問題タブ [fido-u2f]

FIDO U2F 仕様に関する最近の話題を踏まえて、最終仕様の今後のロールアウトに備えて、テストベッドに FIDO U2F をテスト的に実装したいと考えています。

これまでのところ、Yubico が作成した FIDO U2F セキュリティ キーと、Chrome にインストールされた FIDO U2F (Universal 2nd Factor) 拡張機能があります。また、Google ログインで機能するようにセキュリティ キーを設定することもできました。

今、自分のサイトでこのようなものを利用する方法がわかりません. U2F プロジェクトの Google の Github ページを調べ、Web アプリのフロントエンドを確認しました。とてもシンプルに見えます (JavaScript のみ)。では、FIDO を使用した 2 要素認証の実装は、JavaScript 呼び出しをいくつか実装するのと同じくらい簡単ですか? この例の登録で起こっているように見えるのは、次のことだけです。

しかし、それを自分で実装するにはどうすればよいでしょうか? このメソッド呼び出しからのコールバックをユーザー登録に使用できますか?

私はU2Fをいじり始めましたが、それは本当に有望に見えます. セキュリティキーをいくつか手に入れて、それを掘り下げ始めました。私は、U2F トークンと U2F Chrome 拡張機能を使用して適切に機能する登録/ログインのデモ Web サイトを作成することができました。

しかし...ここで疑問が生じます.Googleアカウントのセキュリティキーも登録しましたが、U2F Chrome拡張機能を使用しなくても機能するという事実にすぐに気づきました. 実際のところ、拡張機能をインストールしなくても、Google への登録とログインをすべて完了しました。これはどのように可能ですか？私は FIDO 仕様 (の一部) を読み、2 つの API レベルがある可能性があることを確認しました: 高 - 拡張機能によって公開される u2f 名前空間であり、低 - MessagePort API の使用を伴います。たぶん、これがGoogleのやり方ですか？(自分で chrome.runtime.connect(...) も試してみましたが、私の Web ページでは chrome.runtime オブジェクトが定義されていません)

U2F と呼ばれるこの若いプロジェクトで利用できるリソースはあまりないため、適切な方向へのポインタは高く評価され、現時点では非常に価値があります。

u2f dev ガイドは、この部分を未指定のままにしています: www プレフィックスでサイトにアクセスする訪問者に対して、www プレフィックスのない単一ファセット AppId は機能しますか? ブラウザーはそれらを一致と見なしますか?

そうでない場合、U2F 展開には 2 つの選択肢があると思いますが、どちらもあまり快適な IMO ではありません。その理由を以下に説明します。

1. すべての Web ユーザーを www.example.com から example.com にリダイレクトしてから、「example.com」ファセットを使用します。
2. 少なくとも 2 つのファセットを記述する JSON リソースを提供します: www.example.com、example.com

さて、私は「www.」に対処しなければならないと言いました。明らかに快適ではありません。私の理論的根拠は、単一サイトの SSL 証明書 (EV 証明書のようなより厳格な証明書を含む) は、Web ユーザーに対して透過的に www プレフィックス URL を処理するというものです。U2F がこれをセキュリティ ホールと見なし、明示的な対処方法を要求する理由がわかりません。

FIDO Alliance の Universal 2nd Factor (U2F) は、パスワードを置き換える新しい有望なアプローチです。FIDO アライアンスは多くのプレーヤーで構成されていますが、これまでのところ Google の Web サイトだけがそれをサポートしているようです。U2F トークンでログインするために使用できる他の Web サイトはありますか?

次のように、Fido U2F トークンからの登録応答をアラート (Google chrome V41) に表示しようとしています。

しかし、何らかの理由でこのコードは正しく機能しません。トークン ボタンをクリックしてもアラートが表示されません。

このソースコードを使用して、GWT プロジェクトで U2F トークンから応答を取得しようとしています:

いくつかの理由で、次のようなアラートが表示されます。

1. (アラート 2) 最初に「クリア」結果
2. (アラート 3) 「クリア」で
3. (アラート 1) Token 応答あり

通常、トークン応答で (アラート 1) を取得し、次に 2,3 を取得する必要があります。では、トークンの応答が得られるまで実行を停止するにはどうすればよいでしょうか。ありがとうございます。

認証プロセス内から U2F トークンの登録を許可する機能を備えた独自の SSO サーバーがあります。

この機能は、Chrome を使用する PC (U2F ブラウザー拡張機能の有無にかかわらず) でうまく機能します。また、ユーザーが正常に認証された後、Chromebook のブラウザーから使用する場合にも適切に機能します。

ただし、Chromebook で SSO を有効にして、認証プロセス中に U2F トークンを登録しようとすると、登録が機能しないようです。いくつかのデバッグのonMessage後、U2F 登録要求をu2f_register_requestチャネルに送信した後、イベント リスナーが呼び出されていないことがわかりました。

ただし、サインリクエスト（PCで登録後、認証する場合）はこの限りではありません。にリクエストを送信すると、コールバックu2f_sign_requestでメッセージを正常に受信します。onMessage

以前にこの問題に遭遇した人はいますか? または、認証プロセス中に登録を実行できるようにする回避策を知っていますか?

以下は、チャネルへの投稿に使用されるコードの一部を示しています。

// 1. 拡張機能に接続

// 2. コールバック関数をバインドします

// 3. メッセージを拡張機能に投稿します。

使用されているコードは ( https://github.com/Yubico/java-u2flib-server/blob/master/u2flib-server-demo/src/main/resources/assets/u2f-api.js )にあります。

Chromebook の情報は次のとおりです。

Google Chrome バージョン (および Chromebook 情報)
バージョン: 43.0.2357.125
フレームワーク バージョン: 6946.58.0 (公式ビルド) 安定チャネル kip
ソフトウェア バージョン: Google_Kip.5216.227.5
開始モード: 検証済み
モデル: HP Chromebook 11 2100-2199 / HP Chromebook 11 G3