Před časem oznámila Mozilla nový koncept online identit. Součástí tohoto konceptu je i Správce účtů, který si můžete nainstalovat do svého prohlížeče Firefox a který vás dokáže, při splnění určitých předpokladů ze strany navštíveného webu, přihlašovat a odhlašovat na různých webech jednotným způsobem.
Jak bylo na virtuální konferenci FOSDEM.
Jak je to s přístupností mobilního menu z klávesnice? Používáte odkazy “více” a “zde”? Znáte rozdíl mezi aria-label, aria-labelledby a aria-describedby? Je PDF strojově čitelný formát z pohledu zákona o přístupnosti?
Posledních pár let mě baví se zabývat bezpečností aplikací. Čistě technicky. A když člověk tyhle věci implementuje, dostane se k zajímavým problémům, které by ho ani nenapadly. A tak se stalo, že jsem se dostal k proxy. Jako slepý k houslím.
Bezpečnost z pohlednu potenciálního útočníka
OK, pro účet budou silná hesla, která se uživatel nemusí pamatovat. Je tedy nutné, aby hesla znal prohlížeč. Jakmile se tato funkce nasadí, bude určitě terčem mnoha útoků úložiště hesel. Jak dlouho bude trvat, než se stane cílem nějakého šiřícího se červa?
Uživatel si sice bude (dozajista) úložiště hesel šifrovat pomocí master hesla, ale bude heslo dostatečně silné, aby uživatel jeho prolomením nepřišel o mnohem víc (tj. větší množství vyzrazených hesel na více účtů)?
Rozhodně princip popsaný v článku nehaním, moc se mi líbí a určitě jej budu na mé projekty nasazovat, ale trochu se zamýšlím nad důsledky (přičemž nepochybuji, že to již udělal někdo mnohem zasvěcenější :).
Hodně se mi ale nelíbí současná implementace, zejména povinná adresa ve tvaru: „/.well-known/host-meta“. Věřím, že tohle bude včas vyladěno, nejlépe pomocí <link rel=““ … />
FB Connect, OpenID, Twitter OAuth, ...
Je doplněk připraven na alternativní metody přihlašování jako je například Facebook Connect?
Re: FB Connect, OpenID, Twitter OAuth, ...
„Připraven“ by měl být, ostatně to byl jeden z cílů, ale jak je to s reálnou implementací, to netuším.
Re: Správce účtů ve Firefoxu
jediný, kdo má /.well-known/host-meta je Yahoo a to dost silně pochybuju, že jej používá.
Jak to teda všichni dělají? Já to zkoušel podle tohoto článku a nefunguje. Asi si raději budu muset přečíst originál. Podle tohoto sem to moc nepobral. Je to celé naťuklé, ale nedotažené.
Re: Správce účtů ve Firefoxu
Tak jsem si prostudoval wiki a už to funguje :)
Re: Správce účtů ve Firefoxu
Ty ostatní stránky na kterých to funguje jsou ‚obři‘ pro které to napsali v Mozilla labs, takže samotný provozovatel webu třeba ani netuší že něco takového má.