Clever Geek Handbook

Pourquoi remplacer Captcha par FIDO2 / Webauthn est une mauvaise idée. Arguments contre la décision de Cloudflare

Hier, Cloudflare a annoncé un remplacement du Captcha par une attestation FIDO. Vous pouvez en savoir plus sur leur blog https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/ , et essayer les solutions elles-mêmes (si vous avez une clé de sécurité certifiée FIDO comme Yubikey) https: / / cloudflarechallenge.com/





Vous pouvez également lire les nouvelles de @maybe_elf https://habr.com/ru/news/t/557776/





Pour ceux qui souhaitent en savoir plus sur FIDO2, je vous conseille de lire cet article https://habr.com/ru/post/354638/





Fonctionnement de "FIDO Captcha" pour Cloudflare:

  1. L'utilisateur est dirigé vers la page Captcha





  2. L'utilisateur clique sur "Je suis un humain"





  3. La clé de sécurité s'allume et l'utilisateur touche la clé





  4. Le navigateur demande l'autorisation d'obtenir l'attestation de l'appareil. Après accord de l'utilisateur, l'attestation est envoyée à Cloudflare.





  1. Cloudflare, ayant un certificat racine reçu du fabricant, confirme la validité du certificat d'attestation.





  2. PROFFIT !!!!





Avant de comprendre pourquoi tout cela est mauvais, clarifions les deux concepts principaux d'attestation et de captcha.





Qu'est-ce que l'attestation FIDO?

FIDO . FIDO , . ( ).





. , , a . FIDO2 GUID/UUID, U2F SKID(Subject Key Identifier). , , . , PKI.





?

́[1] ( CAPTCHA — . Completely Automated Public Turing test to tell Computers and Humans Apart —     ) — , , , : . 





. https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D0%BF%D1%87%D0%B0





, : , , .., .





FIDO ?





: FIDO

. Cloudflare FIDO . FIDO . . , 5$ , :





Oui, c'est 60 $ UNO, mais les nano clones à 5 $ fonctionnent tout aussi bien. Est. https://twitter.com/agl__/status/1392876159591882755
, 60$ UNO, 5$ . . https://twitter.com/agl__/status/1392876159591882755

:

, , WebAuthn API - NONE. , attestation: "direct"



API. , . - , .





L'utilisateur doit consentir à la fourniture de la certification du site Web

Chromium , EraseAttestationStatement JS "direct" "none" - , Cloudflare .





Google Enterprise https://chromeenterprise.google/policies/#SecurityKeyPermitAttestation





: FIDO

, , 700 1700. , HID 500-1000. , HID 25 , 30 , HID !





Voici un exemple de conception de la façon dont vous pouvez tout faire.

: , Ryzen 3900, PCI-USB , USB , USB . 1000 Feitian U2F, Yubico Security Key 15-20$ . HID USB , . HID . 5$ 30,000 - 40,000 , , 25,000$ .





:





  • HID - https://github.com/djpnewton/vmulti





  • HID Python - https://pypi.org/project/hid/





ACS122U NFC NFC : SCARD_UNPOWER_CARD/SCARD_POWER_CARD NFC . .





: CAPTCHA

. Cloudflare :





  • 1. - , . , Cloudflare FIDO . FIDO , . , , , , . Cloudflare . .





  • 2. - . - . . : , . 1/100,000. , Cloudflare, , 1/100,000 . Cloudflare , .





  • 3. - , .





  • 4. - : ? FIDO, aka Metadata Service - MDS, , FIDO . Cloudflare , , -. , . Cloudflare , FIDO .





Cloudflare , - . Cloudflare , . .





Cloudflare. Cloudflare , . - , , , "" - FIDO . , : , .





: FIDO . - - .





Q&A

- // ?





Parce que Cloudflare ne prend en charge que les appareils certifiés, dont la certification est strictement contrôlée par le fabricant. Les authentificateurs Samopal et logiciels échoueront tout simplement.







More articles:


All Articles