جزئیات آگهی
-
Ad ID: 4643
-
اضافه شده: سپتامبر 3, 2017
-
بازدیدها: 1040
توضیحات
مزایای استفاده از توکن
مزایای استفاده از توکن : چرا تصمیم گرفتید که مشتری نتواند رمز نشانه را تجزیه کند؟
به نظر می رسد که بسیاری از OpenID Connect، اگر نه همه آن، راهی برای ایجاد Token دسترسی به چیزی معنی دار است. بله، آن یک نشانه شناسه اضافه می کند، اما این واقعیت که آن را به عنوان چیزی همراه به جای جاسازی شده در نشانه دسترسی اجرا می کند، این واقعیت را تغییر نمی دهد. به نظر می رسد هر ویدئویی، آموزش و پست وبلاگ در مورد آن صحبت می کنند، به شرطی که این تصور به نظر می رسد (که برچسب های دسترسی متمایز خواهد بود، زیرا “مشتری مخاطبان مورد نظر نیست”) … و در عین حال این API یا ارائه دهنده منابع که نمیتوانند تأیید اعتبار را براساس حامل با داشتن نشانه ایجاد کنند.
در واقع من باید اضافه کنم که من فکر نمی کنم که نشانه ای که مشتری به نظر می رسد، مشکل است. مشکل این است که نشانه یک نشانه حامل است که محدود نمی کند WHO می تواند از آن استفاده کند.
توکن
مزایای استفاده از توکن : در OAuth یا هر پروتکل دیگر که نشانگر می تواند مبهم یا شفاف باشد، منافع و خطرات نوسان بر اساس نتیجه مورد نظر شما است:
اگر می خواهید که مشتری بتواند رمز دسترسی را تجزیه و تحلیل کند، شما باید نشانگر را شفاف کنید.
اگر نمی خواهید که مشتری بتواند رمز دسترسی را تجزیه و تحلیل کند، شما باید برچسب را متمایز کنید.
در واقع، این تعریف نشانه های مبهم و شفاف است؛ مشتری می تواند به آنها نگاه کند یا نه.
اگر نشانگر شما شفاف باشد، باید آن را امضا کنید، در غیر این صورت، هر کسی میتواند به سادگی محتوای محتویات خود را ویرایش کند و هر چیزی را که میخواهد، ادعا کند.
بنابراین، اولین مزیت نسبی داشتن یک نشانه مبهم این است که شما می توانید هر مکانیزمی را امضاء کنید؛ شما به آن نیاز ندارید و برعکس، اگر یک نشانه شفاف درست داشته باشید، مشتری می تواند نشانه را بخواند، اما آن را ویرایش نکنید.
یکی دیگر از مزایای استفاده از نشانه مبهم آن است که امن تر است؛ هیچ روش رمزنگاری واقعا تصادفی نیست (یعنی باید راهی برای رمزگشایی آن باشد)، به این معنی که اگر بتوانید به اندازه کافی از محتویات نشانه ها (نشانه های شفاف) بخوانید، می توانید بگویید که کدام پروتکل رمزنگاری استفاده می شود. این خود زمان را برای شناسایی رمزعبور (دانستن پروتکل) کاهش می دهد. بسیاری از مردم فکر نمی کنند این بسیار مخاطره آمیز باشد، و در واقع، اگر شما بیش از 80 بیت از آنتروپی را استفاده کنید، درست است (10 کاراکتر تصادفی برای رمز شما، یعنی کلید “کلید مخفی”).
مزایای استفاده از توکن
توکن چیست
مزایای استفاده از توکن : با این حال، و این خیلی بیشتر از یک خطر است؛ نشانه های شفاف اجازه می دهد که کراکر ها با محتویات بازی کنند (زیرا آنها آنها را می بینند)، و برخی از پروتکل ها دارای نقایص جدی هستند که به شما امکان ایجاد برخورد و یا حتی رمزگشایی در یک دوره بسیار کوتاه را رمزگشایی می کنند، زیرا پرونده ها و محتویات از بلوک های معتبر (اکثر پروتکل های رمزنگاری از بلوک های 16 بایت استفاده می کنند، بنابراین اگر نشانه شما حاوی 160 عدد داده باشد، شما 10 ترکیب معتبر را به رمز خود اضافه کردید. این باعث می شود که زمان لازم برای شناسایی رمز شما را کاهش دهد. بعضی از پروتکل ها نسخه کاهش یافته ای از این خطر را دارند، اما طبق آنچه که کدگذاری است، دارای بلوک کد شده و بلوک رمزگشایی هر دو در دست شما است. ، همیشه می خواهید شکستن آن آسان تر شود.
مزایای استفاده از توکن : به همین دلیل بسیاری از نشانه های مبهم را انتخاب می کنند. در واقع همیشه باید نشانه های مات را انتخاب کنید اگر هیچ نیازی به هیچ نگرانی خارجی وجود نداشته باشید تا قادر به تجزیه نشانه نشوید. یک نمونه از این یک چارچوب خدماتی است که در آن شما فقط یک نشانه را به عنوان یک ادعای کور به سرویس می دهید؛ شما نمیدانید که چه چیزی میگوید، اما شما میدانید که کار میکند و شما را شناسایی میکند. این فقط برای سرویس تایید می شود که شما از طریق کلید مخفی یا رمزنگاری شده اید.
علامتهای مبهم نیز نیازی به امضا ندارند، که من در بالا ذکر کردم، آنها همچنین نیازی به افشای پرونده های انتخابی ندارند.
به همین دلیل، آنها نه تنها ریاضی و منطقی، بلکه از لحاظ ریاضی و منطقی بسیار امن هستند، اما از خطاهای اجرایی انسان خلاص می شوند، که صادقانه می گوید، 99٪ از دلایل ابتلا به هرج و مرج است.
یادداشت جالب
حتی تصادفی واقعی به معنی از دست دادن 36.7٪ (1 تقسیم بر e) از فضای ترکیب زمانی که تصادفی به طور تصادفی. این بدان معنی است که قفل ترکیبی 1000 امکان پذیر است، اگر تصادفی حدس بزند، در واقع احتمال 1 تا 730 درست شدن دارد.
بنابراین 1 / e بهترین شانس مطلق شما است، و این تصادفی خالص است.
هر “احتمالی” که برای یک انسان جالب است، “اطلاعات” به طور تصادفی از نظر تعریف نیست، و بدتر از همه، هر پروتکل که برای رمزگشایی آن استفاده می شود، از طریق پروتکل کار می کند، برخی از فضای ممکن برای رمزنگاری.
بنابراین، در واقع، شانس خود را به طور تصادفی حدس زدن یک پاسخ به طور تصادفی، به طور قابل توجهی کوچکتر از آنتروپی یا فضای ترکیبی است که اکثر مردم در مورد آن صحبت می کنند یا فکر می کنند در واقع آنها هستند. معمولا زمانی که همه حساب ها توسط یک هکر خوب اندازه گیری می شوند، حداقل یک مرتبه از اندازه ساده تر از یک غیرمسلمان فکر می کند.
