Login

Recent searches

No recent searches

Search options

Only available when logged in.
fosstodon.org is one of the many independent Mastodon servers you can use to participate in the fediverse.
Fosstodon is an invite only Mastodon instance that is open to those who are interested in technology; particularly free & open source software. If you wish to join, contact us for an invite.

Administered by:

Server stats:

10K
active users

fosstodon.org: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.7

#jwt

0 posts0 participants0 posts today
Replied in thread
Public *
Erik van Straten

@fleaz : it's not MultiMultiFactorAuthentication but 1FA max.

Assuming that you don't use those hardware keys to generate TOTP codes (which are pointless when confronted with the likes of #Evilginx2), but use WebAuthn instead (FIDO2 passkeys in hardware keys), everything depends on one factor: the domain name of the website.

1️⃣ DV-CERTS SUCK
It is not very common that certificates are issued to malicious parties, but it *does* happen now and then (infosec.exchange/@ErikvanStrat).

2️⃣ SUBDOMAINS
Furthermore, sometimes organizations have "dangling" subdomain names. For example,

test.example.com

may point to the IP-adress of some cloud server no longer used by example.com. Anyone with write access to that server may install a fake "test.example.com" website and phish you to it. It *may* be used to phish your WebAuthm credentials *if* "example.com" does not explicitly *DENY* WebAuthn from "test.example.com".

See github.com/w3ctag/design-revie for how Google prevents "sites.google.com" from authenticating to "google.com".

3️⃣ DNS HACKED
It may not be neccessary to execute BGP-hijacks to redirect network traffic to an impostor: it also all depends on how reliable DNS records are protected against unauthorized access. If the dude in charge for DNS uses a stupid password only, or the DNS provider is easily fooled into believing "I forgot my creds", it's game over. The crooks will obtain a DV-cert in no time, no questions asked, for free.

4️⃣ All the bells and whistless are moot if there's an alternative way to log in (such as by using a 1FA rescue code) and the user is fooled into providing it (after they've been lied to that their WebAithn public key on the server became corrupted or was lost otherwise).

5️⃣ Cloudflare MitM's https connections (it's not a secret: blog.cloudflare.com/password-r). The same applies to any server you log in to, which is accessible by untrustworthy personnel. They can steal your session cookie.

6️⃣ In the end MFA/2FA is a hoax anyway, because the session cookie (or JWT or whatever) is 1FA anyway.

Did I mention the risks of account lockout with hardware keys that cannot be backupped? And the mess it is to keep at least one other hardware key synchronized if it's in a vault? And the limitation of, for example, 25 WebAuthn accounts max? And (unpatcheable) vulnerabilities found in hardware keys? And their price? And how easy it is to forget or loose them?

@odr_k4tana

Infosec ExchangeErik van Straten (@ErikvanStraten@infosec.exchange)🌘DV-CERT MIS-ISSUANCE INCIDENTS🌒 🧵#3/3 Note: this list (in reverse chronological order) is probably incomplete; please respond if you know of additional incidents! 2024-07-31 "Sitting Ducks" attacks/DNS hijacks: mis-issued certificates for possibly more than 35.000 domains by Let’s Encrypt and DigiCert: https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ (src: https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/) 2024-07-23 Let's Encrypt mis-issued 34 certificates,revokes 27 for dydx.exchange: see 🧵#2/3 in this series of toots 2023-11-03 jabber.ru MitMed/AitMed in German hosting center https://notes.valdikss.org.ru/jabber.ru-mitm/ 2023-11-01 KlaySwap en Celer Bridge BGP-hijacks described https://www.certik.com/resources/blog/1NHvPnvZ8EUjVVs4KZ4L8h-bgp-hijacking-how-hackers-circumvent-internet-routing-security-to-tear-the 2023-09-01 Biggest BGP Incidents/BGP-hijacks/BGP hijacks https://blog.lacnic.net/en/routing/a-brief-history-of-the-internets-biggest-bgp-incidents 2022-09-22 BGP-hijack mis-issued GoGetSSL DV certificate https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/ 2022-09-09 Celer Bridge incident analysis https://www.coinbase.com/en-nl/blog/celer-bridge-incident-analysis 2022-02-16 Crypto Exchange KLAYswap Loses $1.9M After BGP Hijack https://www.bankinfosecurity.com/crypto-exchange-klayswap-loses-19m-after-bgp-hijack-a-18518 🌘BACKGROUND INFO🌒 2024-08-01 "Cloudflare once again comes under pressure for enabling abusive sites (Dan Goodin - Aug 1, 2024) https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/ 2018-08-15 Usenix-18: "Bamboozling Certificate Authorities with BGP" https://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee Edited 2024-09-05 14:19 UTC: corrected the link for the "jabber.ru" incident. #DV #LE #LetsEncrypt #Certificates #Certs #Misissuance #Mis_issuance #Revocation #Revoked #Weaknessess #WeakCertificates #WeakAuthentication #Authentication #Impersonation #Identification #Infosec #DNS #DNSHijacks #SquareSpace #Authorization #UnauthorizedChanges #UnauthorizedModifications #DeFi #dydx_exchange #CryptoCoins
#1FA#2FA#MFA
Public
Habr

[Перевод] Перестаньте использовать JWT для сессий

К сожалению, в последнее время всё больше и больше людей советуют использовать JWT для управления пользовательскими сессиями в веб-приложениях. Это ужасная идея, и в этом посте я объясню, почему.

habr.com/ru/articles/892556/

ХабрПерестаньте использовать JWT для сессийК сожалению, в последнее время всё больше и больше людей советуют использовать JWT для управления пользовательскими сессиями в веб-приложениях. Это ужасная, ужасная идея, и в этом посте я объясню,...
#jwt#system_design#web_developement
Public
Habr

Регистрация по взрослому: @AuthenticationalPrinciple, JWT, UserDetails

Казалось бы, что может быть проще создания регистрации и логика: взял пароль, взял username, сохранил в базу, когда пользователь заходит, просто сравниваешь значения с теми, что лежат в базе. А потом кто-то взламывает доступ к твоей базе и продает строчку за рубль. А если у тебя еще и приложение, где у пользователя есть информация о банковском счете, а у тебя пароли лежат незашифрованные в базе. Сегодня я покажу как решить эту проблему.

habr.com/ru/articles/892480/

ХабрРегистрация по взрослому: @AuthenticationalPrinciple, JWT, UserDetailsКазалось бы, что может быть проще создания регистрации и входа: взял пароль, взял username, сохранил в базу, когда пользователь заходит, просто сравниваешь значения с теми, что лежат в базе. Отсюда...
#Spring#Jwt#Security
Public
jwt

It’s #BandcampFriday!

My new #bonkwave and #notBonkwave albums are available

justwoodenteeth.bandcamp.com

Cyan is quiet and mostly calm. Indigo is loud and mostly mad.

Please listen and boost if you liked it! Feel free to PAY £0 to download to your device!

Thanks in advance ❤️ (I am trying my best to be somewhat ok at self promotion 😅 but you can mute #jwt if you don’t want to see this sort of thing going forward ☺️)

Just Wooden TeethJust Wooden Teeth
#musicProduction#ableton#piano
Public
Habr

Почему JWT — не панацея: разбор проблем сессий и безопасности

JWT для сессий: удобство или головная боль? JSON Web Token (JWT) приобрёл популярность как удобный способ аутентификации и передачи данных между клиентом и сервером. Его ценят за простоту , stateless-подход и гибкость . Однако большинство гайдов рассказывают только о плюсах, забывая о недостатках . В этой статье мы разберём основные проблемы использования JWT для хранения пользовательских сессий и обсудим более надёжные альтернативы.

habr.com/ru/articles/884912/

ХабрПочему JWT — не панацея: разбор проблем сессий и безопасностиВведение JSON Web Token (JWT) приобрёл популярность как удобный способ аутентификации и передачи данных между клиентом и сервером. Разработчики ценят его за простоту, независимость от состояния...
#jwt#jwt_auth#json_web_token
Public
Habr

Взгляд на JWT как на инструмент построения стройной архитектуры приложения

Три года назад мне поручили задачу по распилу сразу двух монолитов с вынесением в общий микросервис данных пользователей и созданием единого механизма аутентификации и авторизации. Конечной целью этого действа было создание надежной базы для перехода всей разработки в команде на микросервисную архитектуру. Тогда-то я впервые и применил на практике JWT, результатами чего остался очень доволен. В этой статье я хочу поделиться своим опытом работы с этим стандартом на конкретных примерах и рассказать, почему он удовлетворяет все мои потребности как разработчика в самых разных проектах: новых и долгоживущих, микросервисных и монолитных, в ситуациях, когда нужно быстро накидать MVP, и когда требуется не спеша и вдумчиво заложить основу на долгие годы качественной разработки.

habr.com/ru/articles/882152/

ХабрВзгляд на JWT как на инструмент построения стройной архитектуры приложенияТри года назад мне поручили задачу по распилу сразу двух монолитов с вынесением в общий микросервис данных пользователей и созданием единого механизма аутентификации и авторизации. Конечной целью...
#jwt#jwt_token#php
Public
Habr

Используем API Key и JWT Bearer аутентификацию вместе в ASP.NET Core Web API

Я расскажу, как реализовать аутентификацию с использованием как JWT, так и API-ключа на одном и том же endpoint в ASP.NET Core Web API. Совмещение этих схем аутентификации полезно, если вы хотите использовать токен JWT Bearer для аутентификации пользователей и API-ключ для аутентификации между сервисами.

habr.com/ru/articles/879424/

ХабрИспользуем API Key и JWT Bearer аутентификацию вместе в ASP.NET Core Web APIЯ расскажу, как реализовать аутентификацию с использованием как JWT, так и API-ключа на одном и том же endpoint в ASP.NET Core Web API. Совмещение этих схем аутентификации полезно, если вы хотите...
#net#net_core#net_8
Public *
D:\side\

:blobcatthinkingglare: Не спрашивайте почему, меня тут на сайт #JWT[0] занесло. И меня здорово озадачил счётчик "созданных токенов".

Как его предполагалось интерпретировать?

Что во всех "официальных" библиотеках о факте создания каждого токена сообщается чёрт-те куда из потенциально очень чувствительного контекста?
Или эти цифры всего лишь статистическая аппроксимация при участии генератора случайных чисел и к реальности не имеют почти никакого отношения?

А то любое объяснение из этих двух это нехороший звоночек :blobcatglare:

[0]: jwt.io/

jwt.ioJWT.IOJSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.
#безопасность#infosec#security
Replied in thread
Public
Erik van Straten

@fifonetworks : that's scary. Phishers will abuse it (on fake websites) by stating that, for example for technical reasons, the user has to log in again.

So if people are aware of that risk, it may not be *that* bad. But most people do not look at domain names if a webpage looks familiar.

On my smartphone, infosec.exchange also permanently remembers me.

It would probably do that too if I had enabled 2FA (which, IMO, has more disadvantages than it has advantages - so I'm not using it).

If I need it, all credentials are in my password manager - which uses Autofill (as I described here, showing a screenshot: infosec.exchange/@ErikvanStrat).

OTOH, for example on security.nl, if there's even a glitch in my WiFi causing my phone to temporarily switch to 5G (and back to WiFi), I'm immediately logged out (and may unrecoverably loose all text that I've entered - quite frustrating).

I'm not sure what I prefer.

Mastodon hosted on infosec.exchangeInfosec ExchangeA Mastodon instance for info/cyber security-minded people.
#SessionCookies#CookieLifetime#JWT
Public
Michael Simons

Everybody who is happy about #Garmin having rolled out #ECG in the #EU and has now #2fa enabled in their account but still want to script a thing or two with #JWT and #Bearer from the site, rejoice… My login script can now deal with that, too… Love #curl and #jq

github.com/michael-simons/garm

Now I wait for a new firmware for my watch, because I'm on a beta on which ECG is disabled, lol…

GitHubgarmin-babel/bin/retrieve_garmin_tokens_2fas.sh at main · michael-simons/garmin-babelTooling for the archive created by Garmin datamanagement. - michael-simons/garmin-babel
ExploreLive feeds
About