SmartFlow: «В начале был пароль...» или новая аутентификация VK ID
Привет, Хабр! Исторически сложилось, что первым способом аутентификации (в 1960-х) с появлением доступных компьютеров стал пароль. О рисках его использования и об изобретённых человечеством альтернативах мы подробно рассказали в статье о будущем беспарольной аутентификации. Этот подход к проверке...
Разработка и применение систем разграничения доступа на базе атрибутов
Привет! Меня зовут Михаил, в Positive Technologies я руковожу бэкенд-разработкой метапродукта MaxPatrol O2. В этой статье я расскажу, зачем нам в компании понадобилось разграничение доступа на основе атрибутов. Его еще называют ABAC (attribute-based access control). Рассмотрим, чем ABAC отличается...
Атака на SSH и взлом туннелей VPN
SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. То есть в будущем его могут...
Переезжаем с DUO Mobile на Мультифактор. Опыт (и грабли) QIWI
Когда каждый день слышишь о новых утечках учетных данных пользователей, а социальная инженерия и разного рода мошенники активно прокачивают свои скиллы в выманивании паролей у пользователей, многофакторная аутентификация становится must have. А если мы говорим о работе в больших компаниях, где есть...
Keycloak. Standalone-HA в k8s и закрытие админки на ingress-e с переводом на localhost
Привет, Хаброжители! Продолжаем делиться с вами экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»). Предыдущую статью нашей команды вы можете прочесть вот здесь: Keycloak. Админский фактор и запрет аутентификации В этой части...
Сам себе DevOps: как разобраться с доступами в Yandex Cloud
Предположим, у вас появилась задача развернуть сервис на виртуальной машине в Yandex Cloud. Казалось бы, всё просто: создал виртуальную машину, развернул приложение, и всё готово. В общем случае это работает именно так, но лишь при условии, что кто-то уже настроил для вас все доступы и выдал вам...
Как добавить кастомный аутентификатор в KeyCloak и подружить его со сторонней системой
Всем привет. Сегодня мы покажем вам простой пример, как в Keycloak можно добавить кастомный аутентификатор. Как вы все знаете, Keycloak – это система адаптивной аутентификации, позволяющая реализовать фактические любой процесс аутентификации (ограниченный только навыками разработки на Java) и...
Keycloak. Админский фактор и запрет аутентификации
Привет, Хабр и его жители! Я, Максим Санджиев, представляю отдел, занимающийся развитием, поддержкой и безопасностью инфраструктуры в департаменте Security Services компании «Лаборатории Касперского». У нас в отделе накопилась «нестандартная» экспертиза по работе с vault, IAM (keycloak), rook-ceph,...
[Перевод] Почему работать с OAuth сложно даже сегодня?
OAuth — это стандартный протокол. Ведь так? И для OAuth 2.0 есть клиентские библиотеки практически на всех языках программирования, которые можно представить. Вероятно, вы подумаете, что имея клиентскую библиотеку, можно реализовать OAuth для любого API буквально за десять минут. Или хотя бы за...
Московский политех не слышал про конфиденциальность
Почему не стоит подавать документы через сайт Московского Политеха, какая угроза персональным данным абитуриента и к чему может привести утечка данных? Обо всем этом — в данной статье. Читать дальше →...
[Перевод] Ставим Google Sign-In под контроль в браузере Brave
В версии 1.51 Brave усилит защиту пользователей, распространив систему браузерных пермиссий на устаревший метод авторизации Google Sign-In, который использует сторонние куки или другие следящие технологии, позволяющие пользователям логиниться на сайты через учётку Гугла. Это ещё один пример того,...
[Перевод] Эволюция облачной системы авторизации
Краткий обзор истории развития принципов авторизации — начиная с локального использования идентификаторов и паролей, заканчивая современными предложениями облачных сервисов. В статье разбираются основные переходные этапы на этом пути, а также приводятся примеры передовых решений, реализованных...
Как работает аппаратный ключ безопасности — и почему не сделать программируемый ключ с улучшенной защитой?
Как известно, пароль — только первый этап аутентификации, причём наименее надёжный. Пароль можно перехватить во время ввода (с клавиатуры или экрана), в процессе передачи на сервер, подобрать брутфорсом, скопировать из места хранения (в том числе с сервера компании, безопасность которого нам не...
Готовим, пробуем Casbin RBAC и handmade RBAC
Всем привет! Меня зовут Андрей Таболин, я системный аналитик в компании Bimeister. Casbin – одна из популярных библиотек для построения авторизации в веб-сервисах. В этой статье расскажу, как я тестировал Casbin, попутно подготовил своё решение для сравнения и покажу результаты работы обоих....
Анализ механизмов защиты информации в микросервисных архитектурах
Disclaimer: Решил залить на хабр текст своей научной статьи для ВУЗовской конференции. Сам материал мне показался довольно годным. Это обзорная статья. В ней я попытался провести исследование о механизмах защиты микросервисных архитектур. Являясь офенсив специалистом, мне также интересны вопрос...
Наследование прав доступа
"Это пшеница, что в темном чулане хранится, в доме, который построил Джек" Джек имеет права на дом, а значит и на темный чулан, а стало быть и на пшеницу. Но чтобы проверить доступ Джека к пшенице, необходимо найти, в каком она хранится чулане, и в чьем доме этот чулан. Авторизация имеет линейную...
Row level security и security labels с Hasura
Любая система так или иначе должна быть защищена. Доступы пользователей должны контроллироваться. Каждый использует готовые или придумывает свои решения для обеспечения авторизации. Можно комбинировать эти подходы, особенно сегодня, когда обилие технологий, подходов и требований к системе...
Тернистый путь внедрения аутентификации через соцсети
Кто помнит пароли от всех своих аккаунтов? Учеток слишком много, ведь почти каждый сервис в наше время требует для полноценного доступа создать учётную запись и придумать новый пароль. Столкнувшись с очередным таким требованием, особенно на новой платформе, человек просто закрывает вкладку в...
Назад