1
u2f dev guide은이 부분을 지정하지 않습니다. www 접두어가없는 단일면 AppID가 www 접두어로 사이트에 액세스하는 방문자에게 작동합니까? 브라우저는 그 (것)들을 성냥이라고 생각할 것입니까? 그렇지 않으면웹 사이트의 U2F 응용 프로그램 ID (패싯 ID)
, 나는 U2F 구축을위한 두 가지 대안이있다 생각도 매우 기분이 IMO - 나는 왜 그렇게 아래 설명 :
- 후 사용 example.com에 www.example.com에서 모든 웹 사용자 리디렉션 "example.com"패싯.
- 적어도 두 측면을 설명하는 JSON 리소스를 제공합니다 : www.example.com, example.com 이제
, 내가 처리 할 필요가 있다고 말했다 "www가." 명시 적으로 즐겁지 않다. 나의 근거는 단일 사이트 SSL 인증서 (EV-certs와 같은보다 근면 한 인증서 포함)가 www 접두어 URL을 웹 사용자에게 투명하게 처리한다는 것입니다. 나는 U2F가 이것을 보안 구멍으로 생각하고 그것을 다루는 명백한 방법을 요구할 이유가 없다고 본다.
사용자가 foo.appspot.com을 사용하여 U2F 장치를 등록했다고 가정 해 보겠습니다. 이제 malicious.appspot.com은 foo.appspot.com에 공개 된 개인 키를 사용하여 사용자를 malicious.appspot.com에서 인증하도록 속일 수 없습니다. – minisu
이것은 의도는 아니며 www.example.com과 example.com에 대해 이야기하고 있습니다. 즉, www는 no-www URL의 허용 된 별칭이어야합니다. 다른 모든 하위 도메인은 명세에 따라 명시 적으로 처리되어야합니다. – Debriter