Я не знаю, поведение это конкретно #SoloKey или вообще...

Я не знаю, поведение это конкретно #SoloKey или вообще это нормально для всех, но нажатие на кнопку подтверждения позволяет сайту читать данные на 3 секунды.

Выглядит скорее неприятно, чем опасно.

Как проверить:

1. Зайти на любой сайт, где можно использовать U2F. Например https://u2f.bin.coffee/
2. Зарегать ключ
3. Нажать кнопку на ключе и только потом нажать на сайте кнопку запроса верификации

Тестовый сайт сразу вернёт данные, без необходимости нажимать кнопку.

Т.к. время этого всего 3 секунды, не считаю проблему серьёзной.

Проверял на #Firefox

Like 21 Apr 2021 at 19:18 | Open on lor.sh

4 comments

fogrew

@umnik solokey это аппаратный 2fa ключ? А чем он лучше, например, yubikey? (Хочу разобраться, а не добраться, если что)

22 Apr 2021 at 5:46 | Open on mastodon.online

Umnik

@fogrew да, это аппаратный ключ.
Плюс перед юбиком — он полностью свободный https://solokeys.com/ Минус — он не поддерживает некоторые фичи из-за чего его нельзя использовать для того же KeePass.

Но в новой версии, скорее всего, подтянут эти проблемы: https://www.indiegogo.com/projects/solo-v2-safety-net-against-phishing#/

22 Apr 2021 at 7:02 | Open on lor.sh

fogrew

@umnik а чего у него нет? 🤔 Я смотрю U2F пишут есть (это видно TOTP?), FIDO2 есть, для ssh и gpg юзать можно, далее NFC версия есть.

23 Apr 2021 at 6:02 | Open on mastodon.online

Umnik

@fogrew https://github.com/solokeys/solo/issues/218

23 Apr 2021 at 7:28 | Open on lor.sh