TOTP

Певен, що всі бачили оці апки для 2FA, де світиться шестизначний код з таймером. Мені особисто не дуже подобається ними користуватися, але вже як є. Я більше хочу поділитися тим, що відкрив для себе, що такий 2FA нескладно інтегрувати в проєкт.

Оцей одноразовий 2FA код який генерується апкою називають TOTP, де перша літера означає time-based. Ідея така, що береться якийсь секрет (унікальний на користувача), береться час (поділений на інтервали до 30с) і це все гарненько хешується. Далі нехитрими маніпуляціями хеш обрізається і перетворюється в шість цифр.

На сервері нема проблем згенерувати одноразовий код, бо там і так живуть усі наші секретні секрети. Моя перша думка, що напевно ж треба якось сходити і сповістити цю 2FA апку від Гугла чи інших, що ось одноразовий код, який ми згенерували, його й показуй. Але як виявилося, не треба нікуди ходити на поклін. Коли налаштовується 2FA, то в QR коді, який пропонується відсканувати, сервер якраз і зашиває секрет. Апка зчитує цей секрет і зберігає собі навіки.

Тепер виходить так, що і сервер, і апка знають один і той самий секрет, а значить апка навіть в офлайні може згенерувати код і показати його на екрані. Сервер робить те саме, порівнює з кодом, який увів користувач, і пускає далі.

Розкажіть, як у вашому селі називають ці апки? ту-еф-апки?

до слова, ось так в QR коді передається секрет через діплінку і query параметри.

otpauth://totp/ExampleCorp:alice123
  ?secret=JBSWY3DPEHPK3PXP
  &issuer=ExampleCorp
  &algorithm=SHA1
  &digits=6
  &period=30

Not;A=Brand

Вже деякий час гугл просуває ідею Client Hints
заголовків на заміну User-Agent. Вони краще структуровані і, за словами гугла, є privacy focused, ніж User-Agent 😁. Ось мої заголовки для прикладу:

Sec-Ch-Ua: "Not;A=Brand";v="99", "Google Chrome";v="139", "Chromium";v="139"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "macOS"

Але що за Not;A=Brand в Sec-Ch-Ua заголовку? Якось він підозріло виглядає і весь день мелькає переді мною в дев консолі.

Виявилося, що цей NotABrand браузер спеціально додається хромом в рамках механізму GREASE (Generate Random Extensions And Sustain Extensibility) і має дві важливі місії:

🆕 перша з них, щоб вебсайти не камʼяніли (TIL: ossification) і з самого початку вміли працювати з невідомими браузерами. Це значення час від часу хромом міняється при релізі нової версії, тому сьогодні це Not;A=Brand, а завтра буде Not)A=Brand чи щось подібне.

💔 друга мета, щоб веб сайти парсили цей заголовок по стандарту structured headers і не ламалися від якихось кривих символів типу крапки з комою чи дужок. В мене вже були пригоди з цим заголовоком, тому можна почитати тут.

Цікаво буде поспотерігати чи спрацює цей NotA=Brand в довгій перспективі, але тим не менш цікаве рішення проблемі закамʼянілості протоколів.

Раніше просив AI робити код-ревʼю до своїх змін так:

do code review:

{{ CODE_HERE }}

В результаті він видавав трохи похвали, трохи стилістичних порад і вряди годи вказував на якісь справжні проблеми.

Користі з похвал небагато, тому тепер починаю розмову прямо з брехуньок, що я певен, що в коді є скількись-то помилок і ти мусиш їх усі знайти:

There are 3 mistakes here. Find them:

{{ CODE_HERE }}

Виправляю проблеми і повторюю знову, а ж поки AI не почне придиратися до стилю чи коментарів.

Ох і хитрий жук цей ваш AI. Каже: "Сер, ваші тести готові", а я дивлюся, а там все мокане-перемокане

https://x.com/ibelick/status/1988541070045524130?s=46

пропустив новину, що в хром у вересні цього року завезли нативно сквіркл кути


corner-shape: squircle

Дивіться яку штуку в pytest додали. Замість декоратора pytest.parametrize можна прямо посеред тесту запускати subtest

https://t.me/import_hello/86

Сьогодні я дізнався про SO_REUSEPORT з цієї статті [1]. Виявляється в лінксі декілька процесів може слухати один і той самий порт, а лінкс буде розподіляти запити між ними. Load balancing безплатно і з коробки на локальній машині.

Сама стаття про Next.js, Node.JS, але тим не менш може бути цікава для ширшого кола розробників

1. https://blog.platformatic.dev/93-faster-nextjs-in-your-kubernetes

Fetch Metadata

В твітері дізнався про Fetch Metadata заголовки [1]. Якщо браузер добре попросити, то він пришле заголовок в якому скаже чи домен запиту співпадає з доменом з якого робиться. Кажуть, що цими заголовками можна замінити CSRF токени як захист від CSRF атак. Налаштовувати CSRF токени діло не благодарне, тому я тільки за. Хоча не всі з цим погоджуються і найшов нещодавню дискусію на цю тему [2]

Sec-Fetch-Site tells the server which site sent the request. The browser sets this value to one of the following:
- same-origin, if the request was made by your own application (e.g. site.example)
- same-site, if the request was made by a subdomain of your site (e.g. bar.site.example)
- none, if the request was explicitly caused by a user's interaction with the user agent (e.g. clicking on a bookmark)
- cross-site, if the request was sent by another website (e.g. evil.example)

1. https://web.dev/articles/fetch-metadata
2. https://github.com/OWASP/CheatSheetSeries/issues/1803

найкрасивіша новорічна ялинка, це коли тести прохоядть з першого разу 🎄

Вчора astral (ruff, uv) випустили бета версію тайпчекара ty для python. На додачу це ще й LSP сервер, тому піду попробую у VS Code

Today, we're announcing the Beta release of ty. We now use ty exclusively in our own projects and are ready to recommend it to motivated users for production use.

https://astral.sh/blog/ty

Дивіться що найшов

https://github.com/CanineHQ/canine