Prihlasovanie/registrácia cez Facebook

Camo:
Já v tom problém nevidím. Je důležité zachovat možnost i klasické registrace. Ne všichni mají facebook. No a když máš tyto 2 rovnocené metody, tak už je na uživateli, kterou si vybere. Já ho k používání facebooku nenutím a pokud ho používá pro přihlašování a někdo mu ho ukradne, tak to není můj problém. To je stejné, jako by mu někdo ukradl klasické přihlašovací údaje.

Camo:
Ale já kašlu na to, že má uživatel slabé heslo. Je to jeho problém. Programátor může být zodpovědný tak za sql injection, nebo csrf nebo ukradení session a podobné věci ale rozhodně ne za to, že si uživatel nehlídá svoje údaje. A posledně co jsem se díval, tak facebook email ověřoval, takže verifikovaný je.

„Stačí si predstaviť takú situáciu, že niekto v eshope na cudzie meno naobjednáva tovar na dobierku. Kto bude zodpovedný?“
I když máš jen klasickou registraci, ovřený máš tak akorát email. Takže na cicí jméno můžeš udělat objednávku i tam.

Camo:
„Daj priestor aj iným, nech sa vyjadria.“
Prostor mají, nikdo jim v odeslání příspěvku nebrání.

„To nemyslíš vážne čo si napísal“
Myslím to naprosto vážně. Každý uživatel má možnost klasické registrace. Nikdo ho nenutí používat facebookové přihlášení se slabým heslem. Když má slabé heslo a přesto mu to nevadí a svobodně se rozhodne že to tak chce mít, já mu v tom bránit nebudu. Proto stejně při reistraci nevyžaduji nějaké silné heslo. Můžu uživateli napovědět a sdělit mu, že heslo které si vybral není zrovna nejlepší, ale když se rozhodne si zvolit za heslo 1234, tak ho nechám. Je to jeho rozhodnutí a jeho zodpovědnost. Každý je zodpovědný za svá rozhodnutí. Nejsme děti ze školky, abychom museli být stále voděni za ručičku.

Camo:
Taktiež nevidím dôvod kontrolovať silu/kvalitu hesla. Je to čisto na užívateľovi, pozná možné riziká a je svojprávny.
Osobne nenávidím, keď mi aplikácia núti heslo minimálny počet znakov alebo použiť veľké/malé písmená. Väčšinou pri tom prehodnotím nutnosť použitia konkrétnej aplikácie a v drvivej väčšine prípadov odchádzam.

Camo:
„je u väčšiny ľudí diametrálny rozdiel. U mňa teda určite.“
Dobré vedieť.

„Daj priestor aj iným, nech sa vyjadria.“
Súhlasím s Keeehim. Užívateľ si sám môže za problémy spôsobené slabým heslom.

Čo sa týka prihlasovania cez facebook, na stránke by som ho iba spomenul, ale primárny dôraz kládol na vlastný systém. Úroveň zabezpečenia facebooku nepoznám, takže to nebudem komentovať.

„Ty zjavne nechápeš, že mi nejde o usera, ale o prevádzkovateľa eshopu.“
Ak sa bojíš zodpovednosti za slabé heslá užívateľov, nedovoľ im na prihlasovanie používať facebook. Čo sa tu dá riešiť?

Camo:
OK, jsou 2 druhy útoků:
1) útok na uživatele - tady jde o to uživateli proniknout do účtu a vytvořit mu škodu třeba tím, že nakoupím v eshopu a k platbě použiju třeba kartu, kterou v tom eshopu má uloženou od posledního nákupu.
2) útok na provozovatele - nejde mi o způsobení škody uživateli, ale chci způsobit škodu majiteli eshopu. Třeba tak, že si nechám poslat zboží na dobírku někam, kde si to nevyzvednu a provozovatel ale bude muset zaplatit poště poštovné.

Jak se mi zdá, tak ti jde hlavně o ten druhý typ. Problém však je, že tento typ vůbec není závislý na způsobu registrace nebo přihlášení. Jde provést ať přihlašování pomocí facebooku implementováno je nebo není.

Nebo to chápu špatně a jde ti o jiný typ útoku? Jestli ano, tak ho prosím popiš.

Camo:
Je přece jedno, jakým způsobem se zaregistruji. Jak v klasickém případě tak i přes facebook si můžu vymyslet falešné jméno a adresu. Nebo jakým způsob dokážeš při klasické registraci zajistit, že si jméno a adresu nevymyslím?

ty kráááso zajímavý přístup a myšlení....to zda se užovatel přihlásí přes nezabezpečený form někde na webu shopu nebo přes SSL u FB....no ale jinak solidní paranoia tady. Pokud bude chtít někdo zneužít eshop tak jak již bylo uvedeno, není přece problém si udělat fiktivní mail jen pro tento případ, provést objednávku a je to. Co se dá zabezpečit tak přidat ještě třeba ověření tel. ale i to se dá objetí předplacenkou pokud chce někdo vyloženě škodit. Takže se tu kámo rozčiluješ docela zbytečně a zbytečně vymýšlíš teorie o nebezpečnosti oAuth přihlašování. Pro mě jako pro uživatele je 1000x jednodušší pokud se někde dá přihlásit pomocí o auth...nemusím tak dalšímu subjejtu sdělovat nějaký login a heslo, ale stačí mi to jedno

Camo:
„kde sa dá založiť falošný email bez overenia totožnosti“
Hocikde.

Tomáš123:
> „kde sa dá založiť falošný email bez overenia totožnosti“
> Hocikde.
Ona nějaká emailová služba vyžaduje ověření totožnosti ? Jaká proboha ?

oukej, tak pls zkus ukradnout identitu z FB....pak o tom můžeš informovat FB a myslím že bys dostal solidní odměnu...neříkam že to nějak nejde.

Jinak pls jak bylo uvedeno, uveď mailovou službu kde si při vytváření schránky musíš ověřit identitu?

Camo:
„kde sa dá založiť falošný email bez overenia totožnosti.“
Len pre informáciu, existuje dokonca aj "10 minútová e-mailová služba". Prídeš na stránku, vygeneruje sa ti náhodná e-mailová adresa, ktorú môžeš následujúcich 10 minút používať, ako úplne obyčajný e-mail. Po 10 minútach je e-mailová adresa zrušená a (teoreticky) už nikdy znova existovať nebude.

Tiež by ma zaujímalo, ako je ukradnutie identity na Facebooku (ktorý mimochodom ide cez HTTPS) jednoduchšie, ako si na verejnej WiFi odchytiť nešifrovanú, nezabezpečenú trafiku.

xROAL:
„Len pre informáciu, existuje dokonca aj "10 minútová e-mailová služba". Prídeš na stránku, vygeneruje sa ti náhodná e-mailová adresa, ktorú môžeš následujúcich 10 minút používať, ako úplne obyčajný e-mail. Po 10 minútach je e-mailová adresa zrušená a (teoreticky) už nikdy znova existovať nebude.“

A pokud k tomu navíc použiješ TOR, jsi v podstatě nedohledatelný.

Camo:
Tvůj názor na věc bych nenazval ani tak paranoiou jako spíš přílišnou naivitou. Pominu-li fakt, že většina eshopů umožňuje uskutečnění objednávek bez předchozí registrace, je třeba si uvědomit to, že vytvořit si kdejaký "adfsdfgsgfd@seznam.cz" email ti nikdo nezabrání. S tímto emailem se pak můžeš registrovat jako zákazník "Lorem Ipsum z Dolor sit Ametu", který si objedná balík na dobírku do (řekněme) Prážské 13 v Praze (ulici jsem si právě vymyslel, ale věřím tomu, že i klidně existuje). Otázkou je, proč by tohle vůbec někdo dělal. Že by se někdo bavil tím, že náhodným podnikatelům provozujícím eshopy zaškodí a způsobí jim stokorunové ztráty na poštovném? V tomhle ohledu se již může jednat o paranoiu a nebudu ti ji vymlouvat. Řešením může být omezneím plateb pouze na plateby předem nebo (mám pocit, že to dělá aukro) posíláním identifikačních čísel lidem do schránky. Otázkou je, kolik potencionálních zákázníku tato "bezpečnostní opatření" odradí. Troufám si říct, že víc než počet kolemjdoucích záškodníků, kteří by si objednávali zboží na neexistující jména a adresy. Tudíž bys ve finále IMHO prodělal.

No a můžeš nám konkrétně popsat čeho se jako bojíš na tom přihlašování oauth/fb/twitter/github etc. ? či nějaká negativa? A co tedy nás v té budoucnosti čeká?

Camo:
Namiesto rozmýšľania nad (ne)bezpečnosťou FB loginu si radšej implementuj HTTPS. Určite sa bezpečnosť zvýši viac, ako pri nepoužívaní prihlásenia cez FB.