Слух: В MacBook и Magic Mouse появится сканер Touch ID Статьи редакции
По данным источников тайваньского сайта Apple.club.tw, в следующих поколениях MacBook Air, MacBook Pro, беспроводной мышки Magic Mouse и трекпада Magic Trackpad может появиться сканер отпечатка пальцев. Таким образом пользователи смогут авторизовать свои покупки через Apple Pay. Издание MacRumors отмечает, что пока полностью доверять слуху рано.
265
просмотров
Ох, надеюсь, что этот сканер будет такой же, как на айфоне, а не как у ебучего HP pavilion.
Комментарий недоступен
Не знаю, у меня нормально работает. Хотя мне и сравнивать не с чем.
А достаточно ли безопасен протокол Bluetooth, чтобы ему можно было доверять передачу подобной информации?
Собственно, MacRumors в правдивости сомневается в том числе поэтому.
А что не так с bluetooth? Аппаратно шифруем данные вшитым публичным ключом в мыши, подписываем на компьютере, и расшифровываем на сервере apple
Так, а если в Вашей схеме отказаться от шифрования, что-нибудь изменится?
Мм, я не знаю как устроен apple pay, потому говорю как я бы делал. В мыши должно происходить некое неизвестное волшебство, которое не поддаётся реверсу из соснифанного траффика, иначе можно будет ей притвориться.
А если злоумышленнику удастся перехватить данные, которые передаются по Bluetooth?
Применить не получится
Почему?
Потому что без секретного ключа не расшфрует то, что передаётся и не сможет подменить. https://ru.wikipedia.org/wiki/RSA
Кстати, возмоно в bluetooth уже реализован TLS из коробки
Не совсем понял, что именно подменить?
Не получит отпечаток пользователя и прикинуться мышью не сможет, чтобы накликать перевод средств и скормить сервису фейковый отпечаток.
Так ведь мы уже предположили, что злоумышленнику удалось перехватить данные, пусть и в зашифрованном виде. Почему их не получится использовать? Я лишь хочу убедиться, что Вы понимаете.
Я не понимаю как можно использовать байтовый мусор, который невозможно расшифровать.
А нам этот "мусор" и не нужен. Пусть им сервер пользуется. Ведь Вы предложили зашифровать данные зашитым публичным ключом сервера, соответственно, только сервер и сможет их расшифровать. Мне, как злоумышленнику, в данном случае неважно, зашифрованы данные, или нет. Лишь бы эти данные не включали в себя временные штампы. Следуюущая проблема для злоумышленника в Вашей схеме - закрытый ключ пользователя, которым подписываются данные перед отправкой на сервер аутентификации. Где Вы собираетесь его хранить?
Ну это само собой разумеющееся, что данные должны быть уникальны в каждой сессии. Только не временные штампы, а токен.
Закрытый ключ от мыши на сервере авторизации apple, без физического доступа к мышке вы не сможете притвориться ей. Но вообще вы правы, схема дурацкая т.к предполагает проприетарность.
Они и без того будут уникальны. Отпечаток каждый раз будет немного отличаться от предыдущего. А что такое по-вашему токен и чем он лучше пары дата/время?
о вообще вы правы, схема дурацкаяЕсли получу в своё распоряжение зашифрованные данные и Ваш закрытый ключ, то вполне вероятно, что смогу. Это во многом зависит от того, что входит в состав шифруемых устройством с биометрическим сканером данных. Вы не ответили, где и как собираетесь хранить закрытый ключ клиента.
Давайте вместе подумаем, как можно было бы её улучшить.
Сканер должен быть встроен так, чтобы за него держаться при открытии крышки. Но тогда под вопросом удобство вывода из сна при открытой крышке.
Зачем?
Специально открыл и закрыл крышку. Действительно не очень удобно.
Уж лучше во всю площадь тачпада.
Ну уж точно не выводить в какой-нибудь угол )
Мерзость
Да давно напрашивается уже. Как и Сири.