Каков наилучший способ авторизации, идентификации и хранения деликатной информации о пользователях?

Question

Каков наилучший способ авторизации, идентификации и хранения деликатной информации о пользователях?

1

С целью изучения конечных точек я создаю приложение под названием "Где вы?". Приложение позволяет пользователям запрашивать местоположение других пользователей. Идея заключается в том, что она делает это, позволяя пользователю выбрать контакт, найти контакт по номеру телефона в моей конечной точке. Если найдено, это означает, что у контакта есть приложение, и GCM отправляется с запросом местоположения. Если контакт не найден, сообщение отправляется с URL-адресом, который запрашивает местоположение через браузер, выполняет http-сообщение указанного местоположения и возвращает сервер GCM обратно лицу, запрашивающему местоположение.

Мне нужно аутентифицировать пользователей приложения и хранить телефонные номера нескольких контактов, а также пользователей приложения. На данный момент я в основном сосредоточусь на стороне сервера.

Как я могу архивировать вышеуказанное безопасным образом?

До сих пор я user_required=True OAuth 2.0 для своего API и user_required=True качестве аргумента для моего декоратора Model.method. Результат в следующем коде:

from google.appengine.ext import endpoints
from google.appengine.ext import ndb
from protorpc import remote
from endpoints_proto_datastore.ndb import EndpointsModel

class User(EndpointsModel):
    owner = ndb.UserProperty()
    phone_number = ndb.StringProperty()
    reg_id = ndb.StringProperty()
    created = ndb.DateTimeProperty(auto_now_add=True)

@endpoints.api(name='whereareyoudroid', version='v1', 
               description='Where Are You Users')
class UserApi(remote.Service):
    @User.method(user_required=True,
                 response_fields=('id',),
                 path='user')
    def insert(self, user):
        user.owner = endpoints.get_current_user()
        user.put()
        return user

    @User.method(user_required=True,
                 request_fields=('id',),
                 path='user/{id}',
                 http_method='GET')
    def get(self, user):
        if not user.from_datastore:
            raise endpoints.NotFoundException('User not found.')
        return user

Но для приведенного выше кода требуется только действительная учетная запись gmail. Я думаю, что вы можете получить доступ к пользователю, если у вас уже есть номер телефона? Какой будет случай, если я ограничу поля ответов в методе get, чтобы исключить номер телефона... если кто-то не решит переустановить службу. Предложения? Комментарии?

Из этого я понимаю, что могу настроить свою конечную точку только для приема запросов из моих приложений. Это правильно? И если да, не мог ли кто-то извлечь информацию о потребности из apk или изменить ее для выполнения... зла? :)

Обновить:

A делает запрос на размещение B

Запросит конечную точку по номеру телефона, если не найдена, просто отправьте запрос на SMS-сообщение, если найдено... перейдите к 2.
Запрос отправляется в приложение GAE

Это делается путем вставки идентификатора конечной точки местоположения, который является идентификатором UUID, и отправляет GCM в B о запросе
Приложение GAE проверяет, что секретный идентификатор находится в белом списке B

Нет белого списка, а секретный идентификатор - UUID, поэтому этот шаг устраняется
Затем приложение запрашивает местоположение B

Если B решает предоставить доступ к нему, то местоположение B просто обновляет конечную точку местоположения на основе UUID
После того как приложение получает эту информацию, оно затем проверяет, что оно отправляет эту информацию только пользователю, указанному в секретном идентификаторе

Когда B обновляет его местоположение, GAE отправляет GCM в A, информируя об обновлении
Затем информация отправляется безопасно клиенту A

Готово! GCM и SMS (и HTTPS) можно считать безопасными... правильно?

Обновление: GCM не безопасен... но действительно ли это так важно?

user672009 20 март 2013, в 17:16

Источник

1

Из вашего описания не похоже, что существует какой-либо контроль доступа, т.е. если я знаю чье-то имя и ищу его номер телефона, я могу запросить, где он находится, если у меня есть учетная запись с вами (нравлюсь ли я им делать это или нет). Если это так, я бы не стал сильно беспокоиться о безопасности OAuth, это достаточно хорошо (потому что проблема безопасности в другом месте). Если бы вы только забыли упомянуть эту деталь, мои извинения. В этом случае я бы лично аутентифицировал пользователей с помощью криптографии с открытым ключом, так как это самый безопасный способ (...)
Damon 20 март 2013, в 15:29
1

(...) хотя OAuth «достаточно хорош» для миллионов людей, но мне лично не нравится идея отдавать безопасность какой-то неизвестной другой стороне (что, в основном, и вы делаете). Хешированные пароли становятся все более и более хлопотными, и такие вещи, как bcrypt, на самом деле не настолько эффективны (по сравнению со стоимостью). Генерация открытого ключа из секретного ключа (если хотите, хешированного пароля) является достаточно эффективной (подумайте о кривой 25519), и ее нужно делать редко. Открытый ключ, хранящийся в вашей базе данных, бесполезен даже в случае утечки / кражи, и, в отличие от хэша, не является грубым взломом.
Damon 20 март 2013, в 15:33
0

Там не будет паролей, так как я собираюсь авторизоваться с Google ... по крайней мере, это то, что я думаю, я буду.
user672009 20 март 2013, в 20:05
0

Запрос местоположения будет сделан путем отправки GCM или SMS на указанный контакт, который будет представлен с выбором предоставления или отказа. В версиях futura должна быть возможность занести в белый список людей. Так что моей маме, дочери или кому-то другому не придется соглашаться каждый раз, когда я хочу забрать их ... или подобный сенарио. Но идея в том, что вы получите сообщение «кто-то хочет знать, где вы находитесь, вы разрешаете?». Таким образом, он будет предоставлен или отклонен для каждого запроса.
user672009 20 март 2013, в 20:09
1

Маловероятно, что кто-то сможет изменить GCM, поэтому он говорит: «Мама хочет знать, где ты», когда он должен сказать «Сталкер хочет знать». Разрыв соединения https (при условии наличия действующего сертификата) также маловероятен (в противном случае вы не сможете заниматься онлайн-банкингом). Поэтому можно сказать, что система более или менее безопасна, как и учетные записи Google. Что, я думаю, должно быть «достаточно хорошим» для большинства людей, которые все равно слепо доверяют Google и используют Google для аутентификации повсюду в Интернете.
Damon 21 март 2013, в 12:31

Показать ещё 3 комментария

Теги:

python

android

oauth

google-cloud-endpoints

endpoints-proto-datastore

1 ответ

Ещё вопросы

Из вашего описания не похоже, что существует какой-либо контроль доступа, т.е. если я знаю чье-то имя и ищу его номер телефона, я могу запросить, где он находится, если у меня есть учетная запись с вами (нравлюсь ли я им делать это или нет). Если это так, я бы не стал сильно беспокоиться о безопасности OAuth, это достаточно хорошо (потому что проблема безопасности в другом месте). Если бы вы только забыли упомянуть эту деталь, мои извинения. В этом случае я бы лично аутентифицировал пользователей с помощью криптографии с открытым ключом, так как это самый безопасный способ (...)
(...) хотя OAuth «достаточно хорош» для миллионов людей, но мне лично не нравится идея отдавать безопасность какой-то неизвестной другой стороне (что, в основном, и вы делаете). Хешированные пароли становятся все более и более хлопотными, и такие вещи, как bcrypt, на самом деле не настолько эффективны (по сравнению со стоимостью). Генерация открытого ключа из секретного ключа (если хотите, хешированного пароля) является достаточно эффективной (подумайте о кривой 25519), и ее нужно делать редко. Открытый ключ, хранящийся в вашей базе данных, бесполезен даже в случае утечки / кражи, и, в отличие от хэша, не является грубым взломом.
Там не будет паролей, так как я собираюсь авторизоваться с Google ... по крайней мере, это то, что я думаю, я буду.
Запрос местоположения будет сделан путем отправки GCM или SMS на указанный контакт, который будет представлен с выбором предоставления или отказа. В версиях futura должна быть возможность занести в белый список людей. Так что моей маме, дочери или кому-то другому не придется соглашаться каждый раз, когда я хочу забрать их ... или подобный сенарио. Но идея в том, что вы получите сообщение «кто-то хочет знать, где вы находитесь, вы разрешаете?». Таким образом, он будет предоставлен или отклонен для каждого запроса.
Маловероятно, что кто-то сможет изменить GCM, поэтому он говорит: «Мама хочет знать, где ты», когда он должен сказать «Сталкер хочет знать». Разрыв соединения https (при условии наличия действующего сертификата) также маловероятен (в противном случае вы не сможете заниматься онлайн-банкингом). Поэтому можно сказать, что система более или менее безопасна, как и учетные записи Google. Что, я думаю, должно быть «достаточно хорошим» для большинства людей, которые все равно слепо доверяют Google и используют Google для аутентификации повсюду в Интернете.

Ivo · Accepted Answer · 2013-03-20T14-27-00.000Z

Вы хотите приобрести довольно чувствительную комбинацию информации - электронную почту пользователя (как личность), номер телефона и местоположение.

Итак, во-первых, вы должны быть очень внимательны к проблемам конфиденциальности для пользователей, имея политику в отношении того, как эта информация хранится и распространяется, и разъяснять пользователям, что они разрешают. Я бы предложил не хранить как можно больше совокупность этого типа набора данных в клиенте.

Для этой цели я бы рекомендовал использовать хранилище GAE как можно больше.

Ваше приложение, запрашивающее местоположение пользователя, не должно быть слишком тревожным, если все сделано по защищенным каналам.

Что волнует, так это то, что эта информация достигает только разрешенного источника. т.е. что только взаимный контакт может запросить эту информацию.

Я бы предположил, что для каждого пользователя лучше всего использовать белый список разрешенных контактов. Для каждого пользователя есть секретный случайный uuid, связанный (который никогда не выходит никому из клиентов) в GAE. Пользователь, зарегистрировавшийся для вашей службы, создаст этот идентификатор. Затем белый список будет состоять из списка секретных идентификаторов.

Тогда процесс мог бы be-

A делает запрос для местоположения B
запрос отправляется в приложение GAE.
Приложение GAE проверяет, что секретный идентификатор находится в белом списке B
Затем приложение запрашивает местоположение B
После того как приложение получает эту информацию, оно затем проверяет, что оно отправляет эту информацию только пользователю, указанному в секретном идентификаторе
Затем информация отправляется безопасно клиенту A

Ваш процесс довольно близок к тому, что я имел в виду. Вы заставили меня понять, что удостоверение личности должно быть непоследовательным и не угадываемым. Я обновил свой вопрос на основе вашего ответа.