Webauthn diferencias de configuración en Firefox

Navega tus respuestas
1

Estoy tratando de entender qué significan los diferentes elementos de configuración en Mozilla Firefox. Hubo un anuncio recientemente de Dropbox que había habilitado soporte para WebAuthn . Intenté iniciar sesión en DropBox usando mi clave U2F que había registrado a través de Chrome y funcionó.

Sin embargo, cuando intenté iniciar sesión en Gitlab, no funcionó. Tuve que habilitar explícitamente security.webauth.u2f . Entonces, ¿cuál es la diferencia en Firefox entre estos elementos de configuración?

security.webauth.u2f , security.webauth.webauthn_enable_usbtoken y security.webauth.webauthn_enable_softtoken

Mi suposición actual es que security.webauth.* es una implementación de la tecnología de autenticación propia de Firefox y security.webauth.webauthn.* es la implementación de Web de W3C Estándar de autenticación que también es compatible con U2F. ¿Es correcto este supuesto?

Además, ¿cuál es la diferencia entre un usbtoken y un softtoken ?

    
pregunta eternaltyro 12.05.2018 - 04:39
fuente

1 respuesta

2

Hasta donde lo entiendo (con la ayuda de publicación de blog de agl ):

  • security.webauth.u2f controla la API original de FIDO U2F introducida por Chrome.
  • security.webauth.webauthn controla la API de autenticación web W3C ahora estándar.

Ambos te permiten hablar con dispositivos U2F (CTAP1) existentes, pero usan diferentes funciones de JavaScript. Las páginas web escritas para la API de "extensión" de Chrome no sabrán automáticamente cómo usar WebAuthn, y viceversa. .

Esa es toda la idea detrás de la publicación del blog de Dropbox: ya tenían la clave de U2F desde hace mucho tiempo, pero al principio solo admitía la API de Chrome. Ahora conoce ambas API y detecta cuál está disponible.

Y para los propios dispositivos:

  • security.webauth.webauthn_enable_usbtoken controla el acceso a claves U2F reales a través de USB HID.
  • security.webauth.webauthn_enable_softtoken hace que el navegador emule sea un dispositivo U2F, para fines de desarrollo (y probablemente sin garantías de seguridad).
respondido por el grawity 12.05.2018 - 14:24
fuente

Lea otras preguntas en las etiquetas

Al generar el par de claves PKI con una tarjeta inteligente, ¿quién decide si la clave es exportable? ¿las versiones anteriores de wpa_supplicant son vulnerables a KRACK?