A blockchain-t én is feldobtam itt, és én már nem tartom magam kezdőnek, de abban a témában pont ugyan annyit találtam, mint te Példának okáért amíg azt hiszik a népek, hogy blockchain == cryptocurrency ledger, addig biztosan nem tart a fejlődés még sehol. Ha annyira új területre készülsz, csak deklarációval fogsz találkozni, és a te feladatod a definíciót adni. Ilyen a szakma. Tolni kell a szekeret.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Mind a kettore
- passwordless login legfeljebb biometrikus lesz, de remelem nem erem meg... egy banknak mindig bizonyitania kell tudni, hogy az ugyfel lepett be. Ez hogyan biztosithato, ha az authentikaciot valaki mas vegzi el? Vajon a FB vagy Google accounthoz kell szemelyazonositas (KYC)?
- a banki security-re meg szemelyes tapasztalatbol mondom (tobb bankot is megtapasztalva), hogy barmelyik nagy szolgaltatoval felveszik a versenyt felkeszultsegben.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

A masodikkal nem ertek egyet, de nehezen bizonyithato barmelyik oldal . (Ha csak azt nezed, hogy mennyi security research anyag jon ki mondjuk egy Project Zero-bol, meg barmelyik banki securitys csapattol.)

Az elsore:

Nem hiszem, hogy az FB vagy Google login a mostani formajaban hasznalhato lesz banki belepesre. Inkabb altalanossagban gondolom azt, hogy 3rd party auth providerekre lenne szukseg. Mondok egy talan konnyebben hiheto peldat: Ugyfelkapu+ peldaul teljesen jol mukodhetne banki belepesre.

> egy banknak mindig bizonyitania kell tudni, hogy az ugyfel lepett be. Ez hogyan biztosithato, ha az authentikaciot valaki mas vegzi el

Attol fugg, hogy a 3rd party milyen informaciot ad at. Tehat peldaul az Ugyfelkapu+ adhatna olyan informaciot, hogy 'garantalom, hogy az az user, aki be akar lepni, X nevvel, Y szuletesi datummal, Z lakcimmel es W adoszammal rendelkezik'. Vagy a Google Auth azt mondana, hogy 'garantalom, hogy az user sztanozs@gmail.com accounttal rendelkezik'.

A masodik esetben nyilvan el kellene vegezni egy regisztraciot a banknal, es azt kene mondani, hogy Sztanozs Jozsef vagyok, igazolom, hogy a sztanozs@gmail.com account hozzam tartozik.

Tehat a KYC-t a bank ugyanugy elvegzi.

Jelenleg lehet, hogy pl. az Unicredithez a sztanozs felhasznalonevvel + jelszoval lepsz be, mivel regisztracional hozzarendelted az identitasodhoz ezt a felhasznalonevet. Ugyanigy hozzarendelhetned a Google accountodat is az identitasodhoz.

A KYC ortogonalis problema. Amirol szo van, az az autentikacio, nem a szemelyazonositas.

while (!sleep) sheep++;

Dehogyis. Biometrikus azonositas eseten a biometrikus adataid sosem hagyjak el az eszkozt.

while (!sleep) sheep++;

Igen, ez problema; viszont ha mindenre kulon jelszavad van, az praktikusan nem megoldhato jelszokezelo (keychain, etc.) nelkul. 10000 random jelszot nem tudsz megjegyezni, tehat lesz valami 'master key', ami hozzaferest biztosit majd ezekhez.

while (!sleep) sheep++;

A KYC ortogonalis problema. Amirol szo van, az az autentikacio, nem a szemelyazonositas.
Egy banki alkalmazas eseteben az authentikacio maga a szemelyazonositas.

Ha csak azt nezed, hogy mennyi security research anyag jon ki mondjuk egy Project Zero-bol, meg barmelyik banki securitys csapattol.
Egy banki security-s csapatnak nem feladata a vilag osszes alkalmazasanak vizsgalata, hanem csak annak a nehany tucat-szaz-ezer alkalmaznak, amit az adott penzintezetnel hasznalnak. Masreszt egy ilyen csapat nem fogja nylvanossagra hozni az altala hasznalt komponensek sebezhetosegeit, hanem direktben kommunikalja le a gyartokkal, jol megfontolt onerdekbol...

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Én az Erste George App-ba most is FaceID-val lépek be. Ez mondjuk érdekes kérdés, hogy jelen esetben akkor az Apple szolgáltatja az authentikációt? Tippre igen, hiszen biometrikus adatot by definition nem ad ki. Gyakorlatilag akkor már meg is valósult a 3rd party login?

Igen ez hatareset - bar itt nem az Apple az authentikator csak az eszkoz (es a a bimetrikus azonositas igazabol csak password-managerkent mukodik)

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Nem, nem. A szemelyazonositas kifejezest (identitity verification) jellemzoen egy egyszeri (vagy ritka). Pl. egy fintech ceg (Revolut, Wise) ezt akkor csinalja meg, amikor regisztralsz. Az Ugyfelkapunal szemelyesen tortenik ez. A regisztracio soran ezen kivul az is megtortenik, hogy valamifele azonositohoz mappelik az identitasodat. Pl. az Ugyfelkapunal usernevhez, Revolutnal emailcimhez. Amikor kesobb belepsz, akkor csak autentikacio tortenik, azaz azt ellenorzik, hogy az azonositohoz tartozo hitelesites megfelelo-e, de ez nem szemelyazonositas (identity verification).

while (!sleep) sheep++;

> Én az Erste George App-ba most is FaceID-val lépek be. Ez mondjuk érdekes kérdés, hogy jelen esetben akkor az Apple szolgáltatja az authentikációt?

Majdnem, de nem egeszen; de azert nem rossz pelda. A biometrikus azonositasnal az tortenik, hogy az identitasodhoz tartozik egy azonosito, ami egyebkent az eszkozt azonositja. Amikor bejelentkezel, akkor azt bizonyitod be, hogy az eszkozt fel tudod oldani.

Tehat hasonlo, mint pl. egy Google Login, csak nem azt bizonyitod be, hogy 'az enyem az az emailcim, amit hozzarendeltem az identitasomhoz', hanem azt, hogy 'az enyem az a fizikai eszkoz, amit hozzarendeltem az identitasomhoz'.

while (!sleep) sheep++;

> es a a bimetrikus azonositas igazabol csak password-managerkent mukodik

Egyaltalan nem. A password (password managerek hasznalata eseten) eljut a szolgaltatoig (pl. a bankig), mig rendes biometrikus azonositasnal (vagy FIDO2 kulcsnal, stb.) nem jut el.

while (!sleep) sheep++;

Igen, ez valoban igy van, de uj identitast csak a szemlyazonossog ellenorzeset kovetoen lehet(-ne) az ugyfelszamlahoz kotni. Raadasul ha harmadik fel vegzi az azonositast, akkor a harmadik fel automatikusan bele kerul az adott orszag jogszabalyai alapjan a penzintezeteket felugyelo szervek hataskore ala, meg kell felenie a penzintezeti torveny rendelkezeseinek es a helyi hatosag rendszeresen auditalja majd ezek utan.

- vagy: azonositod maga egy korabbi azonosito hasznalataval (hiszen igy kialakul egy chain of trust)
Ez azert problemas, mert az azonosito kompromittalodasa eseten megtorik a chain of trust. Ezert is problemasak a sim swapping es hasonlo visszaelesek. Egy hosszabb lancolat eseten meg kevesebb kontrollja van a penzintezetnek.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Uj azonositot, marmint. Identitasbol egy van, azonositobol lehet tobb is.

Tehat:
> de uj identitast csak a szemlyazonossog ellenorzeset kovetoen lehet(-ne) az ugyfelszamlahoz kotni.

.. ez nem igaz, csereljuk ki 'azonosito'-ra:

> de uj azonositot csak a szemlyazonossog ellenorzeset kovetoen lehet(-ne) az ugyfelszamlahoz kotni.

... ez mar jobb, de meg mindig nem igaz: akkor lehet uj azonositot kotni a szamlahoz, ha
- vagy: atmesz egy uj szemelyazonositason,
- vagy: azonositod maga egy korabbi azonosito hasznalataval (hiszen igy kialakul egy chain of trust)

while (!sleep) sheep++;

Szerkesztesedre valaszul:

> az azonosito kompromittalodasa eseten megtorik a chain of trust.

Ez igy van, azonban ez kezelheto relative egyszeru szabalyokkal. Ha egy azonosito kompromittalodik es ez kiderul, akkor azon a ponton az osszes leszarmazott azonositot kidobod.

Pelda: igy mukodik a HTTPS. Vagy egyebkent a biometrikus azonositas, amit ugye kb. minden bankos app hasznal most -- ha ellopjak a telefonod, akkor jellemzoen nem kell nullarol vegigcsinalni a KYC folyamatot.

while (!sleep) sheep++;

Ezt viszont jó lenne tisztázni, mert kulcskérdés. Ha a banki appoknál tényleg az van, hogy az authentikáció a készülék által történik, akkor gyakorlatilag megvalósult a 0. pontban általam felvázolt scenario. Innentől már tényleg csak egy lépés az, hogy ne a készülék legyen a szolgáltató, hanem bármi más.

Valóban keychaint használok (3 külön keychaint), de azok titkosított állományok, amikhez külön jelszó tartozik, és egyedül az én kezemben van mindegyik. Fegyveres támadás kellene hozzá, hogy azt ellopják, és csak én miattam az nem éri meg. És az a valódi védelem. Hogy nem éri meg.

Bármi központosított hitelesítésnek az a rákfenéje, hogy egyszer oda betörnek, mindent visznek el. Lehet, hogy a 95%-a teljesen jelentéktelen érték lesz, de 1%-ban lesznek 1-2k usd-s értékek. Egy nagyobb data vault esetében az az 1% milliárd usd-ket tehet ki. Csak idő kérdése, mikor dönt úgy egy terror szervezet, hogy na, akkor oda most ők betörnek.

Gondolkodtam a SIM swap támadáson, és úgy látom, hogy az egész egy fake. Ami esetet leír, az a mobil szolgáltató direkt hanyagságára épít, és mostanra szerintem nem reális probléma. Egyszer volt Budán kutyavásár.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Gondolom ez alkalmazastol fugg; a webauthn-jellegu flow (ami az eszkozon tarolt privat kulcsos alairassal mukodik) az igazan fasza, meg olyan is van, ahol az eszkoz a jelszot tarolja, az kevesbe fasza.

Egyik esetben sem az eszkoz csinalja az autentikaciot onmagaban, mindenhol van egy szerveroldali folyamat is.

while (!sleep) sheep++;

Ahogy te azt elképzeled

Bárhol biometrikus védelmet felszerelnek, egy épület belépés, vagy valami, amit a kutya sem fog komolyan venni, mint fenyegetést, a biometrikus adataid ott tárolásra kerülnek, és a fene tudja, mennyire lesznek védve, vagy éppen direkt eladva. A biometrikus adatok statikusak, azt nem tudod lecserélni, mint egy jelszót. Bárki bárhol bármikor egyszer ellopta, hosszú időre ellopott téged. A biometrikus adatok akár évtizedes vonatkozásban sem változnak.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Na igen, a biometrikus azonosítás hátránya, hogyha a titok kompromittálódik, akkor nem lehet lecserélni. De van realitása annak, hogy kompromittálódjon? Nem nagyon.

[ Szerkesztve ]

Van; plusz ott vannak azok az esetek, amikor pl. van egy ikertestvered, stb. Tehat nincs revokacios lehetoseg. Ezert jobb az, ha koveti az ember az MFA szabalyokat:
- something you are (biometrikus -- ujjlenyomat, arc)
- something you have (eszkoz -- telefon, yubikey)
- something you know (pin kod, jelszo, stb.)

Tehat pl. amikor a telefonodon aktivalod a banki appnal a Face ID-t, akkor a 'something you are' es a 'something you have' kombot hasznalod.

Ezert sem tarolja el a bank pl. az ujjlenyomatodat: egyreszt kompromittalodhatna, masreszt onnantol az egy faktor, nem ketto.

[ Szerkesztve ]

while (!sleep) sheep++;

Lakóépületben közös képviselő kitalálja, hogy extra védelemként szereljünk fel a házban biometrikus azonosítót kulcs-helyettesítőnek. Felkerülnek azok az adatok egy olcsó környezet eszközeire, és máris ott a lehetőség kompromittálódni. Ha nem azonnal, telik az idő, lecserélik a közös képviselőt, vagy bármi esemény történik, ami után az előző adatok kevésbé gondos kezelést kapnak. A hétköznapi életben temérdek sok az esemény, amikor ilyen adatok akárkinek a kezébe odakerülhetnek. És csak egyszer kell valakinek tudatosan feljegyeznie téged.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Ezert kell MFA, nem SFA.

while (!sleep) sheep++;

Persze, MFA nem kérdés, hogy szükséges.

Nem feltetlen. A jelszavaim generalodnak a belepesre szolgalo helybol egy sajat elkepzeles szerint es mindig egy egyeni koddal kombinalva, amibol parevente van csak valtozas (2-3 generaciot vissza tudok probalni), en mindenhol ahol lehet egyeni bejelentkezest hasznalok es nem irok le/jelszokezelozok semmit... meg amugy is ha tul ritkan hasznalom, vagy jon figyelmeztetes, vagy lehet jelszoemlekeztetozni.
[most fogok bazi nagyot szivni azzal, hogy a webmail.hu fizetos lesz, es vannak oda bekotott jelszoemlekeztetoim, me'g azt se tudom hol csinaljak helyette mail cimet, ami nem annyira trivialisan kotheto hozzam mint a domain-unk, ez ugyanis a "neked nem kell tobbet tudnod rolam" helyekre hasznalt cim - es nem, a gmail -est se hasznalom levelekre]

Minel kevesebb info van osszekotve, annal jobb.

@Tapsi hitetlenkedett, hogyan tudnának lehetségesen kikerülni biometrikus adatok. Én arra írtam. Teljesen mindegy, hogy single- vagy multi-factor, mert nem az a lényege a sztorinak, hogy emberünk bejutott-e a lakóházi ajtón, vagy sem, hanem hogy a biometrikus adatokat annyira egyszerű begyűjteni. A szenzorok nem csak céges belépőkapuknál, meg banki átlépő kapuknál tudnak üzemelni, hanem személyi szférában is, és azok a szenzorok ugyan azokat az adatokat (kompatibilis adatokat) gyűjtik be. Aztán vagy figyelmesen vannak kezelve a hitelesítő adatok, vagy nem. Céges épületben, bankoknál, katonaságnál, egyebek, elhiszem, hogy figyelmesen kezelik a biometrikus adatokat. De személyes szférában szinte egészen biztosan szanaszét hagyva lesznek.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Na jah. Én kapásból az Apple ökoszisztémájából indultam ki, ahonnan azért ez parádé lenne. Viszont tényleg tele van a piac olyan konzumer cuccokkal fillérekért, amelyek gyűjtik az ujjlenyomatodat, és nyilván könnyen törhetőek. Ismerősöknél láttam múltkor okoskilincset a kapun, szintén ujjlenyomatos beengedéssel. Valami Aliexpress csoda volt. Hát, én nem raktam volna fel, az tuti.

Egy kis kitérő: jó gyorsan át kell alakítanom egy TCP/IP alapú kommunikációt SFTP-re. Az eszköz egy sftp-n elérhető mappába gyárt egy logfile-t, folyamatosan bővítve. Nekem ennek a sorait kell feldolgoznom, mindegyiket egyszer. Hogyan tudom úgy átnevezni a fájlt a szerveren, hogy az az eszköz logolását ne akadályozza? Az normál protokoll az eszköz számára, hogy a logfájlt törli a feldolgozó, de arról nem szól a fáma, hogy írás közben mit szól ehhez, ezért gondoltam, hogy az átnevezés kisebb kockázat. Az írások kb. 2-3 percenként történnek, de ha véletlenül a logolás hibára fut az eszközön, akkor az nagy dráma (is) lehet.

Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."

Milyen fajlrendszer van az sftp szerveren es milyen operacios rendszer?
Linux alatt pl lehet figyelni a fajl valtozast, es ha a valtozas utan eltelt egy kis ido akkor feltetelezhetjuk hogy vegzett az aktualis irassal es akkor fel lehet dolgozni a fajlt. Azt hiszem inotify-tools tud ilyesmit es talan bizonyos programnyelveknek is tamogatjak ezt.

"de ha véletlenül a logolás hibára fut az eszközön, akkor az nagy dráma (is) lehet. "
Hat, akkor javaslok valami komolyabbat ami mogott adatbazis van es szervert REST API-val, MQTT-val stb. Mindegyik eleg egyszeru, meg ESP32-nek is van library ezekhez.
Az adatbazis biztositja a konkurens hozzaferest, az utobbiak a megbizhato kommunikaciot.

HP ZBook Workstation A3000 - Linux Mint; Raspberry Pi4 - Raspbian

Ez egy eszköz, nem lehet módosítani a működését. Csak az sftp hozzáférés van, ennyi.

Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."

Jó látni, hogy más is érdeklődik és foglalkozik ezzel. Te mit használsz a programozásához, és szerinted nekem mivel kellene kezdeni a tanulást?

ok, akkor talan az elso javaslat mukodhet.

HP ZBook Workstation A3000 - Linux Mint; Raspberry Pi4 - Raspbian

Ha valamin windowsos izé, akkor íráskor lock lesz rajta, szóval nem tudod törölni (és talán átnevezni sem, de azt most passzolom).
Ha a fájl megnyitásakor megadták a FILE_SHARE_DELETE flaget, akkor mindkettő lehetséges. Ha nem, akkor nem és általában ez igaz.

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Na végre hozzáférek az eszközhöz sftp-n, linuxnak tűnik a mappaszerkezet alapján. Egyelőre marad az átnevezéses megoldás, feltételezem, hogy írás közben az nem fog menni, így nem lesz fennakadás az eszközön. Az én oldalamon lehet, az nem gond.

Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."

Kellene az eszközzel tesztelned egy olyat, előreszámítható-e, hogy percekig nem nyúl hozzá a file-hoz, és ha nem találja a file-t létező néven, biztosan létrehozza-e? Ha van olyan szerencséd, hogy az stabilan működik, írj egy szolgáltatást file figyelésre, mikor hozza létre és ír bele sftp-n keresztül a távoli állomás, aztán kivárni egy kicsit, és átmozgatni a file-t a helyi file rendszeren máshova. Amit találsz benne, azt feldolgozod.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Ami engem illet, egy jelenlegi project-hez például mezei c-t használok (c99 standard).

Ami téged illet, az első kérdés, miért akarod?

De nyelvekre lehet éppen biztosat javasolni. Lévén minden doksi csak angolul van meg rendesen, és minden nemzetközi info közösség angolt használ, az első nyelv biztosan az angol legyen, amit tanulsz. Legalább írásban és legalább a szakmai angollal el kell tudni boldogulni, mert addig moccanni sem fogsz tudni. Aztán majd úgyis látni fogod discord-on és egyéb helyeken, mi hogyan megy.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Tesztelni nem tudok, de az biztos (eszközgyártó infó), hogy a letöltés és törlés szabályos művelet, azaz létrehozza a logot, ha nincs. Valamennyire kiszámítható, milyen időközönként ír a logba: néhány órán át 2-3 percenként, aztán szünet, ami lehet fél óra, 1 óra, 1 hét is akár. Ráadásul a beírás után elég hamar fel kell dolgozni naplót, mondjuk 10 mp-n belül. A többi eszköz tcp/ip-n küldi ezeket az adatokat valós időben, ehhez kell közelíteni valahogy.

Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."

Nosza írsz egy app-ot ami linux daemon / windows nt service (amin éppen fut az app), nézze neked a file-t folyamatosan (mikor lett létrehozva, utolsó módosítási idő), és ha már 3-4 másodperce nincsen benne új adat, akkor fogod a file-t és átmozgatod valahova feldolgozni. Nem egy nagy mutatvány, de a részletekkel el lehet éppen pepecselni. Mire kiforrott lesz, számolj rá legalább egy hetet. Ha nem ér annyit, akkor meg csak ereszd el, és had pusztuljon.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Az angollal alapjában véve nem lesz probléma.
Miért akarom? A válasz egyszerű:
1. mert érdekel
2. mert egyre nagyobb szerepet fog betölteni a világban a blokklánc technológia
3. régóta érdekel a programozás, és régóta érzek arra vágyat hogy programozással alkossak valami maradandót.
4. Cryptózok (értsd: kereskedek velük) és szeretnék egy kicsit jobban belelátni abba melyik blokklánc mit tud valójában.

Ehh, én meg már azt hittem, csajoknak flexelni akarsz, vagy doomsday-t heggeszteni, vagy valami érdekeset.

Ha kell valami blockchain-játék fejlesztőknek, azt illetően jó hírem van, éppen azt csiszolok. De még sok idő, mire bármi bemutatható állapotba kerül. Emberi számítás szerint május vége ... június vége. A teszter kód a bináris mellé tervezetten c# lesz. Ha gondolod, legalább a c# 1.0 szintaktikájával ismerkedj össze addig.

Maga a "blokklánc" semmi egyéb, mint egy dokumentumok halmaz, amik adatműveletet írnak le. A crypto marketing világa sokkal érdekesebb, mint mögötte a szakmai realitás. A szakmai alapjai cudar unalmasak

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Egyszerűbb lett a megoldás: miután a feldolgozás egyben a fájl törlését is jelenti, így ha létezik a fájl, akkor éppen írt bele az eszköz, némi várakozás után vihető is, mert 1-2 perc a következő írás. Windows service egyébként, de ez adott, mert a többi (tcp/ip) eszközt is ez szolgálja ki.
Mindenkinek köszönöm a tanácsokat.

Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."