Tehát azt mondod, hogy a user/password/totp secret megosztása nem létező dolog?
https://a.te.ervelesi.hibad.hu/szalmabab
Nem mondtam ilyet. Létező dolog. Az, hogy az Ügyfélkapu emiatt vezeti ki a TOTP-t is, egy spekuláció. Senki nem adott erről hivatalos állásfoglalást. Te erőlteted ezt a gyökérokot, amit az elitizmusod és a kisembergyűlöleted táplál. Fogalmad nincs, hányan éltek vissza vele és hányan nem. Az átlagfelhasználónak pedig nem triviális a base32 secret megosztása. Valójában a user/pass páros (sima Ügyfélkapu) kivezetése az, ami nagy százalékban visszafogja majd az identitásmegosztásokat.
nem jogszerű és kifejezetten aggályos dolog - ezért _is_ kell mennie a levesbe
Akkor megy (teljesen) a levesbe, ha lesz helyette egyszerűbb, praktikusabb megoldás. Jelenleg nincs. Akinek a könyvelője/titkárnője intéz mindent, ő pedig csak nagyon ritkán ügyfélkapuzik, az be fogja léptetni a könyvelő/titkárnő okostelefonján a DÁP-ot, a maradék kevés ügyét pedig intézi a fizikai okmányaival. Teszi mindezt ugyanúgy jogszerűtlenül, mint TOTP esetben.
én meg arról, hogy ezt igen régen megoldották már azzal, hogy _jogosultságot_ lehet adni meghatalmazással másik személynek
Én arról beszéltem, hogy amíg bürokratikus akadályokat gördítenek a dolog elé, addig okosba fogják megoldani. Ettől persze még nem lesz sem jogszerű, sem helyes dolog. Mielőtt még ezzel is szalmabáboznál: Nem értek egyet az identitások megosztásával.
Az üzemeltetők azt csinálják, amit az adott szabályzatok lehetővé tesznek, amire megfelelő utasítást kapnak.
Captain Obvious strikes again.
Ha a két 3.14csa főnöke nem kér mindkettőjüknek jogosultságot, akkor a főnökük a hunyó első körben, második körben meg a két 3.04csa, akik nagyívben tojnak az előírásokra.
https://a.te.ervelesi.hibad.hu/lenyegtelen-konkluzio
Mindegy, hogy ki a hunyó. Ha nem tudják megoldani egyszerűen tisztán és szépen, akkor megoldják okosba csúnyán. Ennyi. Fogd fel!
Mely felhasználási feltételekben nem az szerepel, hogy alternatív YT kliens, hanem általában jogsértő módon működő alkalmazás nem kerülhet be.
A NewPipe nem jogsértő és fent lenne a Play Store-ban, ha nem a Google-hoz tartozna. Ahogy fent van az Apple Store-ban is a Yattee például.
A kulcs az védett tárolóban van, azt soha nem hagyta el
Az ne zavarjon, hogy pont ugyanez megvalósítható a base32 secrettel, ha biztonságos tárolóba rakod, esetleg még pluszban letitkosítod valamivel, amit csak biometriával, vagy mással lehet feloldani. Csak erre már lusták szoktak lenni a babzsákfejlesztők. Drága multikád, a Google pl. simán plaintextben tárolja az alkalmazástárhelyen a TOTP secreteket. 🤡 Bárki kiszedi onnan, akár temporary roottal. :) Ezért ne már a TOTP legyen a hibás, meg a szar, meg az elavult™ technológia.
a DÁP telepítése során kellett volna ahhoz a megfelelő rendszerhívásokat eltéríteni...
Látom, kezded végre megérteni, hogy az okostelefon sem szuperbiztonságos™.
innetől mutasd be, hogyan tudod észrevétlenül egy másik eszközzel megszemélyesíteni az adott DÁP jogos tulajdonosát.
Hiszen te is elmondtad: Elég egy malware, ami képes elkapni a regisztrációt és/vagy a TPM-ből kihúzni a privát kulcsot, de elég az is, ha a rootjával ráveszi a DÁP appot néhány észrevétlen belépésre.
Az user/pass/totp secret másolható, szabadon többszörözhető, és elég egyszer elvinni, utána az adott identitást n helyen lehet úgy használni, hogy de jura nem tagadhatja le az egyén, hogy ő volt - miközben semmit sem tudott az adott tevékenységről.
Nyugodtan leírhatod még százszor, ugyanaz lesz rá a válaszom. Ez esetben az SMS-es belépés biztonságosabb, mert nem marad észrevétlen és nem többszörözhető. Mit lép erre az Idomsoft? Ne legyen egyik se, legyen csak okostelefon, kényszerítsünk bele mindenkit a készülék(újra)vásárlásba! Ez utóbbival van még mindig bajom. Igazságtalan, szakmaiatlan húzás, amellett, hogy szemétség.
Egyékbént az a véleményem, hogy kezdettől fogva SMS-es autentikációt kellett volna előírni az Ügyfélkapura, és a TOTP-t csak azoknak engedélyezni, akiknek nincs mobiltelefonjuk (vagy nincs magyar mobilszámuk, ha külföldre drága az SMS). Így a jogszerűtlen többszörözés azért már egy fokkal kényelmetlenebb lett volna és 99% ígyis-úgyis rendelkezik mobiltelefonnal.
Ugyanezt hogy oldod meg a DÁP-pal, aminél az eszköz és az abban keletkezett, a tárolóelemből ki nem olvasható kulcsot használja a megoldás?
Az, hogy nem olvasható ki, egy idealizmus és szintén csak laboratóriumi körülmények között igaz. Az pedig még kevésbé igaz, hogy a secret nem szerezhető meg, akár a tárolóelem megkerülésével (lásd regisztráció eltérítése). Az pedig nettó hazugság, hogy a tárolóelemben tárolt kulcsot mindenképpen meg kell szerezni (akár így, akár úgy) egy malware általi visszaéléshez. Nem kell. Elég rávenni a DÁP appot erre, meg arra, majd ő szépen generál belépéseket, aláírásokat stb. a szuperbiztonságos™ tárolóelemet™ felhasználva. Komolyan azt gondolod, hogy ha ez széles körben elterjed (nem csak Magyarországon), nem lesz ott a dark weben, meg a Pegasus-hoz hasonlókat fejlesztő biztonsági cégeknél a tökéletes recept a kijátszására? Ha igen, akkor álomvilágban élsz. A Google IT-marketingálomvilágában.
De jelent: a másolható identitásoknak harangoztak. Ami a letagadhatatlanság és a jogszerű használat felé egy nagy lépés.
Még nagyobb visszalépés azok számára, akik jogszerűen használják az Ügyfélkaput, de nem használnak okostelefont.
Pedig nagyon úgy néz ki, hogy a védhetetlen (mert másolható) TOTP-t véded foggal-körömmel
https://a.te.ervelesi.hibad.hu/szalmabab
Nem a TOTP-t védem, többször is leírtam már, csak ezt szeretnéd rám olvasni, mert így szeretnéd megtámadni a véleményem.
hogy de az ugyanolyan jó, mint a DÁP
Technikailag lehetne ugyanolyan jó, ha a base32 secret biztonsága garantálható.
Az e-személyi jó _lenne_ ha maradna, de nem marad sajnos - ahogy mondjuk a Yubikey Bio sem lesz opció, mivel az árban egy olcsóbb mobiltelefonnak vetekszik, miközben "csak" azonsításra szolgál, méghozzá úgy, hogy külön adminisztrációt igényel az állampolgárhoz rendelése, illetve elvesztés/meghibásodás esetén a cseréje/tiltása.
Amit az igazságosság megkívánna, az egy olyan azonosítási mód, ami nem ad lehetőséget a visszaélésekre, de nem is tesz eszközújravásárlási kényszert a digitális állampolgárokra. Ilyen lenne a TOTP lecserélése SMS-faktorra.