1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Internet-Abfragen: Cloudflare will…

Wie soll das funktionieren?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie soll das funktionieren?

    Autor: Goonie 14.05.21 - 10:28

    Der Algorithmus hinter Fido ist trivial in einem Bot – und zwar in reiner Software – zu implementieren. Da ist nix dran, was einen Menschen beweisen würde. Ganz im Gegenteil, ein Mensch könnte TOTP & Co nicht im Kopf rechnen. Das ist also eher ein Beweis dafür, dass mindestens auch ein Computer im Spiel ist.

  2. Re: Wie soll das funktionieren?

    Autor: Wuestenschiff 14.05.21 - 10:52

    Jop meine Rede, sieht für mcih für ein Plan aus tracking zu machen, aber eventuell gibt es ja da krasse Magie in den Sticks, aber dann wäre es am golem das zu erklären.

  3. Re: Wie soll das funktionieren?

    Autor: Lasse Bierstrom 14.05.21 - 10:55

    +1

  4. Re: Wie soll das funktionieren?

    Autor: HeroFeat 14.05.21 - 13:19

    Es wird nur eine Chargennummer und der Hersteller abgerufen. Ich würde aber annehmen das durch Zertifikate schon sichergestellt ist das der Stick wirklich von dem entsprechenden Hersteller kommt. Dementsprechend müssen Bot Farmen dann schon einige der Sticks kaufen.


    Aber so ganz klar ist mir das auch nicht.

  5. Re: Wie soll das funktionieren?

    Autor: 486dx4-160 14.05.21 - 13:36

    HeroFeat schrieb:
    --------------------------------------------------------------------------------
    > Es wird nur eine Chargennummer und der Hersteller abgerufen. Ich würde aber
    > annehmen das durch Zertifikate schon sichergestellt ist das der Stick
    > wirklich von dem entsprechenden Hersteller kommt. Dementsprechend müssen
    > Bot Farmen dann schon einige der Sticks kaufen.
    >
    > Aber so ganz klar ist mir das auch nicht.

    Welche Zertifikate?
    Und: Ich brauch ja keinen Hardware-Stick nehmen - ein simples Progrämmchen das vorgibt einer zu sein reicht völlig.

  6. Re: Wie soll das funktionieren?

    Autor: RFZ 14.05.21 - 13:48

    WebAuthN erlaubt es dass sich Geräte mit einem Herstellerzertifikat ausweisen. Siehe "WebAuthN: Attestation and Assertion".
    Es kann also nachgewiesen werden dass ein Hardware- und kein Software-Token verwendet wurde.
    Das bedeutet allerdings dass man eine Whitelist führen muss - was auch erklärt warum es laut Artikel bisher nur mit einer Hand voll Token funktioniert.

  7. Re: Wie soll das funktionieren?

    Autor: sigii 14.05.21 - 13:49

    Das ist aber der Kern der Idee dass nur zertifizierte Geräte vertraut werden.

    Dh. Vlt hat der Hersteller eine lange vlt auch öffentliche pubkeys zu allen yubikeys.

  8. Re: Wie soll das funktionieren?

    Autor: RFZ 14.05.21 - 14:07

    > Dh. Vlt hat der Hersteller eine lange vlt auch öffentliche pubkeys zu allen
    > yubikeys.

    Sicher, aber es gibt auch Samsung, Intel, Google, Apple, ... Die Liste der Hersteller von TPMs/SecurityToken ist lange.

    > Das ist aber der Kern der Idee dass nur zertifizierte Geräte vertraut
    > werden.

    Eigentlich nicht. Im Normalfall wo WebAuthN zur Authentifizierung verwendet wird, wird TOFU verwendet. Trust on first Use. Wenn du dir irgendwo einen Security-Token als zweiten Faktor registrierst ist dem System egal von welchem Hersteller der ist oder ob es wirklich Hardware ist. da braucht es keine Whitelists.
    Whitelists verwendet man eher in Intranets oder so, wo man explizit weiß welche Geräte man zulassen möchte.

  9. Re: Wie soll das funktionieren?

    Autor: Wuestenschiff 14.05.21 - 14:19

    Mercy! Das wäre die Info gewesen, die im Artikel hätte stehen sollen. Immer noch etwas komisch weil, man dann nur ein Herstellezertifikat heraus bekommen müsste (z.b. via aufätzen) und schon kann man das wieder via Software machen. Bisher gab es dafür wohl eher keinen usecase aber wenn man dadurch alle captchas umgehen kann wird der Aufwand auf einmal lukrativ.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DevOps Engineer (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. Gruppenleiter*in Industrie 4.0
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Nürnberg
  3. Business Intelligent Developer / Data Warehouse Specialist (m/w/d) für logistische Prozesse ... (m/w/d)
    PM-International AG, Speyer
  4. IT-Supporter Anwenderunterstützung (m/w/d)
    CODAN Medizinische Geräte GmbH & Co KG, Lensahn bei Lübeck

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de