Mastodawn

Шуро May 27

#ПодумалТут на тему новой гугл-капчи, где надо сканировать QR-код. Зря, конечно, они сделали так, что это работает и на iPhone тоже, не работает только на разгугленных телефонах.

Было бы гораздо интереснее, если бы были Google-капча и Apple-капча, поддерживаемые только соответствующими устройствами. И чтоб обе компании соревновались за размещение именно своей. Это бы подстегнуло подутихший дух соперничества между пользователями Эппл и Андроид. Чтобы совсем не терять аудиторию, где-то для владельцев устройства не той системы можно предложить альтернативу - скажем, посмотреть пять рекламных роликов подряд.

Обе компании приходили бы к владельцам ресурсов и предлагали бы закрыться именно их капчей. Перекупали бы их друг у друга и платили комиссии. Появились бы сайты и сервисы "для пользователей айфонов" и "андроидов". Скажем, знаешь, что на этом сайте знакомств у всех айфон, так как иначе туда и не зайдут.

Со временем можно перенести в реальную жизнь. Скажем, общественный туалет с эппл-капчей бесплатен, а иначе 300 рублей. Парковочные места для владельцев Самсунг S26 Ultra. Или даже вот полиция останавливает и просит предъявить мессенджер Мах, а потом - "А не скомпрометировано ли у вас устройство? Сейчас капчу проверим или в отдел пройдём?"

Красота же.

Google добавила QR-код в reCAPTCHA для проверки пользователей — Тайпспейс Медиа на vc.ru

Google внедрила проверку через QR-код в reCAPTCHA, подтверждение входа с помощью камеры смартфона, защита при логине и оплате

vc.ru

Iron Bug May 27

@shuro ну,судя по картинке, там есть альтернативные варианты. какие-то наушники и глаз нарисованы. никогда это не пробовала нажимать, но если действительно будут требовать "распознать" капчу, то, наверное, придётся перейти на эти способы. я не сраный биоробот, чтобы эти чисто технические коды читать глазами.

Шуро | Deko Friends

Старый По Литикан May 27

@iron_bug я полагаю, ты и не ходишь на сайты, где потребуется такая капча.
@shuro

Iron Bug May 28

@shuro @limping в норме - да. но гугл придумал какую-то хуйню, что ты "не пользуешься" мылом, если получаешь почту, но ничего не отправляеешь. а отправлять там стало нельзя с помощью нормальных почтоыйх агентов без всякой припизди. поэтому раз в погода или типа того надо зати через их идиотский веб-интерфейс и отправить что-нибудь типа "test connection" на свой же адрес. и вот тут может вылезти подобная херня.
а ещё иногда работодатели используют гугломит, который тоже может выебнуться и что-нибудь потребовать, если ты в норме не логинишься в гугле и не схраняешь куки. а я, конечно, этого не делаю.

Шуро | Deko Friends

Старый По Литикан May 28

@iron_bug я отправляю почту из GMail из обычной почтовой программы Thunderbird.
У них ведь теперь строго OAuth для таких программ. Никаких обычных паролей.

Wandering Thinker May 28

@iron_bug @limping Именно поэтому я и похерил их мыло. Вместо Thunderbird у меня исторически Claws Mall. И никакого OAuth.

Iron Bug May 28

@wthinker @limping а там даже не OAuth, там какая-то чисто гугловская херня, копрорастическая. и я считаю, что софт не должен раскорячиваться под копрорастов. это нарушение стандартов. в протоколе SMTP такого нет.

Wandering Thinker | LIBRANET.de

Старый По Литикан May 28

@iron_bug вот что используется в GMail, если я правильно понимаю:
#OAUTHBEARER #RFC6750
https://www.rfc-editor.org/rfc/rfc7628.html#section-3

Iron Bug May 28

@limping тут вопрос не в том, какой протокол используется для передачи токена. тут проблема в том, что сам токен генерится не твоим сервером на твоей стороне, а выпускается каким-то левым авторизационным источником. и любой, кто владеет этим токеном, имеет доступ ко всем твоим ресурсам. это очень стрёмно.

Старый По Литикан May 29

@iron_bug
> а выпускается каким-то левым авторизационным источником

Да каким же левым, если в контексте обсуждаемого сценария — выпускает его тот же сервер GMail, на который ты логинишься.

И причём тут вообще твой сервер на твоей стороне? Он же ничего не выпускает для GMail, ни паролей, нифига.

Iron Bug May 29

@limping >Он же ничего не выпускает для GMail, ни паролей, нифига.
вот в этом и проблема. пароли, ключи и прочее я выпускаю сама и контролирую. а токены - нет.

Старый По Литикан May 29

@iron_bug любопытно послушать:
каким образом ты выпускаешь ключи для GMail?

Iron Bug May 29

@limping так их там нет. поэтому только пароли. но пароль я генерю сама, да.
однако, во всех нормальных системах безопасного доступа используются ключи.

Старый По Литикан May 29

@iron_bug можешь привести пример сервиса с входом по ключу, где ключ - генерируется у тебя, а не на сайте сервиса?

Iron Bug May 29

@limping все SSH сессии, сети, VPNы, весь git. да вобще всё, кроме копрорастического говна вроде гуглов и мелкософтов.

Старый По Литикан May 29

@iron_bug Все VPNы, что мне доводилось ставить в последнее время, от xRay до Wireguard/WARP - генерировали ключ на той стороне.
Не на клиенте!

SSL ведь использует certificate, который вообще должен быть из удостоверяющего центра.
Для SSH вот этот мануал достаточно полный, или упускает что-то существенное?
https://dev.to/gvelrajan/how-to-configure-and-setup-ssh-certificates-for-ssh-authentication-b52

How to configure and setup SSH certificates for SSH authentication

SSH public key based authentication has several drawbacks and operational challenges that could...

DEV Community

Iron Bug May 29

@limping >SSL ведь использует certificate, который вообще должен быть из удостоверяющего центра.
ты какую-то хуйню написал. не позорься, просвещайся насчёт криптографии. я даже не пойду читать это безграмотное дерьмо.

@limping да, тут я должна сделать оговорку. я подумала про SSH, про который писала. просто SSL как аббревиатура сейчас не используется, уже давно TLS.
но TLS может быть любым. в том числе с симментричным шифрованием, в том числе с асимметричным шифрованием, но со своим CA, с пользовательскими ключами (причём до последнего времени использовался также метод применения ключа клиента в качестве криптографического в мыле, непример). и вообще это вопрос того, как ты сам всё это настроишь. не обязательно применять асимментриное шифрование с публичными CA.