恢复签名消息是安全的登录过程吗?
恢复签名消息是安全的登录过程吗?
提问于 2021-04-30 10:25:58
以下登录过程是否安全?
- 在服务器
- 上签名,将其发送给客户端
- ,用元as
- 签名返回签名
- 从签名和签名消息中恢复帐户<
>H 210<>H 111使用恢复的地址作为id<代码>H 212G 213
使用这个概念时,我遇到的最常见的漏洞是什么?
Stack Overflow用户
回答已采纳
发布于 2021-04-30 15:25:25
在一个非常高的层次上的概念是有效的,但实现细节是关键。考虑重放攻击--例如,攻击者不应该能够使用先前签名的回复。还可以考虑mitm:服务器发送挑战,攻击者将其转发给客户端,客户端签名,将其发送给攻击者,现在攻击者可以对受害者进行身份验证和模拟。这意味着它需要一个安全通道,客户端已经对服务器进行了身份验证(即。( https)等等,在如何实现这一点上有很多细节是很重要的。
还请注意,这是关于webauthn所做的事情。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67332298
复制相关文章
相似问题
腾讯云开发者
