Wątek: Polityka w sprawie zewnętrznych aplikacji
Wróć do listy wątków1 z 4
Następna1 z 77: pajper
Po licznych przemyśleniach i dyskusjach, postanowiłem o takiej polityce wobec zewnętrznych aplikacji korzystających z portalu Elten Network. Nie podlega ona dyskusji.
Aplikacje będą wykorzystywały klucz kryptograficzny AES256 identyfikujący je. Każdy użytkownik będzie miał możliwość dopisania własnych obsługiwanych (tylko na jego koncie) kluczy w ustawieniach konta.
Klucze takie oraz klucze aplikacji oficjalnych (Elten dla Windowsa, Maca, Linuxa, iOS, Androida) będą miały wszystkie uprawnienia, wliczając w to logowanie.
Twórcy aplikacji będą mogli także zawnioskować o własne klucze autoryzacyjne pod pewnymi warunkami:
A. Aplikacja w swojej pełnej nazwie musi zawierać informację o tym, że klient jest nieoficjalny np.
Emerald - Elten Unofficial Client.
B. Taka sama informacja znajdzie się w opisie aplikacji oraz przy jej pierwszym uruchomieniu.
C. Aplikacja musi posiadać otwarty kod źródłowy.
D. Aplikacja nie może znacznie (więcej niż 10 procent) obciążać łącza i procesora serwera. Jeśli ruch z aplikacji przekroczy te wartości, zostanie ona automatycznie zablokowana.
E. Użytkownicy aplikacji muszą przy jej uruchomieniu zaakceptować aktualny na moment jej uruchomienia regulamin portalu Elten Network.
Dodatkowym ograniczeniem będzie sposób logowania. Aplikacje zewnętrzne nie będą mogły logować się loginem i hasłem. Miast tego przekierowywać będą na stronę Internetową, na której użytkownik loguje się samodzielnie. Uzyska po zalogowaniu klucz, który należy przekazać do aplikacji.
Można zdecydować, czy klucz ma być jednorazowy, czy stały (logowanie automatyczne).
Autoryzacja aplikacji będzie natychmiast wycofywana, jeśli:
A. Dane użytkowników będą przekazywane na inne niż Elten serwery bez wyraźnego ostrzeżenia i wyrażenia zgody przez użytkownika.
B. Klucz autoryzacyjny aplikacji zostanie ujawniony lub dojdzie do zaniedbania umożliwiającego jego ujawnienie (na przykład przez odpowiednie polecenie w konsoli).
C. Użycie zasobów serwera przez aplikację przekroczy podane powyżej wartości.
D. W aplikacji wykryte zostaną błędy bezpieczeństwa narażające prywatność użytkowników lub umożliwiające zainfekowanie ich urządzeń.
E. Wydana zostanie nowa wersja aplikacji bez opublikowania jej kodu źródłowego.
Ostateczną decyzję o wydaniu i wycofaniu klucza podejmuje autor projektu, czyli ja.
Sposób uwierzytelniania:
Dane sesji (nazwa użytkownika, token) będą podawane jako zaszyfrowany ciąg. Używany będzie klucz AES256 (OFB), który jest właściwym sekretem aplikacji.
Algorytm:
1. Generowane są dane w postaci tablicy haszowej:
{'name'=>{nazwa użytkownika}, 'token'=>{klucz sesji zwrócony przy logowaniu}, 'appversion'=>{numer wersji aplikacji}, 'time'=>{Czas Unixa}}
.
2. Dane są konwertowane do formatu JSON.
3. Następnie są szyfrowane kluczem AES256 o losowym wektorze inicjującym.
4. Dane przekazywane są w zapytaniu w formacie:
'token' => iv::data
gdzie iv jest wektorem inicjującym, a data zaszyfrowanymi danymi.
Wnioski o wydanie kluczy powinny zawierać:
A. Nazwę i opis aplikacji,
B. Cel jej powstania,
C. Uargumentowanie potrzeby wydania klucza,
D. URL do jej kodu źródłowego.
Klucze wydawane są od dnia dzisiejszego, powyższy system obowiązuje zaś od 24 września.
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
19.08.2019 11:28
2 z 77: nuno69
Czyli już nawet nie będę mógłsobie odpląbować konta? No nie źle.
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
19.08.2019 11:31
3 z 77: pajper
Że zacytuję sam siebie:
Każdy użytkownik będzie miał możliwość dopisania własnych obsługiwanych (tylko na jego koncie) kluczy w ustawieniach konta.
Klucze takie oraz klucze aplikacji oficjalnych (Elten dla Windowsa, Maca, Linuxa, iOS, Androida) będą miały wszystkie uprawnienia, wliczając w to logowanie.
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
19.08.2019 11:33
4 z 77: nuno69
Aaaa, Ok, sorry nie doczytałem. Pff
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
19.08.2019 11:34
5 z 77: jamajka
Każdemu się zdarza w tych tematach, jak tak patrzę. Po kilka razy z resztą. Także podejrzewam, że nic nie szkodzi.
rzeczy niemożliwe od ręki, cuda w przeciągu trzech dni.
19.08.2019 11:44
6 z 77: Paulinux
Trochę nie ogarnęłam.
Czy każdy nieoficjalny klient będzie musiał być podpisany oficjalnym kluczem? Jeśli nie, to czy, jeśli znam klucz nieoficjalnej aplikacji niezawnioskowanej, będę mogła go wpisać w odpowiednie pole i bez problemu się logować?
ENTJ
19.08.2019 12:00
7 z 77: pajper
Nie, każda aplikacja uzyska swój własny klucz.
Aplikacje nieoficjalne, ale zautoryzowane będą mogły wszystko prócz logowania, które odbywać się będzie przez stronę.
Potem będą mogły robić to, co tylko się im podoba.
Aplikacje niezautoryzowane w ogóle nie mogą nic chyba, że sama wygenerujesz jakiś klucz i wpiszesz go w ustawieniach konta.
Od tej pory aplikacja o takim kluczu będzie mogła na twoim koncie robić wszystko mimo, że pozostaje niezautoryzowana.
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
19.08.2019 12:03
8 z 77: nuno69
Aaa, czyli jak ja będę autoryzował się kluczem asdfasdfasdfasdf i wszyscy userzy mojej aplikacji go wpiszą to będzie on na takich samych prawach jak klucz od ciebie?
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
19.08.2019 13:17
9 z 77: pajper
Tak, tylko wszyscy będą musieli go wpisać.
I nie może to być asdfasdfasdfasdf, bo AES256 wymaga klucza 256-bitowego. :D
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
19.08.2019 13:18
10 z 77: nuno69
No wiem...
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
19.08.2019 13:36
11 z 77: tomecki
Idea autoryzacji zewnętrznej bardzo mi się podoba, z resztą wpisuje się w ogólne trendy. Jedyne do czego bym się czepnął to te 10%. Jeśli dobrze rozumiem wynika z tego, że tym aplikacjom nie będzie wolno być bardziej popularnymi niż oryginalny klient.
19.08.2019 15:53
12 z 77: pajper
Oryginalny klient obecnie zużywa ok. 14 procent. Celem nie jest dyskredytowanie aplikacji wg popularności, ale ochrona serwera przed przeciążeniem na skutek niezoptymalizowanego programowania.
#StandWithUkraine
Shoot for the Moon. Even if you miss, you'll land among the stars.
19.08.2019 16:00
13 z 77: tomecki
Zwracam honor w takim razie. W sumie ciekaw jestem czy było o co kopie kruszyć tj. czy ktoś jakiegoś klienta, względnie stronę zrobi. Nie będę wytykał palcami, ale swego czasu kilka osób baardzo się paliło do roboty. W końcu jest zielone światło, a polityka wydaje mi się uczciwa.
19.08.2019 16:06
14 z 77: zywek
A idźta wy. To ja nie chcę, nie bawię sę. nie będę żadnego kodu niczego otwierał.
19.08.2019 18:46
15 z 77: papierek
dla mnie to jak najbardziej logiczne i uzasadnione, że kod takowej aplikacji ma być też otwarty.
po co mi sygnatura?
19.08.2019 19:05
16 z 77: tomecki
Dla mnie też. Skoro Elten otwarty to i zewnętrzne appki takoż.
19.08.2019 19:58
17 z 77: nuno69
O jak dobrze że piszę tylko bibliotekę opisującą serwer. Nigdy nie będę otwierał mojego kodu. Audiogames.net nauczyło mnie że tego się NIE robi, nigdy! A skoro oni tak robią to czemu polaczki miałyby być lepsze?
A, i jak kiedykolwiek wyjdzie Eltenify Android to jedyne co będe musiał otworzyć to chyba interfejs i wszystkie odwołania do API, natomiast sama DDLka będzie mogła pozostać moim nunonicznym sekretem. Jeśli nie, to ja nawet się w to nie bawię.
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
20.08.2019 12:09
18 z 77: tomecki
Haha, czyli otworzyć Eltena taak, ale swoje klienty nieee. Audiogames, normalnie świetny wyznacznik dobrych praktyk. Cyrk na kółkach, panowie. Najpierw jeden z drugim zastanawia się, bo może Elten coś tam gdzieś tam komuś, ale przecież mój klient będzie tylko mój, a jeśli komuś się nie podoba, to do widzenia. Ehh, szkoda gadać. Dość mam tej tragifarsy!
20.08.2019 13:22
19 z 77: monstricek
Tomecki, Lajk!!!!
20.08.2019 14:13
20 z 77: nuno69
A chciałbyś @Tomecki, zeby twoją prace ktoś forkował i podpisywał jako swoją? Ja otworzę tylko to co będę musiał itworzyć.
- "Intelligence and wisdom is like jam. The less you have, the harder you're trying to spread it arround." - French proverb
20.08.2019 14:26