нет, а вот в фабричных токенах официальных партнёров альянса, включая Google Titan, Windows Hello, Google SafetyNet, и устройствах от Apple всё есть. И послать тебя за использование не своего устройства - эта штатная фича стандарта. В будущем будет в дополнение к reCAPTCHA/hCAPTCHA (которые нифига не капчи) - хочешь на сайт? Докажи, что у тебя какое надо устройство. Не доказал? Ну значит ты нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того, что хозяева не одобрили.

6.52 , morphe ( ? ), 23:39, 23/09/2025 > хочешь на сайт? Докажи,

> что у тебя какое надо устройство. Не доказал? Ну значит ты

> нежелателен, потому что законопослушному гражданину не зачем использовать что-то из того,

> что хозяева не одобрили. FIDO2 конечно такое позволяет... Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет и из JS к нему цепляться, а там уже гонять что надо для аттестации. FIDO2 тут ничего нового не приносит, и есть причины почему так не делают.

7.55 , Аноним ( 55 ), 23:50, 23/09/2025 >Однако при желании компании могут и без webauthn аттестацию проводить, банально на устройстве поднять вебсокет Могут, но это нестандартизировано. А вот когда это стандартизировали - это уже не звоночек, а целый набат.

8.68 , Аноним ( - ), 03:52, 24/09/2025 Ноджыэса - подмял майкрософт Так что его ждет та же участь что гитхаб, скайп и ... 2.61 , Аноним ( 28 ), 01:11, 24/09/2025 > Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями? Минусы будут? Если разработчик не может разобраться как токенами пользоваться, он и как разработчик может не особо-то и нужен. А ну как pow от xor не отличит или ещё какую-нибудь такую дичь выкинет?


