Differenze di configurazione Webauthn in Firefox

Question

Differenze di configurazione Webauthn in Firefox

#1 da (2 voti)

1

Sto cercando di capire cosa significano i diversi elementi di configurazione in Mozilla Firefox. Recentemente è stato annunciato da Dropbox che aveva abilitato supporto per WebAuthn . Ho provato ad accedere a DropBox usando la mia chiave U2F che avevo registrato tramite Chrome e ha funzionato.

Quando ho provato ad accedere a Gitlab, tuttavia, non ha funzionato. Ho dovuto abilitare esplicitamente security.webauth.u2f . Quindi, qual è la differenza in Firefox tra questi elementi di configurazione?

security.webauth.u2f , security.webauth.webauthn_enable_usbtoken e security.webauth.webauthn_enable_softtoken

La mia ipotesi attuale è che security.webauth.* sia un'implementazione della tecnologia di autenticazione di Firefox e security.webauth.webauthn.* è l'implementazione del Web del W3C Standard di autenticazione che supporta anche U2F. Questa affermazione è giusta?

Inoltre, qual è la differenza tra usbtoken e softtoken ?

firefox u2f fido

posta eternaltyro 12.05.2018 - 06:39

fonte

1 risposta

Leggi altre domande sui tag firefox u2f fido

Utilizzo degli hash LSA di Windows ottenuti da crackmapexec In che modo le istanze private SearX proteggono la privacy degli utenti?

score 2 · Accepted Answer

Per quanto ho capito (con l'aiuto di post del blog di agl ):

security.webauth.u2f controlla l'API FIDO U2F originale introdotta da Chrome.
security.webauth.webauthn controlla l'API W3C WebAuthentication ora standard.

Entrambi consentono di parlare con i dispositivi U2F (CTAP1) esistenti, ma utilizzando diverse funzioni JavaScript. Le pagine Web scritte per l'API di "estensione" di Chrome non sapranno automagicamente come utilizzare WebAuthn e viceversa .

Questa è l'idea alla base del post sul blog di Dropbox: avevano già il supporto chiave per molto tempo, ma inizialmente supportava solo l'API di Chrome. Ora conosce entrambe le API e rileva che è disponibile.

E per i dispositivi stessi:

security.webauth.webauthn_enable_usbtoken controlla l'accesso alle chiavi U2F reali tramite USB HID.
security.webauth.webauthn_enable_softtoken rende il browser emula un dispositivo U2F, per scopi di sviluppo (e probabilmente senza garanzie di sicurezza).