![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagner) wrote2024-01-16 10:14 am
Про азимовских роботов
Рассказ Азимова "Хоровод" где описаны роботы, неспособные сдвинуться с места без человека на плечах, опубликован в марте 1942 года.
Больше 80 лет прошло и теперь опять приводят как "одно из базовых правил информационной безопасности - в учётки людей могут ходить только люди, в учётки программ/ботов могут ходить только программы/боты. Именно для этого принято разделять логины по user/password и secret id." (цитата из нашего корпоративного чата).
Что характерно, всякие яндексы теперь требуют специальных аксесс-токенов даже от робота с человеком на плечах, например от интерактивного почтового клиента.
Я уж не говорю что это очень удобно, когда ты можешь завести робота, который по крону будет выносить корзину с удаленными письмами из твоего imap-аккаунта, качать vcard-ы из корпоративного лдапа в твою записную книжку и т.д.
X-Post to LJ
no subject
Как говаривал один знакомый IT-шный юрист, если вы получаете услугу бесплатно, вы не клиент, вы -- товар.
Поэтому да, торговцы посещаемостью будут требовать наличие человека, иначе им торговать нечем...
no subject
Но глубины высказывания коллеги я так и не понял... Как из первого вытекает второе...
no subject
А я не пронял этого твоего высказывания. Что есть первое, что есть второе
и где компот?no subject
Как из утверждения "в учётки людей могут ходить только люди, в учётки программ/ботов могут ходить только программы/боты" следует решение "Именно для этого принято разделять логины по user/password и secret id"
no subject
Ну собственно базовая идея такая, что пароль хранится у человека в голове. И ни в коем случае не записывается ни в какие файлы конфигурацити никаких ботов.
no subject
Не вижу в этом месте принципиальной разницы с access-tocken'ом. Что ты токен напишешь в конфиге, что логин-пароль. Один и тот же квант секретной информации дающий одинаковые права. Робот или не робот -- без разницы.
Разница наступает в момент когда надо выборочно отозвать доступ. И тут опять же не важно, это робот, или человек представляющиеся разными квантами секретной информации с разных, например, устройств.
Другая разница, когда у нас централизованная авторизация на всём, а доступ (не важно человеку или роботу) надо дать только к конкретному сервису. Тогда нужны разные access-token'ы или разные комплекты паролей.
(Меня, к стати напрягает, что я ввожу один и тот же логин-пароль и в ценный гит, и весьма сомнительный с точки зрения безопасности next-cloud)
Т.е. тут не вопрос человек-робот, а вопрос scope'а и возможности отозвать доступ без вреда для других точек системы.
Но объяснять это коллеге я пожалуй не готов...
no subject
Сложно объяснять что-то относительно компьютерной безопасности человеку, пользующемуся айфоном.
no subject
no subject
Вот меня это тоже потрясло, когда было сформулировано явно. Поэтому пост и написал. Так-то я давно замечал что роботов в интернете необоснованно дискриминируют.
no subject
no subject
Не в курсе.