写点什么

Firefox 引入对 Web Authentication API 的支持

  • 2018-05-27
  • 本文字数:1140 字

    阅读完需:约 4 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

Firefox 60 在 5 月 9 日发布,Firefox 成为了第一个支持 Web Authentication API 的主流浏览器。该 API 能够让用户避免为 Web 站点使用基于文本的密码,而是使用带有生物特征检查或私有 PIN 的本地设备来生成安全的加密标识符。Chrome 和 Edge 对该 API 的支持正在开发之中,而 Safari 正在考虑对它的支持。

这个规范来源于 FIDO Alliance 和 W3C 之间的合作。按照 FIDO Alliance 站点所述

来自 FIDO Alliance 的规范和证书能够构建一个基于硬件、移动和生物特征认证器(authenticator)的互操作生态系统,它可以与许多的应用程序和 Web 站点一起使用。这个生态系统能够让企业和服务提供商部署强认证解决方案,减少对密码的依赖,从而防止通过窃取密码所引发的钓鱼、中间人和重放攻击。

Web Authentication API 能够让用户规避为每个 Web 站点记忆密码的不安全性和挫败感,而是通过像手机或 USB 这样的物理设备来进行简单的生物特征检查。在一篇博客文章中,Duo Security 的 Nick Steele 阐述了它看上去会是什么样子的

在实践中,WebAuthn 的运行方式有很多种,但是最常见的样例如下所示:用户通过笔记本电脑访问一个 Web 站点,比如说 cat-facts.com,并且注册一个账号。在网站上点击完开始注册的按钮之后,他们将会在手机上收到一个提示,内容为“Register with cat-facts.com”。

他们在接受该请求之后,系统会要求用户执行一个“授权手势”,比如输入 PIN 或者生物特征的动作,使其与正在创建的账号进行关联。在提供完这些信息之后,笔记本电脑上的 Web 站点将会展现一些内容,表示“Registration complete!”。

现在,用户可以使用相同的手机或者授权手势登录 cat-facts.com。

按照 Chrome tracking bug ,Web Authentication API 会在 Google Chrome 67 桌面版中提供,按照日程它会在 2018 年 5 月 27 日发布。Microsoft Edge 支持该 API 的一个较早版本,其差异在他们的开发者文档中进行了阐述。目前有一个 polyfill ,通过它能够在 Edge 中支持当前版本的 API。至于 Safari,目前的状态尚不明确。 Chrome tracker 显示 Safari 正在开发该 API, webkit 特性状态却显示它们正处于“考虑中”。

在 9 to 5 Mac 站点上,有一篇文章阐述了为何应该鼓励苹果实现该特性:

Safari 目前还没有表态,但是最近上市的 iPhone 和 iPad 都提供了 Face ID 或 Touch ID,而后者在 MacBook Pro 上也得到了支持,这是为苹果量身定做的。如果没有苹果的支持,它无法用到其他的浏览器中。

想尝鲜体验 Web Authentication API 的开发人员可以通过谷歌开发者 Web 站点上的一个简短教程进行学习,或者通过MDN 上的文档深入学习。

查看英文原文 Firefox Introduces Web Authentication API

2018-05-27 13:481261

评论

发布
暂无评论
发现更多内容

macOS系统病毒常见的两种传播途径

火绒安全

macos 终端安全 勒索病毒 蠕虫

TASKCTL调度服务(主/从)代理节点的启动和停止

敏捷调度TASKCTL

数据仓库 kettle 调度引擎 ETL 调度任务

SpringBoot系列:RabbitMq讲解与示例

爱好编程进阶

Java 面试 后端开发

【并发编程系列1】Thread生命周期及interrupted()作用分析

爱好编程进阶

Java 面试 后端开发

简单实用的redis分布式锁

Rubble

4月日更 4月月更

理想汽车 x StarRocks:为 Hive 数据查询插上极速之翼!

StarRocks

大数据 数据分析 StarRocks

《零基础》MySQL 连接(四)

爱好编程进阶

Java 面试 后端开发

STM32+华为云IoTDA,带你设计一个属于自己的动态密码锁

华为云开发者联盟

stm32 iotda 华为云IoT 密码锁 Qt框架

java高级用法之:JNA中的Function

程序那些事

Java Netty 程序那些事 4月月更

来也科技收购Mindsay背后:新旧势力交锋智能自动化备受关注

王吉伟频道

RPA 收购 机器人流程自动化 来也科技 Mindsay

“东数西算”超级工程利好云计算,多云管理背后却暗藏汹涌!

行云管家

云计算 多云 东数西算 云管

YonMaster开发者认证线上赋能培训班定档4月18日

YonBuilder低代码开发平台

聚焦供应链布局,新能源汽车企业重塑产业核心竞争能力

数商云

数字化转型 供应链 新能源汽车

thinkphp5框架新建页面相关规范详解

CRMEB

Redis高可用之主从复制实践

爱好编程进阶

Java 面试 后端开发

Spring Cloud Gateway过滤器精确控制异常返回(实战,控制http返回码和message字段)

爱好编程进阶

Java 面试 后端开发

SSM 最简单最全面的整合Spring+SpringMVC+Mybatis三大框架 快速搭建

爱好编程进阶

Java 面试 后端开发

阿里云视频云人脸生成领域最新研究成果入选CVPR2022

阿里云CloudImagine

计算机视觉 视频编码 CVPR 视频云

Vue 学习笔记(3)路由的基本使用 结合 SpringBoot

爱好编程进阶

Java 面试

RadonDB MySQL on K8s 2.1.4 发布!

RadonDB

MySQL 数据库 Kubernetes 高可用 RadonDB

云图说丨叮咚,您有一份短信通关攻略待查收

华为云开发者联盟

短信 签名 消息 签名模板 MSGSMS

SpringBoot+WebSocket实时监控异常

爱好编程进阶

Java 面试 后端开发

小程序能当成 App 吗?

FinClip

【源码分析设计模式 10】SpringMVC中的建造者模式

爱好编程进阶

Java 面试 后端开发

“双碳”下的建筑业:未来10年必须重视这5大方向

BeeWorks

Tiger DAO VC:将你的风险投资变成DAO组织协同

小哈区块

jackson学习之十(终篇):springboot整合(配置类)

程序员欣宸

Java web 4月月更

Spring Cloud入门教程-使用Hystrix Dashboard 监控熔断器的状态

爱好编程进阶

Java 面试 后端开发

Spring(十)

爱好编程进阶

面试 后端开发Java

【并发编程系列10】阻塞队列之SynchronousQueue

爱好编程进阶

Java 面试 后端开发

Tiger DAO VC:DAO组织风险投资时代来临

西柚子

Firefox引入对Web Authentication API的支持_JavaScript_Kevin Ball_InfoQ精选文章