Il 03/02/22 12:24, 380° ha scritto:
Damiano Verzulli <dami...@verzulli.it> writes:
[...]
Utilizzando il codice python che trovi nei commenti a questo thread:
https://www.reddit.com/r/ItalyInformatica/comments/oxateo/da_lepidaid_a_totp/
interessante articolo grazie!
mi pare un'istanza di quanto già segnalato:
https://blog.jacopo.io/it/post/spid-google-authenticator/
Si, sono entrambe letture interessanti per un tecnico. Grazie a te e
Damiano.
--8<---------------cut here---------------start------------->8---
Se qualcuno leggesse da Lepida, mettiamo in chiaro che apprezziamo molto
l'uso degli standard, e ci lamentiamo di come siano stati offuscati
invece di essere sfruttati appieno.
[...] Se il contenuto di questo post per qualche motivo fosse
considerato un problema da Lepida, il modo migliore per risolverlo
sarebbe implementare nella gestione account un enrolling standard col QR
per chi già usa TOTP con altri siti, volendo continuando a consigliare
la app che ha qualche feature in più.
--8<---------------cut here---------------end--------------->8---
Che poi (l'enrolling standard con QR) è esattamente quello che si fa per
identificarsi preso moltissimi fornitori di servizi, Google incluso!
quindi per ottenere i dati occorre installate mitmproxy, la app,
sniffare il traffico e applicare la sostituzione monoalfabetica (ma che
davero?!?!) al secret: non è proprio alla portata di tutti (anche con
script python), non trovi?
Già. Non capisco perchè anche chi apparentemente non infila cose assurde
e inammissibili nel proprio codice (come Lepida, a quanto pare) debba
essere più realista del re insistendo con la "sicurezza attraverso
l'oscurità".
per chi fosse interessato, poi il thread reddit spiega altri due modi
alternativi: uno che utilizza uno script python che non necessita di app
e mitmproxy, l'altro che utilizza un URI specifico e la funzione
"network debugger" del browser
molto interessante, infatti.
per curiosità: hai provato a chiedere a Lepida i tuoi dati per TOTP?
Spero ben che non abbia il secret totp degli utenti, se capisco cosa
intendi ... (in ogni caso occorre fidarsi se si usa l'app)
rob
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
