ugrás a tartalomhoz

QR kód követése böngészőből

inf3rno · 2014. Május. 29. (Cs), 05.02
Tudtok olyan firefox kiterjesztésről, ami képes QR kódot követni?

Elméletileg ez chrome-hoz működik. Arra vagyok kíváncsi, hogy lehetséges e ma megvalósítani QR kód alapú beléptető rendszert a hagyományos jelszavas megoldások helyett, illetve, hogy mennyire bonyolult mindez...
 
1

Miért kliens oldalon?

tisch.david · 2014. Május. 29. (Cs), 08.40
Szia Inr3rno!

Tetszik ez a QR kód alapú azonosítás ötlet, csak azt nem értem, hogy miért függ ez a kliens oldali támogatástól? Nem szerver oldali QR kód olvasó kéne, ami értelmezni tudja a felhasználó által feltöltött QR kódot? Vagy Te hogyan gondoltad ezt megvalósítani kliens oldalon?

Üdv:

Dávid
5

Még nem volt időm elolvasni a

inf3rno · 2014. Május. 29. (Cs), 23.30
Még nem volt időm elolvasni a cikket, csak gyorsan átfutottam, és annyit láttam, hogy elég egy kattintás ahhoz, hogy valaki belépjen, ahelyett, hogy gépelnie kellene jelszót, vagy ilyesmit, aztán ez annyira megtetszett, hogy elhamarkodottan nyitottam egy fórum témát neki... Lehet, hogy félreértettem, mindjárt elolvasom még egyszer.
8

Szia Inf3rno! Szerintem nem

tisch.david · 2014. Május. 30. (P), 09.02
Szia Inf3rno!

Szerintem nem volt elhamarkodott a témanyitás! :) Nekem is pont ez tetszett meg benne, mert már régóta nyüglődöm azzal, hogy hogyan lehetne egyedi, de mégis könnyen megjegyezhető jelszavakat választani az egyes szolgáltatásokhoz, hogy egyszerű is legyen és biztonságos is.
A felvetésedet olvasva rögtön az ugrott be, hogy ha egy kvázi egyedi ujjlenyomatot (pl. QR kód) lehetne feltölteni azonosítóként, amit a szerver ellenőrizne, akkor milyen frappánsan meg lehetne oldani ezt a kérdést.

Üdvözlettel:

Dávid
2

Van pár

Endyl · 2014. Május. 29. (Cs), 10.03
Van pár, ami tud ilyet, de ahogy néztem, jobbára valamilyen online szolgáltatást használnak a dekódoláshoz, így magukban hordozzák azoknak a hibáit is a sajátjaikon felül.

Az engem is érdekelne, hogy hogyan használnád ezt beléptetéshez, mert ha valahol megjelenik egy ilyen kód, azt elég könnyű lenyúlni egy gyors fotóval. Persze lehet, hogy én gondolok erre rossz szemszögből.
6

Ja, találtam közben más

inf3rno · 2014. Május. 29. (Cs), 23.31
Ja, találtam közben más automatikus beléptető módszert, pl a cert based auth-ot minden böngésző támogatja, csak a szervert kell belőni hozzá, és máris autmatikus a beléptetés...
3

Olvasó

Poetro · 2014. Május. 29. (Cs), 10.46
Ennek nem látom sok értelmét, mivel a QR kód könnyen másolható, és újra generálható. Elég csak egy QR kód olvasásra képes eszközzel 1-2 másodperc, és leolvastad a kódot, és onnantól kezdve akár mennyiszer reprodukálni tudod. És mivel QR kód alapján azonosítasz, azt mindenképpen meg kell valahogy publikusan mutatnod, mondjuk fel kell tartanod egy kamerának, ami azonnal magával vonja a másolás lehetőségét.

Ennek megfelelően a QR kód szerintem az autentikáció csak egyik részéért lehet felelős, mondjuk ez szolgáltathatja a publikus kulcsot, a titkos kulcsot neked kell megadnod valamilyen más formában.
4

Challange-response

vbence · 2014. Május. 29. (Cs), 18.14
Kicsit továbbgondolva: a szolgáltatás ad egy véletlen (nem ismétlődő) bitsorozatot, amit a képernyőről beszkennelsz. A telefonod tartalmazza a titkot, amit a bitsorozattal összekombinál és az eredményt megjelníti - szintén QR kód formájában - amit a böngésző feldolgoz.

Mivel egyzser használható kódokról van szó, a másolás itt nem okoz problémát.
7

Örülök, hogy sikerült

inf3rno · 2014. Május. 29. (Cs), 23.33
Örülök, hogy sikerült brainstorming-ot indítanom a témában. Még nagyon új nekem ez az egész koncepció, kell még pár nap, hogy átfussam mire jó, és mire nem, utána talán tudok én is érdemben válaszolni...
9

Előadás

vbence · 2014. Május. 30. (P), 11.38
Ajánlom ezt az előadást Mario Klingemann jóvoltából. Nagyon szórakoztató és informatív.

Itt ugyan flashben dolgozik, de nem igazán kódközpontú.
10

Visszaválasz

zzrek · 2014. Május. 30. (P), 15.21
Visszaválasz mehet a neten is. Vagyis a mobil beolvassa a böngészőben megjelenő QR-t, és azt átkódolva a szervernek küld egy kérést.
11

Én is valami ilyesmire

inf3rno · 2014. Május. 31. (Szo), 01.42
Én is valami ilyesmire gondoltam, van egy telefonodra jellemző kulcs, amit ha engedélyezed, összekombinál az oldal qr kódjával, és elküldi az oldalnak az eredményt. Ha az eredmény hozzá van kötve egy account-hoz az oldal adatbázisában, akkor beenged az oldal, ellenkező esetben nem. Ehhez viszont mindenképp kell valamilyen böngészőbe épített megoldás. Másrészt meg akkor már nekem jobb megoldásnak tűnik a cert based auth, mint ez, mert az eleve támogatott.
12

Miért?

zzrek · 2014. Május. 31. (Szo), 12.43
Miért kell böngészőtámogatás? Ha a mobil a neten jelez vissza az oldal szerverének, az nem jó?
13

Nem, mármint én nem mobilos

inf3rno · 2014. Május. 31. (Szo), 12.50
Nem, mármint én nem mobilos fényképezgetésre gondoltam, hanem simán pc-vel történő böngészésre... A mobilos megoldás külön programmal szintén működőképes ötlet, de tuti nem fogom elővenni a mobilom csak azért, hogy pc-n bejelentkezzek valahova. Esetleg pénzügyi rendszereknél megteszem ezt a szívességet, másnál nem hiszem.
14

inf3rno, le tudnád írni a

Max Logan · 2014. Május. 31. (Szo), 14.21
inf3rno, le tudnád írni a folyamatot, pontról-pontra, mert én totálisan összekeveredtem és nem értem, hogy hol jelenik meg a QR kód, miért került képbe a mobiltelefon, és ki mit kezd a QR kóddal, mitől lesz ez azonosító eszköz, és mitől lesz az egész folyamta "fájdalommentes"?
15

http://corp.galois.com/blog/2

inf3rno · 2014. Május. 31. (Szo), 18.24
http://corp.galois.com/blog/2011/1/5/quick-authentication-using-mobile-devices-and-qr-codes.html

Itt van egy létező megoldás a dologra, aminél mobiltelefonnal lépnek be. Nem olvastam végig, de valószínűleg arról van szó, hogy a felhasználó kap egy egyedi url-t kódoló qr kódot a böngészőjébe, ami mellé már eleve fut egy session, szóval tudja a rendszer, hogy melyik munkamenethez melyik kód tartozik. Ezek után azt lefényképezi a felhasználó a telefonjával, a telefon pedig az url-re elküldi a felh nevet és jelszót a rajta lévő jelszó tárolóból. Innentől kezdve a felhasználó be van jelentkezve, csak annyit kell tennie, hogy frissíti az oldalt, vagy hagyja, hogy valamilyen comet vagy websocket frissítse neki. Ez nem igazán könnyíti meg szerintem a felhasználó dolgát, én legalábbis nem venném elő a mobilomat azért, hogy belépjek egy oldalra, esetleg ha eleve mobillal böngészek az lehet más. Banki rendszereknél nem fogadják el, mert nem mondható két faktoros azonosításnak, mivel csak a mobilod, ami azonosít, azt meg ellophatják.

Amire én gondoltam, az gyakorlatilag ugyanez lenne, csak nem mobillal, hanem a böngészőbe építve, de így utólag átgondolva körülbelül ugyanannyit tudna, mint a böngészőkbe épített jelszó tároló, szóval nagy előnye nem lenne, maximum annyi, hogy nagyon hosszú jelszavakat is meg tudna jegyezni.