Переключение пользователей в яндексе
Можно тут http://passport.yandex.ru/auth
Позже будет и в других местах
Позже будет и в других местах
когда эти тормоза введут двухфаторную верификацию?
лучше бы они ввели разные пароли под разные сервисы с разными правами. например:
Пароль для почты на телефоне на получение писем за последние сутки и отправку не больше 100 писем в день. С возможностью скрыть доступ к папке уведомлений из соцсетей.
Пароль на полноценный доступ к почте.
Пароль на xmpp.
Мастер-пароль на управление аккаунтами.
Что-то в таком духе. Я бы пользовался.
Пароль для почты на телефоне на получение писем за последние сутки и отправку не больше 100 писем в день. С возможностью скрыть доступ к папке уведомлений из соцсетей.
Пароль на полноценный доступ к почте.
Пароль на xmpp.
Мастер-пароль на управление аккаунтами.
Что-то в таком духе. Я бы пользовался.
Пароль для почты на телефоне на получение писем за последние суткиЭто security through obscurity, признанная worst practicie
на на окно ввода пароля мы тебе поставим ещё пароль, чтобы ты мог вводить пароль перед тем как вводишь пароль
В каком месте это through obscurity? Типа злоумышленик подумает что почты больше нет? Суть то не в этом. Суть в разделении прав на доступ к информации. Пароль для плохо защищёного устройства типа телефона позволяет получить доступ к малому необходимому объему информации. Пароль которым пользуются на хорошо защищёном устройстве (десктопе) имеет больше прав и доступ ко всей информации.
А почему у тебя телефон плохо защищен?
Потеряццо может гораздо проще, чем десктоп - не?
И чо? Если он залочен, хули ты с ним сделаешь? Будешь подбирать? Там и вайпнуть удаленно можно.
А почему у тебя телефон плохо защищен?больше уязвим к вирусам, проще украсть, проще подсмотреть пароль, возможна удалёная установка вирусов опсосом, информация приложений не зашифрована, имеются куча приложений исходный код которых закрыт.
больше уязвим к вирусамЧО?
В каком месте это through obscurity?В том, что ты допускаешь его компрометацию из-за того, что он вроде как обладает не самым полноправным паролем. Но - для восстановления доступа, через получение какого-нибудь сообщения, или через отправку сообщения от твоего имени, того доступа, что ты описал - достаточно.
Просто прикинь кейсы атак, которые реализуются через твою почту, и поймешь, что для немалой их части достаточно доступа только к новой почте
Просто прикинь кейсы атак, которые реализуются через твою почту, и поймешь, что для немалой их части достаточно доступа только к новой почтеДа. так и есть, но всё-таки мы существенно уменьшили количество кейсов для атаки. Нет же серебряной пули, которая защитит от всего, как например часто полагают оголтелые фанаты двухфакторной аутенфикации. ИБ это всегда баланс между удобством и надёжностью. Гибко настраиваемые права доступа - удобный и важный инструмент обеспечения безопасности.
ЧО?суп харчо.
в линупсе у меня важные апдейты безопасности приходят в течении суток.
андройд апдейтится только появлением новой прошивки раз в пол года. при этом у меня например прошивка не обновляется уже три года, потому что новой нету. фрамарут находит там больше 5 уязвимостей для получения прав рута.
контроль за сборкой приложения в андройде много хуже - люди выкладывают уже готовые бинарники. пакеты под бубунту собирают сервера launchpad из сырцов - надо доверять только админам лаунчпада, которые - крупная контора, бизнес которой строится на доверие к ним.
А теперь про удаленную установку вирусов опсосом? 
Ну опсос точно ставить может обновлять джава приложения на твоей симке. В том числе поставить туда вирус (массово такое было как минимум один раз в пакистане). Штатным методом поставить тебе приложение на ось самого смартфона (андроид грубо говоря) опсос пожалуй не может, но симкарта тесно взаимодействует с ядром твоей операционной системы (что гейфона что андроида что виндофона). Я не могу гарантировать что там на стыке нет уязвимостей - врядли их кто-то серьёзно рассматривал и изучал в силу закрытости области (вот тут как раз security through obscurity).
Я не имею достоверных данных о таких случаях, но вероятность этого существенно не нулевая и подозреваю, что спецслужбы вполне себе освоили метод.
Я не имею достоверных данных о таких случаях, но вероятность этого существенно не нулевая и подозреваю, что спецслужбы вполне себе освоили метод.
Еще, еще! Бредни параноиков-линупсоедов всегда так весело читать! 
а есть ссылки на пакистан? чиста ради интереса
лучше бы они ввели разные пароли под разные сервисы с разными правами. например:вроде есть oauth, в котором токену выдаются определенные права, в веб мордах правда их использовать вроде нельзя.
в веб мордах правда их использовать вроде нельзяВроде можно, вон r-broker активно юзает.
Вроде можно, вон r-broker активно юзает.ты уверен, что он использует стандартную веб-морду, а не api ?
или ты про то, что они написали свою веб-морду и в ней используют? так конечно можно, я имел в виду в стандартной почте нельзя ввести вместо пароля oauth токен и получить ограниченный доступ к ящику.
исали свою веб-морду и в ней используют? так конечно можно, я имел в виду в стандартной почте нельзя ввести вместо пароля oauth токен и получить ограниченный доступ к ящику.Я имел в виду свою вебморду.
Oauth2 можно использовать в вебмордах. Ну и вообще в вебе. Там есть разные grant type на разные случаи жизни.
Основная проблема что для xmpp есть какая-то версия авторизации через oauth, но её клиенты вроде никакие популярные не поддерживают. У имапа просто нет поддержки oauth.
Нет поддержки со стороны популярных клиентов - нет смысла делать серверную часть.
Основная проблема что для xmpp есть какая-то версия авторизации через oauth, но её клиенты вроде никакие популярные не поддерживают. У имапа просто нет поддержки oauth.
Нет поддержки со стороны популярных клиентов - нет смысла делать серверную часть.
Про пакистан я кажись на звиздел - про пакистан не гуглится ничего. Помню пару лет назад проскакивала история про какую-то африканскую или азиатскую страну - завтра погуглю.
Оставить комментарий
IG_rok777
Вчера Яндекс запустил возможность переключать аккаунты в яндекс почте. При этом в других сервисах используется последний выбранный аккаунт в яндекс почте. Переключать возможности, кроме как через почту на данный момент нет.Написал расширение для chrome, которое переключает аккаунты и на других сервисах яндекса. Может кому-то будет интересно. Писал на коленке, так что сильно не пинайте.
Приложение не умеет определять текущий аккаунт и в списке отображаются уиды пользователей. Для удобства их можно переименовывать. Если у кого-то есть мысли как это можно поправить буду признателен за информацию. Также пожелания и предложения приветствуются.
Ссылка