Closed anlumo closed 6 months ago
heisst das, das MOS liefert eine Liste von ibuttonIDs aus ?
Wie aktuell bei der Tür auch, ja.
wieso nicht gehasht & gesalzen ?
Geht auch, ist aber bei der Art wie wir die iButtons verwenden alles nur security theater.
eh. Um das zu improven bräuchten wir implementierte Crypto in der Door, und dann müssen die User jeweils einmal bei einem Gerät vorbei was das signing oder wie auch immer macht.
Ich fänds halt komisch bervor wir sowas haben die IDs (die ja momentan das einzige Secret sind) weiter zu verteilen.
challenge / response funktioniert bei der Door halt nicht weil die das cachen muss.
Was anderes als die IDs haben wir nicht, also werden wir bei Laser und Prusa XL mit den IDs arbeiten müssen.
Deswegen mein Vorschlag sie zu hashen. Damit es nicht noch mehr Punkte gbit wo die Secrets im Klartext abgegriffen werden können.
Ich bau kein eigenes custom challenge-response auf dem wackeligen ID-System auf. Wenn die Anforderung ist, dass man iButtons nicht clonen können darf, bitte auf das challenge-response, das die Dinger eh schon können, umsteigen. Das ist aber out of scope für dieses Issue.
Naja, salten und hashen kann man ohne challenge/response auch, so wie /etc/shadow auf Linux halt.
Das war genau was ich meinte.
Der Search Space ist halt so klein, dass es vielleicht nicht viel Sinn macht, nachdem man den vermutlich in Sekunden komplett durchsuchen kann.
Genau das, ja :) aber ich wollte jetzt hier nicht den kompletten Angriff öffentlich skizzieren 😅 so einfach wie er ist, ist es aber vielleicht auch egal.
Works like this now to get a list of keys:
curl https://metalab.at/things/keys/THING -H 'X-TOKEN: get_this_from_vorstand'
Ask the vorstand for both THING
and get_this_from_vorstand
values after this has been deployed.
has_lazzzor_privileges
)ibuttonid,username\n