bezpieczeństwo Rublon.pl [to nie spam....]

czemu to zaliczono jako spam?
przecież to chyba ma coś wspólnego z webmasteringiem?
bo przecież jakoś stworzono tą metodę do logowania na facebook i nk bez ręcznego wpisywania hasła - i chyba tylko webmasterzy będą wiedzieć jak?
mi znajomy twierdzi, że to programiści umieją robić, więc nie wiem kogo innego mam pytać??

stąd pytanie do webmasterów, czy to bezpieczne ;/

zapytałem na forum pda o kwestie bezpieczeństwa rublon.pl

znajomy informatyk powiedział, że u was najlepiej żebym zapytał webmasterów o bezpieczeństwo logowania

czy logowanie na higiht.com przez aplikację rublon jest bezpieczniejsze niż zwykłe logowanie?

czy przechowywanie moich haseł na telefonie i używanie rublon bridge jest bezpieczniejsze niż przechowywanie (zapamiętywanie) haseł wewnątrz przeglądarki?

Każdy system jest tak długo bezpieczy aż go nie złamią. Nie ma idealnie bezpeiczengo systemu.

Jeżeli chodzi o kryptografię, to przede wszystkim należy pamiętać, że nie zamkniętość algorytmu stanowi o bezpieczeństwie danego systemu szyfrującego a, paradoksalnie, otwartość. Pomyśl sobie w ten sposób, jeżeli wszyscy wiedzą jak coś działa a nikt nie potrafi tego obejść, to chyba takie coś jest bezpieczniejsze niż cokolwiek innego.

Co do rublon'a nie będę się wypowiadał na temat jego bezpieczeństwa itp. Za to zastanawiają mnie takie kwiatki jak: "Poziom bezpieczeństwa oferowany przez dane rozwiązanie (kryptografia jest znacznie bardziej bezpieczna niż hasła)." Kto chce zrozumieć co jest tu nie tak to sobie znajdzie odpowiedź. Aktualnie najbardziej sensownym i bezpiecznym rozwiązaniem jest system dostarczony przez Mozilla i nazywa się browser ID. Bezpieczny jest o tyle, że jednorazowe uwierzytelnienie się na jakimkolwiek końcie powoduje uwierzytelnienie na poziomie przeglądarki przez co do zalogowanie się gdziekolwiek indziej nie jest wymagana komunikacja z serwerem. Wszystko dzieje się po stronie klienta. Co do rublon'a, to pamietaj, że hasła muszą być gdzieś przechowywane. Ty wykorzystujesz swój telefon do logowania sie i faktycznie to jest cool. Ale Twoje hasło musi być przechowane w postaci jawnej, to znaczy, że gdzieś ktoś musi mieć do niego dostęp np. administratorzy rublon'a :) Taki mały kruczek. Sprzężenie rublona z każdym innym serwisem (np. facebook) jest o tyle śmieszne, że tworzony jest (tu dewaguję, bo nie testowałem usługi) link do strony logowania, następnie wykorzystana biblioteka (załóżmy że to CURL), i następuje proces logowania poprzez wypełnienie danymi formularza, danymi które muszą być gdzieś przechowane JAWNIE... nie wystarczy jednokiernukowa funkcja skrótu (tzw. haszowanie haseł). Nagle bezpieczeństwo Twojego hasła jest rozproszone i zależne od Twojego telefonu, serwisu rublon, bezpieczeństwa i zabezpieczeń bazy danych, umiejętności programistów oraz od uczciwości administratora :D.

Sam sobie odpowiedz czy to jest bezpieczne.

Pozdrawiam

czy logowanie na higiht.com przez aplikację rublon jest bezpieczniejsze niż zwykłe logowanie?

serwis higit.com jest całkowicie zintegrowany z tym rublon z tego co widzę
nie ma tam przekazywania haseł, więc pewnie jakaś informacja o Tobie jest zaszyfrowana w telefonie
na pewno jest to bezpieczniejsze niż przechowywanie haseł gdziekolwiek indziej

plus jest w momencie, gdy chcesz zalogować się do jakiegoś serwisu poza domem, np w kafejce lub w ogólnodostępnej sieci wi-fi
wtedy każdy może przechwycić wszystkie Twoje dane wysyłane przez POST itd - nie polecałbym w ogóle logować się gdzieś w takich miejscach

gdy logujesz się poprzez rublon do higit to moim zdaniem nikt nie jest w stanie w jakikolwiek sposób przejąć Twoje dane

mam tu małe obiekcje co do motywu skanowania tego obrazka, może ktoś go komuś podstawić i co wtedy?

jak na razie wydaje mi się, że rublon dopiero raczkuje
na pewno będzie bezpieczny gdy będzie integracja taka jak w higit, ale z tego co widzę nigdzie nie jest podane, czy i jak można będzie w ogóle się tak zintegrować

a może będą chcieli za to kaskę :)

na stronie głównej mają napisane: "Plugins and the API will be available soon."
wnioskuję, że będzie można jakoś to zrobić, ale na jakich zasadach??

pomysł wydaje się innowacyjny
pytanie, jak wiele serwisów chciałoby się zintegrować z tym rublonem i czy jest to komukolwiek potrzebne?

czy przechowywanie moich haseł na telefonie i używanie rublon bridge jest bezpieczniejsze niż przechowywanie (zapamiętywanie) haseł wewnątrz przeglądarki?

odnośnie rublon bridge to powiem tylko tyle, że na pierwszy rzut oka to aplikacja przechowuje jakieś Twoje dane (np login i hasło do konkretnego portalu) i skrypt javascript w połączeniu z telefonem jakoś te dane wrzuca do formularza

jak pisze wprawny_kryptograf_p, jest to cool
pozostaje pytanie, czy te dane logowania są przechowywane na rublon.com - jeżeli tak, to bardzo niefajnie...
nie uznałbym to za bezpieczne

jeżeli są tylko w Twoim telefonie, to już lepiej, masz te hasła zawsze ze sobą
można poszpanować w szkole czy w pracy, że mogę się zalogować do mordoksiążki telefonem

jakoś nie widzę większego zastosowania na komputerach domowych, chyba, że do wielu portali masz wiele różnych haseł/loginów itd