Der Nachrichten Thread
- Ersteller Gerri
- Erstellt am
Benutzer, welche sich diesen Thread anschauen:
naja..es ist ja soweit sicher und sicherlich auch vollkommen korrekt implementiert - aber wenn du den hauptschlüssel hast, hast du den hauptschlüssel.
OIDC2 hat verschiedene authentication und authorization verfahren..
authenticaten stellt deine identität fest.
authorization stellt deine rechte im system fest.
du gehst hin und hast die möglichkeit auf verschiedene art und weise deine identität zu behaupten.. username passwort, ein twofactor dingsi, einen apikey, einen retina scan...fingerabdrücke...dein foto...einen bereits ausgestellten veralteten accesstoken den du gerne refreshen würdest um deinen user nicht mit einer herausforderung zu konfrontieren (security kompromiss anyone?) etc.
und du kommst damit an und "claimst" in einem Array das "claims" heisst was du für ein token ausgestellt haben möchtest, weil der service mit dem du reden möchtest vorschreibt was du claimen musst, damit das stattfinden kann. Zusätzlich gibts noch scopes, die wie so eine art makro für eine liste von claims funktionieren können.
das authorization system schaut dann nach ob es dir diese rechte geben kann und von allem was du geclaimt hast - je nach dem was du für rechte hast - bekommst du dann sogenantne grants in deinem accesstoken für eine gewissen zeitraum (siehe oben refreshtoken)
Mit dem accesstoken gehst du dann an den service mit dem du sprechen willst und machst was du willst, was deine grants hergeben... und der Hauptschlüssel gilt vermutlich für verdammt viele claims. Dieser Service - geht bestenfalls hin und fragt beim Accountservice nach ob das alles seine richtigkeit hat (introspect?!) - aber nicht immer...kann auch sien das er dem accesstoken einfach vertraut.
ein Beispiel..
sagen wir konsolentreff hätte zwei funktionen..
einen regulären foren-zugriff und mod-rechte.
Im system ist hinterlegt das ein User existiert der okst666 heisst und forenrechte - aber keine modrechte hat.
Ich bin der böse okst und ich logge mich jetzt bei account.konsolentreff.de ein und behaupte in dem request.
ich bin okst666 - mein passwort lautet soundso und ich claime "forenrechte" und "modrechte".
der authentication-teil sagt "ok" okst666 existiert und es hat folgende rechte "forenrecht" und fügt das dem grants array des accesstokens zu.
jetzt werde ich weitergeleitet auf das forum und das forum schaut..darf der "forenrechte" und in meinem accesstoken steht bei grants "forenrechte" und alles ist groovy.
jetzt bin ich aber ein fieser möpp und will in den coolen mod bereich wo man alle pms lesen kann.
Rufe die Seite auf und die checked ob das token das recht "modrechte" hat - und das hab ich nicht -> 403 forbidden.
eigentlich ganz easy. Das kann ein dreijähriger programmieren und da glaub ich einfach nicht an einen Fehler den microsoft da gemacht haben soll.
Im prinzip (also das Prüfen der Rechte) macht konsolentreff das sicherlich ziemlich ähnlich - aber eben nicht nach OIDC2 - was der standard ist und wie so ziemlich jeder große (microsoft, apple, facebook google,etc) das tut.
OIDC2 hat verschiedene authentication und authorization verfahren..
authenticaten stellt deine identität fest.
authorization stellt deine rechte im system fest.
du gehst hin und hast die möglichkeit auf verschiedene art und weise deine identität zu behaupten.. username passwort, ein twofactor dingsi, einen apikey, einen retina scan...fingerabdrücke...dein foto...einen bereits ausgestellten veralteten accesstoken den du gerne refreshen würdest um deinen user nicht mit einer herausforderung zu konfrontieren (security kompromiss anyone?) etc.
und du kommst damit an und "claimst" in einem Array das "claims" heisst was du für ein token ausgestellt haben möchtest, weil der service mit dem du reden möchtest vorschreibt was du claimen musst, damit das stattfinden kann. Zusätzlich gibts noch scopes, die wie so eine art makro für eine liste von claims funktionieren können.
das authorization system schaut dann nach ob es dir diese rechte geben kann und von allem was du geclaimt hast - je nach dem was du für rechte hast - bekommst du dann sogenantne grants in deinem accesstoken für eine gewissen zeitraum (siehe oben refreshtoken)
Mit dem accesstoken gehst du dann an den service mit dem du sprechen willst und machst was du willst, was deine grants hergeben... und der Hauptschlüssel gilt vermutlich für verdammt viele claims. Dieser Service - geht bestenfalls hin und fragt beim Accountservice nach ob das alles seine richtigkeit hat (introspect?!) - aber nicht immer...kann auch sien das er dem accesstoken einfach vertraut.
ein Beispiel..
sagen wir konsolentreff hätte zwei funktionen..
einen regulären foren-zugriff und mod-rechte.
Im system ist hinterlegt das ein User existiert der okst666 heisst und forenrechte - aber keine modrechte hat.
Ich bin der böse okst und ich logge mich jetzt bei account.konsolentreff.de ein und behaupte in dem request.
ich bin okst666 - mein passwort lautet soundso und ich claime "forenrechte" und "modrechte".
der authentication-teil sagt "ok" okst666 existiert und es hat folgende rechte "forenrecht" und fügt das dem grants array des accesstokens zu.
jetzt werde ich weitergeleitet auf das forum und das forum schaut..darf der "forenrechte" und in meinem accesstoken steht bei grants "forenrechte" und alles ist groovy.
jetzt bin ich aber ein fieser möpp und will in den coolen mod bereich wo man alle pms lesen kann.
Rufe die Seite auf und die checked ob das token das recht "modrechte" hat - und das hab ich nicht -> 403 forbidden.
eigentlich ganz easy. Das kann ein dreijähriger programmieren und da glaub ich einfach nicht an einen Fehler den microsoft da gemacht haben soll.
Im prinzip (also das Prüfen der Rechte) macht konsolentreff das sicherlich ziemlich ähnlich - aber eben nicht nach OIDC2 - was der standard ist und wie so ziemlich jeder große (microsoft, apple, facebook google,etc) das tut.
Zuletzt bearbeitet:
Das ist doch mit der Knackpunkt oder nicht, der Hauptschlüssel ist vermutlich ja kaum aus dem Himmel gefallen. Ob Microsoft alles richtig gemacht diesbezüglich man weiß es nicht. Inklusive der Kommunikation nach außen.
Zuletzt bearbeitet:
nun .. es ist mit sicherheit eine Guid oder bestenfalls eine UUID die ein bischen länger ist..im grunde kannste das alles per brute force rauskriegen.. Man kann alles per brute force rauskriegen - ist nur eine Frage der Zeit.
* bin mir gerade nicht sicher..war mir eigentlich immer ziemlich sicher das diese UUID viel viel viel länger sind als guids - aber das scheint nicht mehr der fall zu sein... oder ich google gerade nicht richtig. Gerade im Zusammenhang mit Active Directory Schemas...aber ich finds nicht. Einbildung vielleicht..
Was ich vielleicht einräumen würde wäre, das die verwendung einer dieser speziellen super duper keys evtl ein bischen besser gelogged bzw - irgendwelche alarme auslösen sollte. Ich gehe davon aus das diese Keys sonst nicht allgemein verwendet werden. Aber who knows.
* bin mir gerade nicht sicher..war mir eigentlich immer ziemlich sicher das diese UUID viel viel viel länger sind als guids - aber das scheint nicht mehr der fall zu sein... oder ich google gerade nicht richtig. Gerade im Zusammenhang mit Active Directory Schemas...aber ich finds nicht. Einbildung vielleicht..
Was ich vielleicht einräumen würde wäre, das die verwendung einer dieser speziellen super duper keys evtl ein bischen besser gelogged bzw - irgendwelche alarme auslösen sollte. Ich gehe davon aus das diese Keys sonst nicht allgemein verwendet werden. Aber who knows.
Zuletzt bearbeitet:
Eventer
Twitch.tv/eventer_
Rheinland-Pfalz - SWR Recherche: Große Unternehmen entnehmen Milliarden Liter Grundwasser
In Rheinland-Pfalz haben die Behörden einem Medienbericht zufolge erstmals die Unternehmen benannt, die das meiste Grundwasser abschöpfen.
https://www.deutschlandfunk.de/swr-...tnehmen-milliarden-liter-grundwasser-100.html
In Rheinland-Pfalz haben die Behörden einem Medienbericht zufolge erstmals die Unternehmen benannt, die das meiste Grundwasser abschöpfen.
https://www.deutschlandfunk.de/swr-...tnehmen-milliarden-liter-grundwasser-100.html
Eventer
Twitch.tv/eventer_
Russland-Afrika-Gipfel - AU-Vorsitzender plädiert für Frieden mit der Ukraine
Zum Auftakt des Russland-Afrika-Gipfels hat sich der Vorsitzende der Afrikanischen Union, Assoumani, für eine friedliche Koexistenz Russlands und der Ukraine ausgesprochen.
https://www.deutschlandfunk.de/au-vorsitzender-plaediert-fuer-frieden-mit-der-ukraine-102.html
Zum Auftakt des Russland-Afrika-Gipfels hat sich der Vorsitzende der Afrikanischen Union, Assoumani, für eine friedliche Koexistenz Russlands und der Ukraine ausgesprochen.
https://www.deutschlandfunk.de/au-vorsitzender-plaediert-fuer-frieden-mit-der-ukraine-102.html
Eventer
Twitch.tv/eventer_
Russland-Afrika-Gipfel - Putin verspricht mehreren afrikanischen Staaten Gratis-Getreidelieferungen
In Sankt Petersburg hat Präsident Putin den zweitägigen Russland-Afrika-Gipfel eröffnet. Zum Auftakt erklärte er, Russland sei in der Lage, Getreidelieferungen aus der Ukraine zu ersetzen. Einige afrikanische Länder müssten nichts dafür bezahlen.
https://www.deutschlandfunk.de/puti...n-staaten-gratis-getreidelieferungen-100.html
In Sankt Petersburg hat Präsident Putin den zweitägigen Russland-Afrika-Gipfel eröffnet. Zum Auftakt erklärte er, Russland sei in der Lage, Getreidelieferungen aus der Ukraine zu ersetzen. Einige afrikanische Länder müssten nichts dafür bezahlen.
https://www.deutschlandfunk.de/puti...n-staaten-gratis-getreidelieferungen-100.html
Eventer
Twitch.tv/eventer_
Notenbank - EZB hebt Zinsen um weitere 0,25 Prozentpunkte an
Wegen der anhaltend hohen Inflation hat die Europäische Zentralbank den Leitzins abermals angehoben.
https://www.deutschlandfunk.de/ezb-hebt-zinsen-um-weitere-0-25-prozentpunkte-an-102.html
Wegen der anhaltend hohen Inflation hat die Europäische Zentralbank den Leitzins abermals angehoben.
https://www.deutschlandfunk.de/ezb-hebt-zinsen-um-weitere-0-25-prozentpunkte-an-102.html
XettMan
Captain Slow
Und das ist sogar Original Getreide aus der Ukraine von ukrainischen Bauern angebaut.
Und mein Arbeitgeber ist auch ziemlich weit oben :>
Arthur le perroquet
LP640 <3
Eventer
Twitch.tv/eventer_
Kinder-Betreuung - IW: Zehn Jahre nach Beginn des Rechtsanspruch fehlen hunderttausende Kita-Plätze
Zehn Jahre nach Inkrafttreten des Rechtsanspruchs auf einen Kita-Platz fehlen laut dem Institut der deutschen Wirtschaft weiterhin hunderttausende Betreuungsplätze. Die Lücke sei sogar noch gewachsen, teilte das IW mit. Während 2014 noch rund 187.000 Plätze fehlten, seien es im vergangenen Jahr knapp 266.000 gewesen.
https://www.deutschlandfunk.de/iw-z...-fehlen-hunderttausende-kita-plaetze-102.html
Zehn Jahre nach Inkrafttreten des Rechtsanspruchs auf einen Kita-Platz fehlen laut dem Institut der deutschen Wirtschaft weiterhin hunderttausende Betreuungsplätze. Die Lücke sei sogar noch gewachsen, teilte das IW mit. Während 2014 noch rund 187.000 Plätze fehlten, seien es im vergangenen Jahr knapp 266.000 gewesen.
https://www.deutschlandfunk.de/iw-z...-fehlen-hunderttausende-kita-plaetze-102.html
Eventer
Twitch.tv/eventer_
Njet zu freier Rede: Russland schafft die Online-Anonymität ab
Russland war schon vor dem Angriff auf die Ukraine keine Bilderbuch-Demokratie, doch den Überfall auf den Nachbarn nimmt das Putin-Regime immer mehr zum Anlass, Bürgerrechte abzuschaffen. Das betrifft nun auch das Netz, denn Russland schafft die Anonymität ab.
https://winfuture.de/news,137690.html
Russland war schon vor dem Angriff auf die Ukraine keine Bilderbuch-Demokratie, doch den Überfall auf den Nachbarn nimmt das Putin-Regime immer mehr zum Anlass, Bürgerrechte abzuschaffen. Das betrifft nun auch das Netz, denn Russland schafft die Anonymität ab.
https://winfuture.de/news,137690.html
Gerri
FSV Mainz 05!
und während gerade nur noch über Brandmauern in Europa geredet wird, geht sowas ganz unter =>
Edgars Rinkēvičs wird der erste offen schwule Präsident Europas.
https://taz.de/Neuer-Praesident-in-Lettland/!5938046/
Edgars Rinkēvičs wird der erste offen schwule Präsident Europas.
https://taz.de/Neuer-Praesident-in-Lettland/!5938046/
Eventer
Twitch.tv/eventer_
Ampel plant radikalen Sparkurs bei der Digitalisierung
Statt 377 Millionen Euro 2022 will das Bundesinnenministerium nächstes Jahr nur noch 3 Millionen in die Digitalisierung investieren.
https://www.golem.de/news/digitale-...kurs-bei-der-digitalisierung-2308-176367.html
Zum glück ist D digital so gut aufgestellt...
Statt 377 Millionen Euro 2022 will das Bundesinnenministerium nächstes Jahr nur noch 3 Millionen in die Digitalisierung investieren.
https://www.golem.de/news/digitale-...kurs-bei-der-digitalisierung-2308-176367.html
Zum glück ist D digital so gut aufgestellt...
