Zostałem poproszony po raz drugi o wygłoszenie prezentacji na wydarzeniu organizowanym przez firmę CareerCon. Tym razem były to Targi Kariera IT we Wrocławiu. Parę słów podsumowania – osób na sali zdecydowanie więcej niż w Poznaniu. Z drugiej strony byłem w stanie wypowiadać się swobodniej – chyba robię postępy :) Prezentacja od ostatniego razu również została znacznie przebudowana. Bezpieczeństwo aplikacji webowych to temat rzeka. Zdaję sobie sprawę, że został omówiony jedynie w zarysie. Takie jednak było założenie – stąd też podtytuł “o bezpieczeństwie słów kilka“. Na więcej nie pozwalał limit czasu. Zgodnie z obietnicą prezentacja do pobrania w dziale Resources.
Weryfikacja dwuetapowa z Microsoft Account
Pierwszy “konkretny” wpis wciąż nie jest gotowy – nadal brak czasu. Tymczasem Microsoft wprowadził funkcję, która w założeniu ma oferować dodatkowe bezpieczeństwo mojej internetowej tożsamości (Microsoft Account). Słyszałem, czekałem i gdy tylko pojawiła się taka możliwość, od razu skorzystałem. Tytułową opcję można włączyć na Microsoft Account, w menu Przegląd -> Informacje zabezpieczające. Od teraz przy logowaniu do konta konieczne będzie podanie kodu, który może być:
- Wygenerowany przez aplikację Authenticator Microsoftu
- Przesłany w postaci SMS na numer telefonu podany w ustawieniach konta
- Przekazany głosowo przez automat dzwoniący na numer telefonu podany w ustawieniach konta
- Przesłany na alternatywny adres e-mail
Korzystanie z aplikacji Authenticator wymaga skojarzenia jej z Microsoft Account. Nic dodać nic ująć, wszystko pięknie. Pozornie. Dwuskładnikowe uwierzytelnienie rodzi następujące problemy:
- Konieczność podawania dodatkowego kodu podczas każdego logowania
Ciężko nazwać to problemem, w końcu na tym opiera się cała idea :) Chodzi jednak o sytuację w której posiadamy zaufane, bezpieczne urządzenie, na którym nie chcemy za każdym razem podawać dodatkowego kodu podczas logowania. Microsoft rozwiązał ten “problem” poprzez możliwość ustawienia urządzenia jako zaufane (należy zaznaczyć odpowiedni checkbox podczas logowania). Wówczas podczas każdego kolejnego logowania z tego urządzenia nie zostaniemy poproszeni o dodatkowe uwierzytelnienie. Niestety, nie można usunąć wybranego zaufanego urządzenia. Trzeba usunąć wszystkie. - Aplikacje nie obsługujące dwuskładnikowego uwierzytelnienia
Na przykład Outlook. Każda próba zalogowania się takiej aplikacji spowoduje zwrócenie komunikatu błędu. Microsoft rozwiązał ten problem poprzez wprowadzenie tzw. haseł aplikacji. Są to losowo wygenerowane ciągi znaków, które wraz z loginem wystarczają do uwierzytelnienia. Chciałbym skupić się na tym punkcie trochę bardziej. Przede wszystkim wygenerowane hasła nie zawierają znaków specjalnych (w moim przypadku składają się z samych liter – o zgrozo tylko małych) co już budzi niesmak. Po drugie nie mam możliwości zarządzania tymi hasłami. Można jedynie wygenerować kolejne albo usunąć wszystkie wygenerowane do tej pory. Brak jakichkolwiek informacji o ostatnim logowaniu, brak możliwości przypisania nazwy urządzenia do hasła, brak możliwości usunięcia tylko wybranego hasła. Dodatkowo całość działa dość specyficznie. Po włączeniu dwuskładnikowego uwierzytelniania, Outlook przestał logować się do mojego konta na Outlook.com Musiałem wygenerować hasło aplikacji. Tak powinno być. Ze Skype również były problemy (loguję się poprzez Microsoft Account) – w przypadku aplikacji na Windows 8 zostałem poproszony o wpisanie dodatkowego kodu, w przypadku aplikacji na Windows Phone 8 zalogowanie się nie było możliwe. To również jak najbardziej prawidłowe zachowanie. Niestety, wygenerowanie haseł aplikacji w przypadku Windows Phone 8 nie pomogło. Pozostało jedynie zalogowanie się poprzez dotychczasowe hasło do konta Skype.Ciekawi mnie natomiast fakt, że nie musiałem zmieniać żadnego hasła dla Microsoft Account w moim telefonie z Windows Phone 8. Synchronizuje się bez problemu z Microsoft Account zarówno z głównym hasłem do konta jak i z hasłami aplikacji. Nie bardzo rozumiem tego działania i określiłbym je bardziej jako bug niż feature :)Po czasie wszystko zaczęło działać tak jak powinno – nie ma możliwości zalogowania się na Windows Phone 8 przy pomocy głównego hasła.
Podsumowując – rozwiązanie wymaga kilku poprawek. Na razie Google zdecydowanie wygrywa :)
Plany na przyszłość
Z powodu braku czasu ostatnio nie zaglądałem na bloga. Co się jednak odwlecze to nie uciecze :) Tak jak zapowiadałem, chciałbym rozwinąć w tym miejscu kwestie, które szczególnie mnie interesują – bezpieczeństwo i wydajność aplikacji internetowych. Temat z jednej strony jest bardzo rozległy, z drugiej strony napisano na ten temat wiele książek, nie mówiąc już o GB informacji w Internecie. Będą to więc raczej krótkie posty, prezentujące ciekawostki, które może nie są jakoś specjalnie odkrywcze, ale z drugiej strony nie są powszechnie znane (takie przynajmniej odnoszę wrażenie). Postaram się publikować w miarę regularnie, docelowo raz na tydzień, najprawdopodobniej w weekendy.
Pierwszy post i Targi Kariery Programisty 2013 w Poznaniu
Dzisiejszym wpisem chciałbym zainaugurować działalność bloga. Planowałem zrobić to już dość dawno temu, jednak nie było ku temu dobrej okazji. Impuls, który pchnął mnie ostatecznie w tym kierunku pojawił się całkiem niedawno. Zostałem zaproszony w roli prelegenta na Targi Kariery Programisty w Poznaniu, na które serdecznie wszystkich zapraszam –http://careercon.pl/karieraprogramisty/poznan Zamierzam powiedzieć parę słów (dosłownie parę, bo 30 minut na prezentację to jednak mało czasu) o bezpieczeństwie aplikacji internetowych oraz przedstawić krótkie demo. Temat bezpieczeństwa i wydajności aplikacji internetowych szczególnie mnie interesuje – nie uważam się za wybitnego eksperta w tym temacie, nie jestem również pocztkujący. Moja wiedza jest na poziomie pozwalającym przedstawić trochę przydatnych (mam nadzieję) informacji. Jak to wyjdzie przekonamy się w sobotę :)
Jeśli chodzi o samego bloga to zamierzam pisać dość regularnie o tym co mnie interesuje i w czym czuję się mocny – chciałbym aby posty miały jakąś wartość merytoryczną. Będzie to oczywiście programowanie, szeroko pojęte IT, równie szeroko pojęta nauka i technologia. Chciałbym również poświęcić trochę czasu astronautyce – tematowi, który zawsze mnie fascynował. Posty będą publikowane w języku polskim lub angielskim (stąd menu w języku angielskim) – w zależności od tematu. Kończąc zapraszam do subskrypcji mojego bloga oraz do dyskusji w komentarzach.
HTTP/1.1 200 OK 