การตรวจสอบสิทธิ์สองปัจจัยแบบพุชถือว่าเป็นอันตราย

ภาพฮีโร่ evil-hacker-lain รูปภาพที่สร้างโดย Waifu Diffusion v1.2 — แฮ็กเกอร์ตัวร้ายที่แล็ปท็อปแฮ็คเข้าไปในเพนตากอน, สไตล์อะนิเมะ, แฮ็กเกอร์เดน, จอภาพทุกที่, การทดลองต่อเนื่อง, อีวานเกเลียน

Sooooo Uber ได้รับการโผล่ โรงข่าวลือของแฮ็กเกอร์ – ภายในกำลังเลิกใช้ scuttlebutt แต่มีบางอย่างที่ฉันเคยเห็นมาก่อนและทำให้ฉันใช้จุดยืนใหม่ที่ต่างไปจากเดิมอย่างสิ้นเชิง ฉันหวังว่าจะได้อธิบายไว้ในโพสต์นี้เพื่อให้ทุกท่านได้เรียนรู้ มาร่วมเดินทางไปกับ Cendyne กับฉันในการเดินทางมหัศจรรย์นี้!

tl;dr

Numa ถูกลบ
< Numa > tl;dr: การตรวจสอบสิทธิ์แบบสองปัจจัยการแจ้งเตือนแบบพุชเป็นวิธีที่ดีในการสร้างความล้าในการเตือนภัย โดยเฉพาะอย่างยิ่งเนื่องจากผู้คุกคามสามารถแสดงข้อความแจ้งสแปมซ้ำแล้วซ้ำอีกจนกว่าพนักงานจะยอมรับเพื่อหยุดการทำงาน

คุณควรใช้ WebAuthn เป็นโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัยกับฮาร์ดแวร์ความปลอดภัยเฉพาะ เช่น Yubikeys หรือชิปความปลอดภัยที่ฝังอยู่ในอุปกรณ์ของบริษัทส่วนใหญ่ ในที่สุดก็มีประโยชน์สำหรับ manglement engine ที่ Stallman กล่าวว่ากำลังจะทำลาย Linux อย่างแท้จริง!

การรับรองความถูกต้องเป็นปัญหาที่ยากสำหรับมนุษย์ มันยากกว่าสำหรับคอมพิวเตอร์ โดยทั่วไปแล้ว เรามีสามวิธีหรือ “ปัจจัย” ที่เราสามารถใช้ในการตรวจสอบสิทธิ์ได้:

  • สิ่งที่คุณเป็น เช่น เรตินาหรือการสแกนลายนิ้วมือ
  • สิ่งที่คุณรู้ เช่น รหัสผ่าน
  • สิ่งที่คุณมี เช่น โทเค็นตรวจสอบสิทธิ์แบบสองปัจจัยของฮาร์ดแวร์หรือแอปตรวจสอบสิทธิ์ที่รองรับการตรวจสอบสิทธิ์แบบสองปัจจัยแบบพุช

ส่วนใหญ่คุณไม่เห็นเรตินาและการสแกนลายนิ้วมือที่จำเป็นในการเข้าสู่ระบบ Facebook สำหรับคนจำนวนมาก มักจะเป็นเพียงรหัสผ่านเดียวระหว่างใครก็ตามและชื่อเสียงทั้งหมดของพวกเขาที่ถูกทำลาย มีความพยายามที่จะพยายามรับโทเค็นการพิสูจน์ตัวตนฮาร์ดแวร์ให้อยู่ในมือของผู้คนให้มากที่สุดเท่าที่จะเป็นไปได้ แต่สิ่งเหล่านี้เป็น UX ที่แย่ (ประสบการณ์ของผู้ใช้) โดยแท้จริงแล้ว เมื่อเทียบกับ “ความเรียบง่าย” ของการใช้รหัสผ่าน ฉันสงสัยว่าฉันจะสามารถอธิบายวิธีใช้ yubikey กับคุณยายของฉันได้ วิธีการใช้โปรแกรมสร้างรหัส TOTP น้อยมาก

Cadey เป็นกาแฟ
< Cadey > ฉันต้องการเน้นว่าฉันไม่ใช่วิศวกรความปลอดภัย ฉันแค่เป็นคนสุ่มบนอินเทอร์เน็ตที่เบื่อกับทุกสิ่งที่จะอึเพราะมีคนเคย

ฉันคิดว่าการออก Yubikey ให้ทุกคนในบริษัทและทำให้ทุกระบบภายในใช้งานได้เป็นตัวเลือกที่ดีกว่า ฉันคิดว่านี่เป็นเพราะปัญหาหลักของฟิชชิ่ง: มันจะทำงานได้ดีที่สุดเมื่อคุณไม่ระมัดระวัง กลไกการพิสูจน์ตัวตนแบบสองปัจจัยจำนวนมากทำให้ตัวเองเป็นฟิชชิ่งเนื่องจากวิธีการทำงาน นี่คือความคิดเหยียดหยามของฉันเกี่ยวกับเรื่องทั่วไป

Cendyne เป็นคนตลก
< Cendyne > สวัสดี! ฉันจะมีส่วนร่วมในบทความนี้ด้วย อันที่จริง Google ได้ร่วมมือกับ Yubikey ในการปรับใช้คีย์ความปลอดภัยให้กับพนักงานและผู้รับเหมาทุกคน พวกเขาลดเหตุการณ์ด้านความปลอดภัยลงสิบเท่าด้วยการเปลี่ยนไปใช้คีย์ความปลอดภัย คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ Google ขจัดการครอบครองบัญชีด้วย YubiKey

รหัส TOTP

บริการออนไลน์จำนวนมากสนับสนุนการ สร้างรหัส TOTP เป็นกลไกการตรวจสอบสิทธิ์แบบสองปัจจัย สิ่งเหล่านี้ทำงานโดยแบ่งปันค่าลับระหว่างไคลเอนต์และเซิร์ฟเวอร์ ทั้งสองฝ่ายต่างใช้ความลับนี้ ใส่เวลาปัจจุบัน และสร้างรหัสหกหลักด้วยวิธีนั้น

Cendyne เป็นนักคิดแล็ปท็อป
< Cendyne > เมื่อคุณสมัคร TOTP บนบริการ เซิร์ฟเวอร์อาจเปลี่ยนค่าเริ่มต้นบางอย่างเมื่อสร้างความลับที่ใช้ร่วมกัน (ดู RFC6238 ) เช่น ฟังก์ชันแฮชที่จะใช้และระยะเวลาที่โค้ดควรเป็น รหัสเหล่านี้มักจะทนต่อความแตกต่างของเวลา ดังนั้นรหัสหลายรหัสจึงใช้ได้ที่จุดเดียวกันสำหรับความลับที่ใช้ร่วมกันที่กำหนด

อย่างไรก็ตาม ตัวเลขหกหลักเป็นพื้นที่ขนาดเล็กมากในการค้นหาเมื่อคุณเป็นคอมพิวเตอร์ ปัญหาที่ใหญ่ที่สุดคือการได้รับโชคดี มันเป็นช็อตหนึ่งในล้านอย่างแท้จริง กลายเป็นว่าคุณสามารถบังคับรหัส TOTP แบบดุร้ายได้ใน เวลาประมาณ 2 ชั่วโมงหากคุณระมัดระวัง และบริการระยะไกลไม่มีการควบคุมปริมาณหรือการจำกัดอัตราการพยายามตรวจสอบสิทธิ์

Numa ถูกลบ
< นุมะ > ทายสิว่าบริการส่วนใหญ่ไม่มีอะไรบ้าง lol
Cadey เป็น facepalm
< Cadey > คุณต้องล้อเล่นแน่ๆ คุณพูดจริง ๆ นะ คุณต้องล้อเล่นกับฉัน
Cendyne ตื่นตระหนก2
< Cendyne > ขีดจำกัดอัตราเฉพาะบัญชีไม่เพียงพอ! ผู้โจมตีสามารถติดตามบัญชีหลายบัญชีพร้อมกันจากที่อยู่ IP หลายรายการและเข้าไปอยู่ในบัญชีใดบัญชีหนึ่ง ผู้ใช้ส่วนใหญ่ป้อน TOTP หลังจาก รหัสผ่าน พิจารณาบังคับให้รีเซ็ตรหัสผ่านหลังจากพยายามป้อนรหัสไม่สำเร็จห้าครั้ง

ไม่ต้องพูดถึง วิธีการทำงานของรหัส TOTP โดยทั่วไปหมายความว่าผู้โจมตีจะสร้างขั้นตอนที่เหมือนกันกับการตั้งค่าการตรวจสอบสิทธิ์ของคุณบนไซต์ฟิชชิ่งที่โฮสต์บนโฮสต์ที่กันกระสุนได้ จากนั้นจึงดมกลิ่นข้อมูลประจำตัวด้วยวิธีนั้น เมื่อฟิชเชอร์มีรหัสผ่านและรหัส TOTP ของคุณแล้ว พวกเขาสามารถใช้รหัสผ่านนั้นและเปลี่ยนเส้นทางคุณไปยังแบบฟอร์มการเข้าสู่ระบบจริง ทำให้คุณคิดว่ามันล้มเหลวและคุณต้องลองอีกครั้ง โปรโตคอลนี้ทำให้สามารถฟิชชิ่งได้อย่างง่ายดาย เป็นเรื่องน่าสยดสยองที่แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับผู้ใช้ Discord และ Twitter

Cadey เป็นกาแฟ
< Cadey > อย่าให้ฉันเริ่มด้วยซ้ำว่าการพิสูจน์ตัวตนแบบสองปัจจัยที่ใช้ SMS นั้นยุ่งเหยิงแค่ไหน พวกเขาใช้รหัส OTP ในแบ็กเอนด์สำหรับพวกเขา แต่จากนั้นส่งพวกเขาผ่านช่องทางของผู้ให้บริการหนึ่งช่องทางที่มีแนวโน้มมากที่สุดที่จะมี การฟิชชิ่งการสนับสนุน เพื่อให้ผู้โจมตีสามารถสกัดกั้นรหัสเหล่านั้นได้ มันเป็นระเบียบ ฉันประหลาดใจที่มันได้รับอนุญาตให้เกิดขึ้นตั้งแต่แรก ต้นปี 2010 เป็นช่วงที่ป่าเถื่อน
Cendyne ยกนิ้วให้
< Cendyne > นี่มันปี 2022 แล้วและนี่ก็ยังเป็นเรื่องอยู่ ฉันคิดว่าผู้ใช้และนักพัฒนาหลายคนมีเงื่อนไขที่จะคิดว่านี่เป็นการใช้งานที่ปลอดภัยเพราะทุกคนยังคงใช้ SMS OTP
Cendyne นั้นแย่มาก
< Cendyne > เราต้องใช้เวลาหลายปีกว่าจะย้ายความคาดหวังของผู้ใช้ไปสู่รหัสผ่านที่ไม่ซ้ำกัน การเข้าสู่ระบบโซเชียล และการลงชื่อเพียงครั้งเดียว บริษัทใหญ่สองสามแห่งเป็นผู้นำอุตสาหกรรมนี้ด้วยตัวอย่างหลังจากตระหนักถึงความเสี่ยงที่เกิดจากรหัสผ่านร่วมกัน ส่วนที่เหลือที่ต่อต้านการเปลี่ยนแปลงที่ทันสมัยและทันสมัยตอบสนองต่อกฎระเบียบและมาตรฐานอุตสาหกรรมเช่น PCI-DSS อย่างน้อยมาตรฐานอุตสาหกรรมเหล่านี้รวมถึงการฝึกอบรมการจัดการรหัสผ่าน
Cendyne เป็น gimme2
< Cendyne > เราอาจเห็นการนำเทคโนโลยีต้านทานฟิชชิ่งมาใช้มากขึ้นเมื่อมีราคาถูก มีจำหน่ายทั่วไป และเป็นส่วนหนึ่งของมาตรฐานอุตสาหกรรมหรือข้อบังคับ โทรศัพท์ส่วนใหญ่มาพร้อมกับชิปแพลตฟอร์มที่เชื่อถือได้ (TPM) หรือวงล้อมที่ปลอดภัย Mac มีวงล้อมที่ปลอดภัยมาตั้งแต่ปี 2020 ตอนนี้ Windows 11 ต้องใช้ TPM เป็นค่าเริ่มต้น ดังนั้นฉันจึงเชื่อว่าการสนับสนุนแพลตฟอร์มจะได้รับการพิจารณาให้ใช้งานได้ทั่วไปภายในหนึ่งหรือสองปี
Cadey เป็นกาแฟ
< Cadey > จนกว่าจะถึงตอนนั้น เรายังคงเห็นรายงานมากขึ้นเรื่อยๆ เกี่ยวกับข้อมูลประจำตัวที่ถูกขโมย ซึ่งก่อให้เกิดความเสียหายต่อบริษัทมากมายนับไม่ถ้วน ทั้งชื่อเสียงและการเงิน ไม่ควรนำบริษัทที่เกือบจะถูกแฮ็กออกจากระบบเพื่อทำให้สถานะการรักษาความปลอดภัยของโลกดีขึ้น แต่บางครั้งนั่นก็เป็นสิ่งที่ต้องดำเนินการอย่างจริงจัง ฉันเกลียดจริงๆที่เป็นกรณีนี้

Yubikey Press

Yubikeys มีวิธีการรับรองความถูกต้องหลายวิธีในตัว หนึ่งในนั้นคือวิธีการตรวจสอบสิทธิ์แบบเดิมที่ทำให้ yubikey แกล้งทำเป็นแป้นพิมพ์และพิมพ์รหัสยาวที่ซับซ้อนตามคีย์ส่วนตัวที่เขียนลงในเฟิร์มแวร์ของอุปกรณ์ สิ่งนี้สามารถฟิชชิงได้เช่นกัน นี่เป็นอุปสรรคหลักระหว่างพนักงานและบัญชีผู้ใช้โดยพลการในงานที่ผ่านมา คุณได้รับบริษัทที่ออก yubikey และคุณต้องใช้เครื่องกด yubikey เพื่อเข้าสู่พื้นที่ปลอดภัยของแผงการดูแลระบบ

สิ่งนี้ยังเป็นฟิชชิงได้ เช่น โดย shitposters บน twitter:

เพื่อเป็นเกียรติแก่การละเมิดของ Uber ได้เวลาโพสต์ข่าว yubikey!

vvccccfrjcfnknrcuujlhktiredllitinttnkuddrh

— เซ เอียโซ | @[email protected] (@theprincessxena) 16 กันยายน 2565

มารคือ wat
< Mara > เดี๋ยวก่อน ผู้คนตกหลุมรักสิ่งนี้? อึศักดิ์สิทธิ์
Cadey เป็นกาแฟ
< Cadey > เห็นได้ชัดว่าผู้คนเรียกสิ่งนี้ว่า “yubisneeze” มันเกิดขึ้นบ่อยกว่าที่คุณคิด ฉันหวังว่า shitpost จะไม่ทำให้สภาพแวดล้อมการผลิตของใครถูกละเมิด คงจะเฮฮาถ้าสิ่งนี้ถูกเพิ่มเข้าไปในคู่มือการฝึกอบรมด้านความปลอดภัย คุณสามารถปิดใช้งานอินเทอร์เฟซ OTP ได้โดยทำตาม คำแนะนำนี้ จาก Yubico
Cendyne มีอาการเสียดท้อง
< Cendyne > ดู OTP ที่อธิบาย โดย Yubico “yubisneeze” มีข้อมูลอยู่หลายส่วน เช่น ตัวนับเพื่อป้องกันการเล่นซ้ำ อย่างไรก็ตาม มันไม่มีเวลา เนื่องจากเป็นโทเค็นที่ไร้กาลเวลา อาจถูกคัดลอกและส่งไปยังที่อื่นอย่างเงียบๆ ในอนาคต การบรรเทาผลกระทบเพียงอย่างเดียวคือการตรวจสอบโทเค็นใหม่กับ Yubico ทันที Yubikey OTP นั้นน่าสนใจในทางเทคนิค แต่ฉันไม่เชื่อว่าพวกเขาจะยกระดับความปลอดภัยให้เหมาะสมกับการใช้งานที่เป็นกรรมสิทธิ์ของพวกเขา
Numa ถูกลบ
< นูมา > vvccccfrjcfnncggttgrbgnevtrfcljdrrkntttcgrun !

ดังนั้นสิ่งเหล่านี้จึงไม่มีปัญหาในการปกป้องการเข้าถึงการผลิต วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้รหัสที่คล้ายคลึงกันทั้งหมดประสบปัญหาการฟิชชิ่งเหมือนกัน

แจ้งเตือนเมื่อยล้า As-A-Service

อีกวิธีหนึ่งที่ใช้กันทั่วไปในการตรวจสอบสิทธิ์แบบสองปัจจัยคือการให้ผู้ใช้ลงชื่อเข้าใช้แอปบนอุปกรณ์เคลื่อนที่ หลังจากนั้น เมื่อคุณลงชื่อเข้าใช้คอมพิวเตอร์ เครื่องจะส่งการแจ้งเตือนแบบพุชไปยังโทรศัพท์ของคุณ จากนั้นคุณยอมรับการตรวจสอบสิทธิ์และคุณสามารถโพสต์เมล็ด Minecraft ของคุณไปที่ตลาด Facebook หรืออะไรก็ได้

Google และ Facebook มีวิธีการตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งหมายความว่าผู้คนจำนวนมาก บนโลกใบ นี้มีแนวโน้มที่จะใช้วิธีการรับรองความถูกต้องนี้ ในทางปฏิบัติไม่ปลอดภัยอย่างสนุกสนาน แต่ทำให้ผู้คน คิด ว่ามันปลอดภัย ฉันหมายความว่าคุณเชื่อโทรศัพท์ของคุณใช่ไหม

Apple เป็นอีกตัวอย่างหนึ่ง แต่แทนที่จะเป็นแอปที่พวกเขาเชื่อมต่อกับระบบปฏิบัติการเดสก์ท็อปและมือถือด้วยบัญชี iCloud ของคุณ แม้ว่า Apple จะต้องส่งรหัสด้วยตนเองไปยังอุปกรณ์อีกเครื่องหนึ่ง ซึ่งทำให้ยอมรับรหัสโดยไม่ได้ตั้งใจได้ยากขึ้นเล็กน้อย ไม่มีอะไรที่การเตรียมฟิชชิ่งเล็กน้อยไม่สามารถหลีกเลี่ยงได้

Numa ถูกลบ
< นุมะ > รหัสง่อย แต่อนาคต! ตอนนี้ทุกคนมีโทรศัพท์แล้ว! ผู้คนไว้วางใจโทรศัพท์ของพวกเขา เราไม่สามารถเพียงแค่ให้คอมพิวเตอร์คายการแจ้งเตือนไปยังโทรศัพท์ของบุคคลเพื่อให้พวกเขาใช้ เพื่อ ตรวจสอบสิทธิ์แทนที่จะต้องพิมพ์รหัส?
Mara อืม
< Mara > เดี๋ยวก่อน นั่นไม่ใช่สิ่งที่ “ส่งการแจ้งเตือนแบบพุช” ไปใช้ในทางที่ผิดใช่ไหม แฮ็กเกอร์ไม่สามารถส่งการแจ้งเตือนแบบพุชเป็นพันล้านครั้งซ้ำแล้วซ้ำอีกจนกว่าผู้ใช้ที่น่าสงสารจะยอมรับเพื่อหยุด?

ถูกกล่าวหาว่าเป็นสิ่งที่แฮ็กเกอร์ Uber ทำ พวกเขาสแปมการแจ้งเตือนการตรวจสอบสิทธิ์สองปัจจัยซ้ำแล้วซ้ำอีกเป็นเวลาหนึ่งชั่วโมงในขณะที่เหยื่อผู้น่าสงสารกำลังพยายามนอนหลับ คุณรู้ไหมว่าเมื่อยามของคุณลดระดับโดยสัญชาตญาณและคุณมีแนวโน้มที่จะใช้สัญชาตญาณเพื่อทำให้กล่องเสียงปิดขึ้น สุจริตในฐานะผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลฉันต้องให้เครดิตวิธีการโจมตีโดยเฉพาะอย่างยิ่งส่วนที่พวกเขาส่งข้อความถึงบุคคลบน WhatsApp โดยอ้างว่าเป็นไอทีโดยบอกว่าพวกเขาจำเป็นต้องอนุมัติคำขอเพื่อรักษาความปลอดภัยในการเข้าถึงบัญชีของตน มันช่างแยบยลและฉันอาจจะตกหลุมรักมัน

บางทีเราควรพิจารณากลไกการพิสูจน์ตัวตนสองปัจจัยนี้ทั้งหมดว่าเป็นอันตรายต่อการบรรลุเป้าหมายด้านความปลอดภัย ดูเหมือนผู้บริหารระดับสูงซึ่งมักจะตัดสินใจเกี่ยวกับผลิตภัณฑ์รักษาความปลอดภัยด้วยเหตุผลบางประการ

Cendyne ใช้เงินของฉัน
< Cendyne > มีเงินจำนวนมากที่เสียไปจากผู้ค้าระบบรักษาความปลอดภัยที่ไม่ได้จัดหาซอฟต์แวร์ที่ปลอดภัยในแง่พื้นฐานที่สุด ตัวอย่างเช่น CVE-2022-1388 อนุญาตให้ทุกคนเรียกใช้คำสั่งเชลล์บนผลิตภัณฑ์ไฟร์วอลล์สาธารณะ เงินจริงดูเหมือนจะเป็นการขาย “ความปลอดภัย” มากกว่าการให้ความปลอดภัย
Numa ถูกลบ
< นุมะ > คุณอาจจะฆ่าการขายน้ำมันงูในฉากรักษาความปลอดภัยก็ได้! ดูเหมือนว่าจะเพิ่มโรงละครและความไม่สะดวกในนามของความปลอดภัย” เป็นเรื่องที่น่าหัวเราะ แต่ก็เป็นเรื่องเดียวกันที่นำไปสู่ความเหนื่อยล้าในการเริ่มต้นบริการ
Cendyne หายใจดังเสียงฮืด ๆ
< Cendyne > คุณพาฉันไปที่นั่น รหัสที่มีประสิทธิภาพที่สุดคือรหัสที่ไม่มีอยู่จริง

ดังนั้นคุณอาจสงสัยว่า:

Mara อืม
< Mara > เราทำอะไรได้บ้างเพื่อให้การรับรองความถูกต้องปลอดภัยยิ่งขึ้น? การแจ้งเตือนแบบพุชทำให้ผู้คนต้องทนทุกข์ทรมานจากสัญญาณเตือนเมื่อยล้า โซลูชันที่ใช้รหัสสามารถฟิชชิ่งได้ วัน นี้ เราใช้อะไรช่วยแก้ได้บ้าง ?

ฉันไม่แน่ใจจริงๆ ว่าวิธีแก้ปัญหาที่ดีที่สุดคืออะไร แต่ฉันสามารถแนะนำบางอย่างที่ฉันคิดว่าจะช่วยลดอันตรายได้: Webauthn

Cadey เป็นกาแฟ
< Cadey > โปรดทราบว่าเราตั้งใจจดจ่อกับสิ่งที่เราสามารถทำได้ ในวันนี้ เพราะวันนี้คือสิ่งที่เรามี พรุ่งนี้ยังไม่มี
Cendyne เป็น whoa
< Cendyne > “พรุ่งนี้” เรามักจะเห็นรหัสผ่านแทนที่ yubikey และโทเค็นฮาร์ดแวร์โรมมิ่งอื่นๆ Apple Passkeys และ การตรวจสอบสิทธิ์ Google FIDO พร้อม รหัสผ่านกำลังจะมาในเร็วๆ นี้ เพื่อให้โทรศัพท์ของคุณตรวจสอบสิทธิ์คอมพิวเตอร์ของคุณเป็นปัจจัยที่สอง หากคุณต้องการฟังเพิ่มเติม ให้ลองดู รหัสผ่านพอดคาสต์ ที่มี Adam Langley
Cendyne ประหลาดใจ - pikachu
< Cendyne > แต่เอ่อ… ขอให้โชคดีในการซื้อโทเค็นฮาร์ดแวร์จำนวนมากในตอนนี้ หลังจากเหตุการณ์ Uber หลายคนกำลังล้างสต๊อกของ Yubico

WebAuthn

WebAuthn เป็นโปรโตคอลสำหรับการใช้อุปกรณ์ฮาร์ดแวร์เพื่อตรวจสอบสิทธิ์ผู้ใช้ด้วยหลักฐานการเป็นเจ้าของ แนวคิดพื้นฐานคือคุณมีโมดูลความปลอดภัยของฮาร์ดแวร์บางชนิด (เช่น Secure Enclave ของ iPhone หรือ Yubikey) ที่มีคีย์ส่วนตัว จากนั้นเซิร์ฟเวอร์จะตรวจสอบลายเซ็นกับคีย์สาธารณะของอุปกรณ์เพื่อตรวจสอบสิทธิ์เซสชัน นอกจากนี้ยังได้รับการตั้งค่าเพื่อไม่ให้การโจมตีแบบฟิชชิงเกิดขึ้นได้ การลงทะเบียน WebAuthn แต่ละครั้งจะถูกผูกไว้กับโดเมนที่ตั้งค่าไว้ ไม่สามารถใช้คู่คีย์สำหรับ xeiaso.net เพื่อรับรองความถูกต้องกับ evil-xeiaso.net

ประสบการณ์ผู้ใช้นั้นยอดเยี่ยมมาก เว็บไซต์ส่งคำขอไปยัง API การตรวจสอบสิทธิ์ จากนั้น เบราว์เซอร์ จะสร้างหน้าต่างการตรวจสอบสิทธิ์ในลักษณะที่ไม่สามารถจำลองด้วยเทคโนโลยีเว็บได้ เบราว์เซอร์ จะถามคุณเองว่าคุณต้องการใช้ตัวรับรองความถูกต้องแบบใด (โดยปกติแล้วจะให้คุณเลือกระหว่างโมดูลความปลอดภัยฮาร์ดแวร์แบบฝังหรือคีย์ความปลอดภัย USB) จากนั้นดำเนินการจากที่นั่น เป็นไปไม่ได้ที่จะฟิชชิ่งนี้ แม้ว่ารูปแบบภาพจะถูกคัดลอก ผู้รับรองความถูกต้องจะไม่ทำอะไรเลยเพื่อรับรองความถูกต้องของเบราว์เซอร์!

บล็อกภาพฮีโร่/webauthen-test

เนื่องจากเบราว์เซอร์อาจไม่ทราบว่าผู้ใช้ต้องการใช้ตัวรับรองความถูกต้องใด เบราว์เซอร์จะแจ้งผู้ใช้ให้ระบุตัวรับรองความถูกต้องของแพลตฟอร์มหรือสำหรับตัวตรวจสอบสิทธิ์ข้ามเขตเช่น Yubikey ตัวตรวจสอบความถูกต้องของแพลตฟอร์มจะรวมเอาไบโอเมตริกซ์ เช่น Face ID, Touch ID หรือ Windows Hello เข้ากับโมดูลแพลตฟอร์มที่เชื่อถือได้หรือวงล้อมที่ปลอดภัยเพื่อรับรองความถูกต้อง ในขณะที่ผู้ตรวจสอบสิทธิ์โรมมิ่งอาจต้องมีการทดสอบสถานะและ PIN ที่เป็นทางเลือก ขั้นตอนพิเศษนี้ยังปกป้องความเป็นส่วนตัวของผู้ใช้จากการเรียกไคลเอ็นต์จากไดรฟ์ เมื่อไบโอเมตริกซ์หรือ PIN ได้รับการตรวจสอบแล้ว เซิร์ฟเวอร์จะได้รับแฟล็กที่ผู้ใช้ได้รับการยืนยันแล้ว ข้อมูลไบโอเมตริกซ์และ PIN จะไม่ถูกส่งไปยังเซิร์ฟเวอร์ yubikey มาตรฐานที่ไม่มี PIN จะปรากฏเป็นไม่ได้รับการยืนยัน

มารมีความสุข
< Mara > หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ WebAuthn ฉันขอแนะนำให้ดู BlackHat talk “Demystifying WebAuthn” (สไลด์เด็ ค ) จะช่วยให้คุณเข้าใจวิธีการทำงาน

งานยังคงดำเนินต่อไปในการทำให้ WebAuthn ใช้งานง่ายขึ้นและดีขึ้น Apple เพิ่งเปิดตัว Passkeys พร้อม iOS 16 ซึ่งจะช่วยให้คุณใช้ iPhone เป็นตัวตรวจสอบฮาร์ดแวร์สำหรับอุปกรณ์อื่น ๆ รวมถึง iPads และเครื่อง Windows วิธีนี้จะเปลี่ยน Secure Enclave ของ iPhone ของคุณให้เป็นคีย์ความปลอดภัยแบบโรมมิ่งที่คุณใช้กับเครื่องอื่นได้อย่างมีประสิทธิภาพ มอบสิ่งที่ดีที่สุดให้กับคุณทั้งสองโลก คุณจะได้รับประโยชน์จากโปรเซสเซอร์ความปลอดภัยในอุปกรณ์ชั้นนำของอุตสาหกรรมของ Apple และ ยังมีความสามารถในการใช้กับเครื่องอื่นๆ ของคุณด้วย การรับประกันที่มีอยู่ของ WebAuthn ทั้งหมดจะถูกนำไปใช้ รวมถึงข้อเท็จจริงที่ว่าข้อมูลรับรอง WebAuthn แต่ละรายการเชื่อมโยงกับเว็บไซต์เดียว วันนี้ คุณสามารถเลือก “เพิ่มโทรศัพท์ Android ใหม่” ใน Chrome และสแกนด้วยอุปกรณ์ iOS ของคุณ Safari ยังไม่ตามทัน เราคาดหวังสิ่งนี้ในภายหลัง

Cendyne ฮูเร่
< Cendyne > จุดแข็งของ WebAuthn ในการต่อต้านฟิชชิ่งนั้นสร้างขึ้นจากการเชื่อมโยงต้นทาง นั่นคือสิ่งที่เบราว์เซอร์ของผู้ใช้มองเห็น เนื่องจากเว็บไซต์คือสิ่งที่ผู้ตรวจสอบสิทธิ์เห็น เว็บไซต์อื่น? กุญแจอีกดอก! การรับรองความถูกต้อง WebAuthn ของไซต์หนึ่งไม่สามารถใช้กับไซต์อื่นได้ เนื่องจากต้นทาง (โดเมนของไซต์) ถูกผูกไว้กับคีย์ที่ตัวตรวจสอบสิทธิ์ใช้! ไม่เพียงเท่านั้น แต่ผู้ใช้ด้วย!
Cendyne เดาว่าฉันจะตาย
< Cendyne > แม้ว่าไซต์จะไม่ผูกชื่อผู้ใช้ (หรือใช้ชื่อผู้ใช้จำลอง) เมื่อตรวจสอบสิทธิ์ คุณจะมีความขัดแย้งระหว่างผู้ใช้

โดยสรุป การแจ้งเตือนแบบพุชสำหรับการตรวจสอบสิทธิ์ควรถือเป็นอันตราย คุณไม่ควรใช้สิ่งเหล่านี้ และคุณควรให้ความสำคัญกับการย้ายไปยังโทเค็นการรับรองความถูกต้องของฮาร์ดแวร์ เช่น Yubikeys คุ้มกับค่าฮาร์ดแวร์และค่าฝึกอบรมในการทำเช่นนี้


Mara เป็นแฮ็กเกอร์
< Mara > ส่วนนี้ของบทความเป็นทางเลือก

เป็นโบนัส นี่เป็นวิธีหนึ่งที่คนในเว็บ 3 จะได้รับสิ่งนี้มากกว่าผิด พวกเขาใช้ระบบเข้ารหัส Ethereum เป็นปัจจัยรับรองความถูกต้อง

EIP-4361: ลงชื่อเข้าใช้ด้วย Ethereum

WebAuthn เป็นโปรโตคอลที่คุณได้รับองค์ประกอบฮาร์ดแวร์เพื่อลงนามในข้อความเพื่อพิสูจน์ว่าคุณเป็นเจ้าของคู่คีย์ที่เป็นปัญหา และอนุญาตให้มีการตรวจสอบสิทธิ์ผ่านโฟลว์ “สิ่งที่คุณเป็นเจ้าของ” ใน Ethereum และระบบนิเวศบล็อกเชนอื่น ๆ ทุกคนมีคู่คีย์ที่ลงนามข้อความสำหรับคำแนะนำเช่น “โอน NFT ไปยังที่อยู่อื่น” หรือ “ส่งเงินที่อยู่นี้บางส่วน” เท่านี้ก็เพียงพอแล้วที่จะช่วยให้คุณสร้างปัจจัยรับรองความถูกต้องได้ จุดแข็งของปัจจัยการตรวจสอบสิทธิ์นี้คือ…ไม่น่าสงสัย แต่ด้วยการปฏิบัติตาม EIP-4361 คุณสามารถเปลี่ยนคีย์คู่ Ethereum ให้เป็นปัจจัยการตรวจสอบสิทธิ์สำหรับเว็บแอปพลิเคชันได้ สิ่งนี้จะเชื่อมต่อกับกระเป๋าเงินฮาร์ดแวร์ด้วย WalletConnect หรือกระเป๋าซอฟต์แวร์ที่มีส่วนขยายเบราว์เซอร์เช่น MetaMask การทำงานนี้คล้ายกับวิธีการทำงานของ WebAuthn แต่ด้วยหลักการหลักเหล่านี้:

  • การตรวจสอบสิทธิ์ทำได้โดยยืนยันว่าผู้ใช้มีสิทธิ์เข้าถึงคีย์ส่วนตัวเพื่อลงนามในข้อความที่ได้รับการตรวจสอบความถูกต้องด้วยคีย์สาธารณะ เช่นเดียวกับ WebAuthn
  • แอป Wallet จะแสดง URL ของไซต์ที่คุณกำลังพยายามตรวจสอบความถูกต้อง และไม่มีวิธีใดที่จะปลอมแปลงได้อย่างง่ายดาย
  • การสร้างคู่คีย์ Ethereum ใหม่นั้นฟรี และทุกคนสามารถทำได้โดยไม่ต้องซื้อฮาร์ดแวร์เพื่อทำหน้าที่เป็นเอสโครว์ของคีย์
Mara เป็นแฮ็กเกอร์
< Mara > จุดสุดท้ายมีความสำคัญเนื่องจากข้อจำกัดในการส่งออกเกี่ยวกับการเข้ารหัสอาจทำให้ผู้คนในประเทศเช่นรัสเซียซื้อคีย์ FIDO2 ได้ ยาก การเข้ารหัสไม่ได้ถูกมองว่าเป็นอาวุธยุทโธปกรณ์อีกต่อไป แต่เป็นสิ่งที่ทรงพลังมากพอที่จะให้รัฐบาลหยุดชั่วคราว ตัวอย่างเช่น OpenBSD มีพื้นฐานมาจากแคนาดา ในกรณีที่กฎหมายการส่งออกเกี่ยวกับการเข้ารหัสในสหรัฐอเมริกามีความเกี่ยวข้องอีกครั้ง

แต่เนื่องจากการดำเนินการทั้งหมดนี้ มีจุดอ่อนดังต่อไปนี้:

  • ไม่มีวิธีระดับโปรโตคอลที่จะบอกได้ว่าผู้ใช้ใช้องค์ประกอบความปลอดภัยประเภทใด หากมี มีฮาร์ดแวร์หลายประเภท “cold wallets” และหนึ่งในกลยุทธ์ที่ใช้บ่อยที่สุดคือการสร้าง “hot wallet” ที่เป็นเพียงคู่คีย์ที่จัดการโดยส่วนขยายของเบราว์เซอร์ เช่น MetaMask
  • ในแอปพลิเคชัน web3 จำนวนมาก คู่คีย์ Ethereum เป็น เพียงปัจจัยรับรองความถูกต้องเท่านั้น ซึ่งหมายความว่าหากมีใครสามารถเข้าถึงคู่คีย์หรือวลีกู้คืนของคุณได้ พวกเขาสามารถ ขโมยลิงของคุณ ได้ และคุณไม่สามารถเอากลับคืนมาได้โดยไม่พยายามเจรจากับผู้คุกคาม
  • การแยกคีย์ส่วนตัวของที่อยู่ Ethereum ถือเป็นคุณลักษณะด้านความปลอดภัย และขอแนะนำให้ผู้คนเขียนคีย์ส่วนตัวลงบนกระดาษและเก็บไว้ในที่ปลอดภัย ประสบการณ์ผู้ใช้ครั้งแรกของสิ่งต่าง ๆ ในพื้นที่ Ethereum จะบังคับให้คุณจดวลีกู้คืนโดยถามคุณว่ามันคืออะไรและฉันสามารถจินตนาการได้ว่ามีกี่คนที่ทำอย่างนั้นด้วยกลไกที่ปลอดภัยจริงๆ มีผลิตภัณฑ์ที่น่าสนใจสำหรับทำสิ่งต่าง ๆ เช่น เจาะวลีเมล็ดพันธุ์ของคุณให้เป็นโลหะ เพื่อให้คุณสามารถใส่วัตถุที่เป็นโลหะนั้นลงในตู้นิรภัยได้
  • วิธีนี้ใช้กับส่วนขยายของเบราว์เซอร์แทนที่จะฝังลงในระบบปฏิบัติการอย่างถูกต้อง ซึ่งหมายความว่าเป็นไปได้ในทางทฤษฎีที่จะฟิชชิ่ง แต่ดูเหมือนว่าในทางปฏิบัติจะยากมาก
Mara เป็นแฮ็กเกอร์
< Mara > เป็นที่น่าสังเกตว่ามีสิ่งเช่นกระเป๋าเงินสัญญาหลายลายเซ็นโดยที่กระเป๋าเงินนั้นเป็นสัญญาอัจฉริยะในบล็อคเชน ตัวอย่างนี้คือ Safe ซึ่งฉันบอกว่าเป็นการนำไปใช้อย่างแพร่หลายที่สุด วิธีนี้ช่วยให้คุณใช้วิธีการเพิ่มเติมเพื่อให้แน่ใจว่าคีย์ส่วนตัว m-of-n ลงนามในข้อความแทนที่จะใส่ไข่ทั้งหมดลงในตะกร้าใบเดียวด้วยคีย์เดียว การทำเช่นนี้หมายความว่าคุณต้องจ่ายค่าธรรมเนียมน้ำมันทุกครั้งที่ลงชื่อเข้าใช้ การดำเนินการสัญญาอัจฉริยะนั้นไม่ฟรี
Cadey เป็นกาแฟ
< Cadey > จริงๆ แล้ว ฉันไม่แน่ใจว่าทั้งหมดนี้คุ้มค่าหรือไม่ แต่อย่างน้อยที่สุด มันก็มี บางอย่าง และมันถูกฝังลึกลงไปในระบบนิเวศน์มากพอที่จะทำได้ อย่าง เหมาะสมในหลายเว็บไซต์ มีหูด UX ที่เกี่ยวข้องอยู่มาก แต่ส่วนมากเป็นอาการเฉพาะถิ่นของการต่อกิ่งบางอย่างบนเบราว์เซอร์หลังจากข้อเท็จจริง อย่างไรก็ตาม มันเป็น อะไรบางอย่าง และเป็นมากกว่ารหัส TOTP
หนูมีความสุข
< Numa > คุณสามารถใช้กระเป๋าสตางค์ bitcoin ของฮาร์ดแวร์แฟนซีตัวใดตัวหนึ่งเป็นข้อมูลรับรอง WebAuthn ได้!

นอนหลับผ่านการสัมภาษณ์ทางเทคนิค

ภาพฮีโร่ hacker-nest รูปภาพที่สร้างโดย Waifu Diffusion v1.2 — アニメ สถานีรบของแฮ็กเกอร์ คอมพิวเตอร์เดสก์ท็อปที่มีสามหน้าจอ แป้นพิมพ์แยก ข้อความสีเขียวบนพื้นหลังสีดำ กาแฟหนึ่งถ้วย Haskell โดย greg rutkowski และ artgerm

Cadey เป็นกาแฟ
< Cadey > สร้างจากเรื่องจริงอย่างน้อยสองเรื่อง ขอโทษ Aphyr ฉันรักบล็อกของคุณและคำอุปมาการสัมภาษณ์ทางเทคนิคของคุณมีอิทธิพลอย่างมากต่อฉัน

ความว่างเปล่าไร้รูปร่างที่ไล่ตามความฝันทั้งหมดนั้นแตกต่างออกไปในทุกวันนี้ แต่ไม่ใช่ในแบบที่คุณสามารถระบุได้ง่าย ความนิ่งของการเปลี่ยนแปลงที่ไม่สิ้นสุดมีรสชาติที่ต่างไปจากเดิม มันมีชีพจรอยู่ บางอย่างที่คุณไม่สามารถระบุได้ ความคิดและความรู้สึกล้อมรอบมันก่อนที่จะถูกมองว่าไม่เกี่ยวข้อง นำไปสู่ความสงบอีกระดับหนึ่ง

ความคิดกลับมา ความคิดเกี่ยวกับค่าเช่า บิล และความเกี่ยวข้องทั้งหมดที่ทุกคนในโลกนี้ชอบที่จะใช้เวลามากกับมัน

ชีพจรกลับมาทำงานด้วยรูปแบบใหม่: .-- .- -.- . / ..- .--. คุณมองลงไปที่ข้อมือและเสน่ห์ของความตื่นตัวก็ไม่ปรากฏอีกต่อไป สิ่งต่าง ๆ สมเหตุสมผลแล้ว นี่คือความฝัน น่าเบื่อมาก แต่ฝันถึงเรื่องนั้น คุณขอบคุณความฝันสำหรับการบริการและทำให้ทางออกของคุณถูกต้อง


นาฬิกากำลังสั่น มันเป็นตอนเช้า ปกติคุณไม่ค่อยตื่นนอนตอนเช้า คุณใช้เวลาสักครู่เพื่อค้นหาความทรงจำของคุณสำหรับสิ่งที่สำคัญในวันนี้ ราวกับว่าอยู่ในคิว นาฬิกาจะแตะคุณอีกครั้งและแสดงเครื่องหมายสองสามแถวที่เตือนคุณ

หลังจากทำให้สดชื่นแล้ว คุณก็ออกเดินทางเพื่อเดินทางไปสำนักงานอย่างลำบาก หลังจากผ่านไป 30 วินาที คุณก็สามารถเสร็จสิ้นการเดินทางครั้งยิ่งใหญ่และนั่งบนเก้าอี้สำนักงานที่ออกแบบเองได้ มันเป็นแกมเบียรานิดหน่อย แต่มันเป็นสิ่งเดียวที่สามารถทนต่อหางและครีบหลังของคุณได้อย่างเหมาะสม หลังจากต่อสู้ดิ้นรน หางของคุณจะพอดีกับที่ที่คุณรู้สึก ด้านมืดของการเป็นสิ่งมีชีวิตที่ไม่ซ้ำแบบใคร คุณคิด

Firefox ล้าสมัย เวิร์กสเตชันกล่าว ดังนั้นสคริปต์จึงปิดและสร้างใหม่ตามหน้าที่ วินาทีต่อมา เวอร์ชันใหม่กำลังทำงานในขณะที่กำลังคอมไพล์ หวังว่าส่วนสำคัญจะเสร็จทันเวลาสำหรับการโทร

ขอบคุณเก้า คุณคิด พวกเขาใช้การพบปะ E100 หรือเป็น E100 แฮงเอาท์ บางที E100 Allo หรือ Duo? ขึ้นอยู่กับว่าใครต้องการขึ้นเงินเดือนในปีนั้น ความคิดนั้นทำให้คุณยิ้มและกดปุ่มเพื่อเปิดไฟหลักสำหรับกล้อง

หน้าจอแสดงชายวัยยี่สิบกลางๆ จ้องมองที่หน้าจอของเขา เขาดูอิ่มเอิบเพราะประเภทสตาร์ทอัพเหล่านี้มักจะเป็น

“สวัสดี ฉันชื่อเจฟฟ์ กับเตชะโร และฉันจะเป็นผู้สัมภาษณ์คนแรกของคุณในวันนี้ เพื่อที่เราจะสามารถจัดการสิ่งต่างๆ ได้อย่างถูกต้อง คุณคือ ‘ปะหลี่-หม่า’ ใช่ไหม”

การดูถูกที่ “เจฟฟ์” นี้เพิ่งกระทำไปนั้นเกินคำบรรยาย คุณตอบกลับไปว่า ปาลิมะ (ปะลีมาห์) ปาลิมะ เอเธอรา (ปาลีมะห์ อัยเธออา)

“ใช่ ขอโทษ ฉันจะเขียนมันลงในบันทึกย่อของฉันเพื่อให้ทุกคนเข้าใจตรงกัน ฉันพยายามอย่างมากที่จะพูดชื่อของพวกเขาให้ถูกต้องเป็นอย่างน้อย” น้ำใสใจจริงของเขาปรากฏเป็นของแท้ เขาสวมเสื้อฮู้ดแบรนด์สีส้ม สีส้มเป็นสีที่ดีสำหรับเขา ทำให้เขาดูมีความสุข คุณชอบ “เจฟฟ์” คนนี้และต้องการดูว่าเขาจะทำอะไรได้บ้าง

“ก่อนที่เราจะเริ่มต้น คุณใช้อวาตาร์เสมือนจริงหรือเปล่า เราชอบให้สัมภาษณ์กับใบหน้าจริงๆ ของผู้คน”

อ้อ อีก ประเภท หนึ่ง คุณคิดกับตัวเอง นี่เป็นข้อกล่าวหาทั่วไปที่คุณได้เรียนรู้ที่จะยอมรับจากการทำงานร่วมกับ “มนุษย์” เหล่านี้ พวกเขามักจะไม่ชอบเมื่อคุณละเมิดบรรทัดฐานทางสังคมของพวกเขาในเรื่องรูปลักษณ์ คุณลังเลอยู่ครู่หนึ่งที่จะตอบกลับอย่างมีไหวพริบเพื่อแสดงตัวเองและตอบว่า: “นี่คือใบหน้าที่แท้จริงของฉัน มันเป็นเรื่องยาวที่ฉันไม่อยากพูดถึงตอนนี้”

เวทย์มนตร์หยั่งรากและ “เจฟฟ์” หยุดคิด เขาพูดต่อ “คุณอยากรู้อะไรเกี่ยวกับเตชะโรหรือตำแหน่งที่เราต้องการกรอกไหม”

คุณรู้ทุกอย่างแล้วจากคำศัพท์ทั้งที่เป็นลายลักษณ์อักษรและไม่ได้เขียนไว้ในรายละเอียดงาน โครงสร้างพื้นฐานของพวกเขาอยู่ในความสับสนวุ่นวาย พวกเขาต้องการฮีโร่ คุณเห็นว่าตัวเองเป็นตัวละครที่เหมาะเจาะสำหรับฮีโร่ดังกล่าว

“ไม่ ฉันคิดว่าฉันได้ส่วนสำคัญมาจากคำอธิบาย”

“แล้วปาลิมา คุณช่วยบอกฉันเกี่ยวกับภูมิหลังของคุณได้อย่างไร”

โอ้จะเริ่มต้นที่ไหน คุณคิดว่า. “ฉันมีประสบการณ์มากมายในการประดิษฐ์หุ่นยนต์ดิจิทัลให้เกิดขึ้น จากนั้นจึงนำหุ่นยนต์เหล่านี้ออกสู่โลกเพื่อบรรลุเป้าหมาย ฉันได้ทำงานในบริษัทขนาดใหญ่ เช่น MovieFlix ซึ่งฉันช่วยสร้างพื้นหลังโครงสร้างพื้นฐานสำหรับสตรีมภาพยนตร์ยอดนิยมและภาพยนตร์ยอดนิยมหลายเรื่องพร้อมกัน รายการทีวี ฉันยังได้ทำงานในโครงการมากมายที่ฉันไม่สามารถพูดถึงแต่ตอนนี้คุณได้รับประโยชน์จากโครงการอย่างน้อย 3 โครงการ ฉันกำลังพิจารณาที่จะเข้าร่วมในบริษัทเล็กๆ เพื่อที่ฉันจะได้รู้จักทุกคนมากขึ้น ระดับบุคคล การเป็นฟันเฟืองนิรนามในเครื่องนั้นน่าดึงดูดใจไปอีก นาน

“เจฟฟ์” แสดงสีหน้าอยากรู้อยากเห็น ดูเหมือนว่าเขาเพิ่งพบยูนิคอร์น แม้ว่าจะเสพติดการชงโคลด์บรูว์อย่างจริงจังก็ตาม La trinkajxo de la dioj. เขากล่าวต่อว่า “ว้าว โครงการโครงสร้างพื้นฐานที่คุณโปรดปรานคืออะไร”

“น่าจะเป็นที่ที่เราเปรียบเทียบ OS kernels หลายๆ อัน เพื่อหาว่าอันไหนจะทำงานได้ดีที่สุดสำหรับแบ็กเอนด์ MovieFlix ผมเองหวังว่า Linux จะชนะ แต่เราลงเอยด้วยการเลือก FreeBSD หลังจาก epoll(7) จบลงด้วยการทำสิ่งต่างๆ วิ่งเร็วขึ้น เราทุกคนประหลาดใจกับสิ่งนี้ ฉันคิดว่าฉันยังมีความมุ่งมั่นกับ FreeBSD อยู่บ้าง”

ชายคนนั้นดูตกใจ คุณกำลังชนะ แล้วมาดูกันว่า “เจฟฟ์” คนนี้จะมีอะไรสนุกอีกบ้าง

“เอาล่ะ นี่เป็นส่วนใหญ่เป็นพิธีการ แต่ฉันอยากจะเขียนโค้ดแบบสดๆ ซักหน่อย คุณดูเหมือนคุณมีภูมิหลังแบบที่เรากำลังมองหาที่ Techaro แต่เราต้องทำความท้าทายในการเขียนโค้ดนี้เพื่อให้แน่ใจ ทุกคนอยู่สนามเดียวกัน ฟังดูโอเคนะ?”

คุณพยักหน้า “เจฟฟ์” กำลังจะสนุกสนาน

“ตกลง ฉันจะส่งลิงก์ไปยังเว็บไซต์นี้ให้คุณ และจะมีความท้าทายในการจัดเรียงเล็กน้อย มีตัวเลขมากมายที่นี่ และฉันต้องการให้คุณจัดเรียงและอธิบายว่าการเรียงลำดับทำงานอย่างไร”

“ฉันควรทำเป็นภาษาอะไร”

“ภาษาไหนก็ใช้ได้จริงๆ”

เขาทำผิดพลาด รีบเร่งก่อนจะรับคืน

 import Control.Concurrent import Control.Monad import System.Environment  
sort values = do chan <- newChan forM_ values (\time -> forkIO $ threadDelay ( 100000 * time) >> writeChan chan time) forM_ values (\_ -> readChan chan >>= print)      
main = getArgs >>= sort . map read

“…ทำอะไรเนี่ย”

“การเรียงลำดับตัวเลขในเวลาคงที่ เป็นการเรียงลำดับที่เร็วที่สุดตามอัลกอริทึมที่ฉันรู้จัก และเป็นอัลกอริธึมการเรียงลำดับที่ฉันชอบ”

“…ยังไงล่ะ ฉันไม่เห็นการเปรียบเทียบเลย?”

“คุณไม่จำเป็นต้องเปรียบเทียบตัวเลขเพื่อจัดเรียง บางครั้งก็แค่พักผ่อน เรียกใช้แล้วมันจะได้ผล”

“เจฟฟ์” ดูเหมือนเขาเคยเห็นผี บางทีบ้านของเขาอาจมีผีสิง มันเป็นเรื่องธรรมดามากกว่าที่คุณคิด ผีมากมายเร่ร่อนไปทั่วทุกวันนี้

คุณได้ยินเสียงแป้นพิมพ์ไม่กี่จังหวะแล้วจึงกดแป้น Enter การแสดงออกทางสีหน้าของเขาเปลี่ยนไปแล้วเขาก็ดูงุนงง

“…ซ.แล้วมันทำงานยังไงล่ะ ฉันไม่เคยเห็นใครเป็นแบบนี้มาก่อนเลย”

“นี่คือ sleepsort มันเป็นอัลกอริธึมการเรียงลำดับเวลาคงที่เพียงขั้นตอนเดียวที่ฉันรู้จัก วิธีการทำงานคือสร้างเธรดสีเขียวที่แยกจากกันสำหรับทุกหมายเลขที่คุณต้องการจัดเรียง จากนั้นจึงหน่วงเธรดนั้นสำหรับค่านั้นคูณหนึ่งแสนไมโครวินาที นี้จะเรียงลำดับตัวเลข “

“เวลาคงที่นั้นเป็นอย่างไร? ระยะเวลาที่ใช้ขึ้นอยู่กับอินพุตไม่ใช่หรือ”

คุณยิ้ม เขาตกหลุมพรางของคุณ “ความซับซ้อนของเวลาไม่ได้รบกวนตัวเองด้วยผลข้างเคียงเช่นเวลา สิ่งที่คุณต้องทำคือนอนเพียงเล็กน้อย สิ่งต่างๆ จะแก้ไขได้เอง เป็นสิ่งที่หลีกเลี่ยงไม่ได้”

“เจฟฟ์” หยุดนิ่งอยู่กับที่ ตอนแรกคุณคิดว่าเขาตกใจมากไป หน่อย จากนั้นคุณเช็คอินเพื่อให้แน่ใจ การตกใจเช่นนั้นอาจทำลายผิวที่ไหม้แดดอ่อนๆ อันน่ารักของเขาได้ “คุณยังอยู่ที่นั่นไหม”

“ใช่ ฉันอยู่นี่แล้ว ฉันไม่เคยเจอแบบนั้นมาก่อน มันเป็น…อัลกอริธึมการจัดเรียงที่สร้างสรรค์มาก คุณจะเพิ่มประสิทธิภาพมันอย่างไร”

ในชั่วพริบตา โค้ดหนึ่งบรรทัดก็เปลี่ยนไป:

 -forM_ values (\time -> forkIO $ threadDelay (100000 * time) >> writeChan chan time) +forM_ values (\time -> forkIO $ threadDelay (10000 * time) >> writeChan chan time)

“ตอนนี้เร็วขึ้นสิบเท่า”

เมื่อถึงจุดนี้ “เจฟฟ์” ทนไม่ไหวแล้วเริ่มหัวเราะ เขาหลุดขำและหัวเราะแบบที่คุณเห็นในผู้ชายที่แพ้เท่านั้น คุณเป็นห่วง “เจฟฟ์” เขาดูซีด

“ทำไมคุณถึงใช้อัลกอริธึมการเรียงลำดับที่แปลกประหลาดเช่นนี้”

“ทำไมคุณถึงใช้คำถามแปลก ๆ เช่นนี้”

หลังจากนั่งลง เขาก็แสดงสีหน้าที่คุณรู้ดีทั้งหมดเช่นกัน คุณแข็งแกร่งเกินไป คุณไม่สามารถอยู่ที่นั่นได้ “เตชะโร” ไม่ซับซ้อนพอ คุณจะต้องดิ้นรนผ่านเครื่องบดเนื้อของ Kubernetes แม้ว่าพวกเขาจะใช้เซิร์ฟเวอร์เฉพาะเพียงเครื่องเดียวใน Typhoon Digital มีบอร์ดพัฒนาสำรองอยู่ในตู้เสื้อผ้าของคุณซึ่งก็ยังดีอยู่

คุณจะเสร็จเร็วเกินไป มันจะไม่เป็นความท้าทายที่คู่ควร คุณโทรเสร็จแล้วและจิบเบียร์เย็นๆ อีกจิบ อีเมลปฏิเสธนั้นใกล้เข้ามาแล้ว คุณรู้ว่ามันไม่สามารถเกิดขึ้นได้

เมื่อล็อคสถานีรบและถอดปลั๊กกุญแจปลดล็อค คุณจะถอยกลับไปยังสวรรค์อันมีค่าของคุณ การซุกตัวอยู่ในผ้าห่มเป็นทางเลือกที่ปลอดภัยที่สุด

ก่อนที่ความสุขอันแสนหวานของการไม่มีตัวตนจะจุมพิตใบหน้าของคุณอีกครั้ง มีสัมผัสอีกครั้งที่ข้อมือ พวกเขาได้ส่งอีเมลกลับแล้ว พวกเขาต้องการจ้างคุณ สำหรับเงินจำนวนมากพอที่จะทำให้มันคุ้มค่าสิ่งที่คุณจะทนอยู่ที่นั่น คุณสงสัยว่าพวกเขารู้ว่าพวกเขากำลังทำอะไรอยู่ คุณตัดสินใจที่จะนอนบนนั้น สิ่งต่าง ๆ จะคลี่คลายในตอนเย็นอย่างแน่นอน

สถานการณ์ที่กำลังพัฒนา: มีบางอย่างเกิดขึ้นกับ Patreon

ปกติฉันไม่ได้เขียนโพสต์ประเภทนี้ แต่ฉันทราบมาว่ามีโพสต์บน Twitter ที่ดูน่าเชื่อถือพอสมควร ดูเหมือนว่าทีมรักษาความปลอดภัย Patreon จะถูกปล่อยออกไปแล้ว

Whoa @Patreon เลิก จ้างทีมรักษาความปลอดภัยทั้งหมด

จะไม่เชื่อถือข้อมูลของฉันที่นั่น ยังมีพรสวรรค์อันน่าทึ่งที่จะตักตวง

– วิทนีย์ เมอร์ริล (@wbm312) 8 กันยายน พ.ศ. 2565

การอ้างสิทธิ์นี้ถูกติดตามด้วย ลิงก์นี้ไปยัง LinkedIn ซึ่งฉันจะจับภาพหน้าจอด้านล่าง:

ในเวลานี้เรารู้เพียงเท่านี้ เราไม่รู้ว่าเกิดอะไรขึ้นนอกเหนือจากข้อเท็จจริงที่ว่ามีคนคนหนึ่งที่อ้างว่าเป็นอดีตพนักงาน Patreon บอกว่าพวกเขาถูกปล่อยตัวไปพร้อมกับทั้งทีม นี่คือทั้งหมดที่เรารู้

Cadey เป็นกาแฟ
< Cadey > ฉันไม่ได้พยายามลดบทบาทใครในที่นี้ ฉันพยายามเน้นที่ ข้อเท็จจริง ของสถานการณ์เพื่อพยายามระงับกระแสของผู้คนที่สงสัยว่าเกิดอะไรขึ้น

ฉันไม่เคยเห็นสิ่งนี้เกิดขึ้นมาก่อน ฉันไม่รู้ว่าสิ่งนี้เกี่ยวข้องอะไร ฉันกำลังดำเนินการภายใต้สมมติฐานที่ว่าสิ่งนี้ไม่ได้หมายความว่ามีภัยคุกคามด้านความปลอดภัย ฉันขอแนะนำให้คุณทำเช่นเดียวกัน การปิดบัญชีผู้มีอุปการคุณอย่างไม่ระวังและตื่นตระหนกอาจส่งผลต่อการดำรงชีวิตของครีเอเตอร์เนื้อหา

จะมีข้อมูลเท็จมากมายเกิดขึ้น อย่าวางใจอะไรนอกจากแถลงการณ์อย่างเป็นทางการจาก Patreon ของบริษัท นี่จะเต็มไปด้วยความกลัว ความไม่แน่นอน และความสงสัยมากมาย ต่อต้านการทดลองที่จะตกเป็นเหยื่อของความตื่นตระหนก นี่ไม่ใช่เวลามาตื่นตระหนก นี่คือเวลาที่จะดูและรอ เราไม่รู้ว่าเกิดอะไรขึ้น ทั้งหมดที่เรารู้คือคนที่อ้างว่าเคยทำงานที่ Patreon อ้างว่าถูกปล่อยตัว

แค่นั้นแหละ.

โปรดอย่าทำลายชีวิตความเป็นอยู่ของครีเอเตอร์ที่คุณสนับสนุนด้วยการกระทำที่หุนหันพลันแล่นด้วยความกลัวจากความไม่แน่นอนของเหตุการณ์นี้ นี้ไม่ได้ช่วยใคร

หากมีอะไรสำคัญเกิดขึ้น ฉันจะอัปเดตโพสต์นี้หรือสร้างโพสต์ใหม่พร้อมสรุปการเปลี่ยนแปลง จนกว่าจะถึงตอนนั้น โปรดระมัดระวังไม่ให้ข้อมูลเท็จ การโกหกไปทั่วโลกในเวลาที่ความจริงต้องใช้ความจริงในการผูกรองเท้า


UPDATE(M09 08 2022 20:40): ฉันได้สร้างข้อความที่คัดลอกและวางได้สำหรับปัญหานี้เพื่อปลุกจิตสำนึกโดยไม่ต้องสร้างความกลัว

เฮ้ทุกคน

ว้าว วันนี้มีเรื่องอีกแล้ว ปรากฏว่าท่ามกลางเหตุการณ์อื่นๆ ในปัจจุบัน มีสถานการณ์ที่กำลังพัฒนากับ Patreon Patreon เป็นบริษัทออนไลน์ที่ช่วยให้การสนับสนุนผู้สร้างเนื้อหาออนไลน์เช่นฉัน ปลาวาฬเพชรฆาตที่เป็นมิตรของคุณเป็นเรื่องง่าย Patreon เป็นหนึ่งในบริษัทที่ใหญ่ที่สุดในบรรดาบริษัทเหล่านี้ ผู้ใช้ YouTube และสตรีมเมอร์คนโปรดของคุณมีบัญชี Patreon อย่างไม่ต้องสงสัย

มีรายงานที่ดูน่าเชื่อถือว่า Patreon ได้ปล่อยทีมรักษาความปลอดภัยของพวกเขาไปแล้ว ทีมรักษาความปลอดภัยของบริษัทอย่าง Patreon มักจะเป็นทีมที่น่าเชื่อถือที่สุด ซึ่งสามารถเข้าถึงระบบภายในจำนวนมากด้วยความเชื่อถืออย่างยิ่งในหลายกรณีในบทบาทที่คล้ายคลึงกันในองค์กรอื่นๆ ทีมรักษาความปลอดภัยทั้งหมดที่ถูกปล่อยตัวมักจะเป็นสัญญาณที่ “รู้สึกไม่ดี” ว่ามีบางสิ่งแปลก ๆ เกิดขึ้น

เราไม่รู้ว่าเกิดอะไรขึ้น ทั้งหมดที่เราทราบก็คือมีการกล่าวหาว่ามีบางอย่างผิดปกติเกิดขึ้น การบิดเบือนข้อมูลจะอาละวาด เราขอแนะนำให้คุณหลีกเลี่ยงการดำเนินการใดๆ จนกว่าเราจะรู้ว่าเกิดอะไรขึ้น อย่าเชื่อถือคำกล่าวใด ๆ จากใครหรือจากช่องทางใด ๆ ที่ไม่ใช่ Patreon ของบริษัทเอง

นอกจากนี้ Patreon ยังช่วยให้ผู้สร้างเนื้อหาออนไลน์สามารถจ่ายค่าเช่าและอาหารรายเดือนได้ จะเป็นความคิดที่ดีที่จะข่มขู่โดยการปิดบัญชี Patreon ของคุณหรือที่คล้ายกัน โปรดเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยหากคุณไม่ได้เปิดใช้งาน หากคุณสามารถจ่ายได้ ลองใช้ Yubikey หรืออุปกรณ์รับรองความถูกต้องที่ผ่านการรับรอง FIDO2 อื่นๆ (อุปกรณ์นี้กำลังถูกเพิ่มลงในอุปกรณ์สมัยใหม่ที่มีฮาร์ดแวร์ความปลอดภัย ดังนั้นโทรศัพท์ของคุณจึงสามารถใช้เป็นอุปกรณ์ได้)

ฉันได้สร้างเพจเกี่ยวกับเรื่องนี้ในบล็อกของฉันโดยมีข้อมูลสรุปที่ฉันมีที่นี่: https://xeiaso.net/blog/patreon-happening ฉันวางแผนที่จะอัปเดตด้วยเนื้อหาของข้อความนี้เมื่อพร้อมใช้งาน หากคุณต้องการเผยแพร่สิ่งนี้ไปยังเซิร์ฟเวอร์ Discord หรือแอปแชทอื่น คุณสามารถทำได้ก็ต่อเมื่อคุณแชร์ข้อความทั้งหมดโดยไม่ได้แก้ไขทุกคำ

หวังว่านี่จะไม่มีอะไร ฉันกำลังติดตามสถานการณ์และจะอัปเดตคุณและบล็อกของฉันหากสถานการณ์เปลี่ยนแปลง

สบายดี

เซ


UPDATE(M09 08 2022 22:03) : ฉันได้ติดตามสถานการณ์และพบคำแถลงที่น่าเชื่อถือจาก Ellen Satterwhite หัวหน้าฝ่ายนโยบายของสหรัฐอเมริกา Patreon เกี่ยวกับ Web Pro News คำสั่งที่แน่นอนคือ:

ในฐานะที่เป็นแพลตฟอร์มระดับโลก เราจะให้ความสำคัญกับความปลอดภัยของข้อมูลของผู้สร้างและลูกค้าของเราเสมอ ในฐานะที่เป็นส่วนหนึ่งของการเปลี่ยนแปลงเชิงกลยุทธ์ของส่วนหนึ่งของโปรแกรมความปลอดภัย เราได้แยกทางกับพนักงานห้าคน นอกจากนี้เรายังเป็นพันธมิตรกับองค์กรภายนอกจำนวนหนึ่งเพื่อพัฒนาความสามารถด้านความปลอดภัยของเราอย่างต่อเนื่องและดำเนินการประเมินความปลอดภัยเป็นประจำเพื่อให้แน่ใจว่าเราปฏิบัติตามหรือเกินมาตรฐานอุตสาหกรรมสูงสุด การเปลี่ยนแปลงที่ทำในสัปดาห์นี้จะไม่ส่งผลต่อความสามารถของเราในการจัดหาแพลตฟอร์มที่ปลอดภัยสำหรับครีเอเตอร์และผู้อุปถัมภ์ของเราต่อไป

ฉันได้ทำการวิจัยพื้นฐานเพื่อยืนยันว่า Ellen Satterwhite ทำงานที่ Patreon โดยตรวจสอบเว็บไซต์กิจกรรมของ Patreon ที่นี่ และผ่านการแถลงข่าวก่อนหน้านี้ ที่นี่ ฉันค่อนข้างมั่นใจพอสมควรว่านี่เป็นคำแถลงของแท้จากทีม Patreon แม้ว่าโดยส่วนตัวแล้วฉันอยากจะให้คำแถลงนี้เผยแพร่ผ่านช่องทางการสื่อสารอย่างเป็นทางการช่องทางใดช่องทางหนึ่งของพวกเขา

เรายังไม่รู้อะไรอีก มีการคาดเดากันระหว่างกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่ฉันปรึกษาด้วย แต่ไม่มีหลักฐานที่ชัดเจน เราขอย้ำว่าเราไม่รู้ว่าเกิดอะไรขึ้น เราไม่ต้องการทำให้เกิดความตื่นตระหนก เราอยู่ในความมืดมากเท่ากับที่คุณเป็น

เราหวังว่านี่เป็นเพียงการสื่อสารที่ผิดพลาดซึ่งไม่ได้เป็นไปตามสัดส่วน และเราจะติดตามสถานการณ์ต่อไป

สบายดี

เซ