Ho iniziato a trafficare con U2F e sembra davvero promettente. Mi sono procurato alcune chiavi di sicurezza e ho iniziato a scavare dentro. Sono riuscito a creare un sito web demo/login demo funzionante che funziona bene usando i token U2F e l'estensione U2F Chrome.Supporto U2F senza l'estensione U2F Chrome
Tuttavia ... ed è qui che nasce la mia domanda: ho anche iscritta una chiave di sicurezza per il mio account Google e subito si colpiti dal fatto che funziona senza utilizzare l'estensione U2F Chrome. In effetti, ho eseguito tutte le iscrizioni e i login di Google senza nemmeno aver installato l'estensione. Com'è possibile? Ho letto (alcune delle) specifiche FIDO e ho visto che potrebbero esserci due livelli API: alto - che è lo spazio dei nomi u2f esposto dall'estensione e - e basso - che implica l'utilizzo dell'API MessagePort. Forse è così che lo fa Google? (anche provato a fare un chrome.runtime.connect (...) me stesso, ma l'oggetto chrome.runtime non è definito nella mia pagina web)
Qualsiasi puntatore nella direzione corretta sarebbe apprezzato e di grande valore in questo momento , poiché non ci sono molte risorse disponibili su questo giovane progetto chiamato U2F.
Wow ... non me l'aspettavo! Ti ricordi che il chrome.runtime non è stato definito? Bene, se accedo alla stessa pagina html tramite un URL di google.com (test.google.com fatto per puntare al mio server, tramite file hosts), chrome.runtime è ora disponibile ... –
Il webinar fornisce la risposta corretta per questa domanda, che è: per i domini google, Chrome fornisce supporto nel suo nucleo, per i domini non google è richiesta l'estensione. Tuttavia ... nei mesi successivi, Google Chrome incorporerà nel suo nucleo anche il supporto per tutti gli altri domini. Quindi sarà ciao ciao requisito di estensione U2F. Fino ad allora ... dobbiamo solo aspettare ... Trovo troppo complicata la soluzione di estensione per un utente abituale. –
Ho appena modificato la risposta. Chrome 41 non richiede più l'estensione. – minisu