Clever Geek Handbook

Mengapa mengganti Captcha dengan FIDO2 / Webauthn adalah ide yang buruk. Argumen yang menentang keputusan Cloudflare

Kemarin Cloudflare mengumumkan penggantian Captcha dengan pengesahan FIDO. Anda dapat membacanya di blog mereka https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/ , dan mencoba solusinya sendiri (jika Anda memiliki kunci keamanan bersertifikat FIDO seperti Yubikey) https: / / cloudflarechallenge.com/





Anda juga dapat membaca berita dari @maybe_elf https://habr.com/ru/news/t/557776/





Bagi mereka yang tertarik untuk mempelajari lebih lanjut tentang FIDO2, saya menyarankan Anda untuk membaca artikel ini https://habr.com/ru/post/354638/





Cara kerja "FIDO Captcha" untuk Cloudflare:

  1. Pengguna dikirim ke halaman Captcha





  2. Pengguna mengklik "Saya manusia"





  3. Kunci keamanan menyala dan pengguna menyentuh kunci tersebut





  4. Browser meminta izin untuk mendapatkan pengesahan perangkat. Setelah persetujuan pengguna, pengesahan dikirim ke Cloudflare.





  1. Cloudflare, memiliki sertifikat root yang diterima dari produsen, mengonfirmasi validitas sertifikat pengesahan.





  2. KEUNTUNGAN !!!!





Sebelum kita memahami mengapa ini semua buruk, mari kita perjelas dua konsep utama Pengesahan dan Captcha.





Apa itu Pengesahan FIDO?

FIDO . FIDO , . ( ).





. , , a . FIDO2 GUID/UUID, U2F SKID(Subject Key Identifier). , , . , PKI.





?

́[1] ( CAPTCHA — . Completely Automated Public Turing test to tell Computers and Humans Apart —     ) — , , , : . 





. https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BF%D1%87%D0%B0





, : , , .., .





FIDO ?





: FIDO

. Cloudflare FIDO . FIDO . . , 5$ , :





Ya, ini $ 60 UNO, tetapi klon nano $ 5 juga berfungsi. Timur. https://twitter.com/agl__/status/1392876159591882755
, 60$ UNO, 5$ . . https://twitter.com/agl__/status/1392876159591882755

:

, , WebAuthn API - NONE. , attestation: "direct"



API. , . - , .





Pengguna harus menyetujui pemberian sertifikasi ke situs web

Chromium , EraseAttestationStatement JS "direct" "none" - , Cloudflare .





Google Enterprise https://chromeenterprise.google/policies/#SecurityKeyPermitAttestation





: FIDO

, , 700 1700. , HID 500-1000. , HID 25 , 30 , HID !





Berikut adalah contoh desain bagaimana Anda dapat melakukan semuanya.

: , Ryzen 3900, PCI-USB , USB , USB . 1000 Feitian U2F, Yubico Security Key 15-20$ . HID USB , . HID . 5$ 30,000 - 40,000 , , 25,000$ .





:





  • HID - https://github.com/djpnewton/vmulti





  • HID Python - https://pypi.org/project/hid/





ACS122U NFC NFC : SCARD_UNPOWER_CARD/SCARD_POWER_CARD NFC . .





: CAPTCHA

. Cloudflare :





  • 1. - , . , Cloudflare FIDO . FIDO , . , , , , . Cloudflare . .





  • 2. - . - . . : , . 1/100,000. , Cloudflare, , 1/100,000 . Cloudflare , .





  • 3. - , .





  • 4. - : ? FIDO, aka Metadata Service - MDS, , FIDO . Cloudflare , , -. , . Cloudflare , FIDO .





Cloudflare , - . Cloudflare , . .





Cloudflare. Cloudflare , . - , , , "" - FIDO . , : , .





: FIDO . - - .





Q&A

- // ?





Karena Cloudflare hanya mendukung perangkat bersertifikat, yang sertifikasinya dikontrol secara ketat oleh produsen. Samopal dan pengautentikasi perangkat lunak akan gagal begitu saja.







More articles:


All Articles