From 5364f7f49cd38b832122c9b97b595f552f01f60f Mon Sep 17 00:00:00 2001 From: Paul Wagener Date: Tue, 5 Jul 2016 17:19:59 +0200 Subject: [PATCH] Added hints --- templates/encryptie.html | 25 +++++++++++++++++-------- templates/oauth.html | 12 ++++++++++-- 2 files changed, 27 insertions(+), 10 deletions(-) diff --git a/templates/encryptie.html b/templates/encryptie.html index aed64ae..bdb0a72 100644 --- a/templates/encryptie.html +++ b/templates/encryptie.html @@ -87,18 +87,19 @@
- Hoe kan Alice een bericht naar Bob versturen zodat: + Hoe kan Alice een bericht naar Bob versturen zodat de volgende dingen tegelijkertijd gelden:
    -
  1. Alleen Bob het bericht kan lezen
    2. -
  2. Bob zeker weet dat het bericht van Alice is
    3. -
  3. Niemand het bericht kan onderscheppen en lezen
    4. +
  4. Alleen Bob kan het bericht lezen
    5. +
  5. Bob weet zeker dat het bericht van Alice is
- Leg uit in welke volgorde Alice en Bob encrypten, decrypten en versturen en met welke sleutels. Je mag er van uit gaan dat ze (alleen) elkaars publieke sleutel weten. + Leg uit in welke volgorde Alice en Bob encrypten, decrypten en versturen en met welke sleutels. Je mag er van uit gaan dat ze elkaars publieke sleutel weten en die . {% include "points.html" with points=answers.answer_encryption_securesend.points max="10" %}
+

Hint: het is natuurlijk mogelijk om een versleuteld bericht nog een keer te versleutelen.

+

WhatsApp beweert dat alle berichten end-to-end versleuteld verstuurd worden. Daarmee zou niemand de berichten kunnen lezen die via hun servers verstuurd worden, zelfs zij zelf niet. Alleen de afzender en de ontvanger kunnen de berichten lezen.

@@ -108,7 +109,7 @@
- Leg uit welke informatie er waarschijnlijk in de QR-code / cijfers staat en hoe WhatsApp kan garanderen dat als deze hetzelfde zijn dat de chat dan veilig is. + Zoek op internet welke informatie er in de QR code staat. Hoe kan WhatsApp met die informatie garanderen dat alleen jullie twee de chat kan lezen? {% include "points.html" with points=answers.answer_encryption_whatsapp.points max="10" %}
@@ -156,12 +157,18 @@ +

Hint: Het is met GPG mogelijk om meerdere ontvangers op te geven. Dat hoeft voor deze opdracht niet. Als je alle (1 dus) ontvangers hebt opgegeven moet je een lege regel opgeven om aan te geven dat je verder wil gaan.

+ +

Hint: Gebruik onze sleutel-ID (ook wel user-id) die we eerder al hebben genoemd.

+ +

Hint: Krijg je een binair bestand? Dan ben je waarschijnlijk vergeten om de ASCII base64 optie aan te zetten (zie lijst van opties hierboven)

+

Tijd om je eigen sleutels te gebruiken! Maak je eigen publieke/private sleutelpaar en verstuur de publieke sleutel naar de sec1.aii.avans.nl keyserver. Gebruik je Avans e-mailadres voor het e-mailveld.

-

Vergeet niet om je publieke sleutel naar de sec1.aii.avans.nl keyserver te sturen zodat anderen die kunnen opzoeken en geheime berichten naar je kunnen sturen (en zodat wij de opdrachten kunnen nakijken)

+

Vergeet niet om je publieke sleutel naar de sec1.aii.avans.nl keyserver te sturen zodat anderen die kunnen opzoeken en geheime berichten naar je kunnen sturen (en zodat wij de opdrachten kunnen nakijken, anders krijg je de punten voor onderstaande opdracht niet!)

- Versleutel een bestandje met de tekst "Security 2" met je eigen private sleutel. Plak de versleutelde tekst in het tekstveld + Versleutel een bestandje met de tekst "Security 2" met je eigen private sleutel. Plak de versleutelde tekst in het tekstveld (inclusief begin en einde -----BEGIN PGP MESSAGE-----) {% include "points.html" with points=answers.answer_encryption_encrypt_with_own_private.points max="5" %}
@@ -182,6 +189,8 @@ +

Hint: Handtekeningen worden pas verstuurd als je de sleutel die je hebt ondertekend weer terugstuurt naar de server.

+

Heb je de smaak te pakken? Dan kan je je eigen publieke sleutel ook doorsturen naar andere keyservers en laten ondertekenen bij hippe key signing parties.

diff --git a/templates/oauth.html b/templates/oauth.html index 40cb61c..1affbed 100644 --- a/templates/oauth.html +++ b/templates/oauth.html @@ -129,6 +129,8 @@ +

Hint: Let je wel op dat er een slash staat achter authorize in de URL?

+
Hoeveel seconden is deze token code geldig? {% include "points.html" with points=answers.answer_oauth_implicit_access_token_expires.points max="5" %} @@ -149,6 +151,8 @@
+

Hint: Let op dat je de Authorization data als header meestuurt. Via de POST form-data of als URL parameter gaat niet werken!

+

Web applicaties

@@ -185,7 +189,7 @@
  • client_secret: De client secret die je hebt verzonnen
    • -

    Doe er niet te lang over, authorisatie codes verlopen vaak al na enkele minuten. Als je het goed doet krijg je een response met daarin de refresh_token (en een gratis access_token!). Als je een invalid_grant error krijgt betekent dat dat jouw code verlopen is en dat je een nieuwe moet aanvragen. Als je een invalid_client error krijgt moet je goed controleren of je redirect_uri, client_id en client_secret allemaal goed staan ingesteld. En als je een access_denied krijgt moet je nog een keer heel goed controleren of je redirect_uri echt exact hetzelfde is als toen je je app hebt geregistreerd.

    +

    Doe er niet te lang over, authorisatie codes verlopen vaak al na enkele minuten. Als je het goed doet krijg je een response met daarin de refresh_token (en een gratis access_token!). Als je een invalid_grant error krijgt betekent dat dat jouw code verlopen is en dat je een nieuwe moet aanvragen. Als je een invalid_client error krijgt moet je goed controleren of je redirect_uri, client_id en client_secret allemaal goed staan ingesteld. En als je een access_denied krijgt moet je nog een keer heel goed controleren of je redirect_uri echt exact hetzelfde is als toen je je app hebt geregistreerd.. Krijg je een andere error? Controleer dan nog een keer extra goed of de URL eindigt op /token/ (die laatste slash is belangrijk!) en dat je alle data verstuurd als form data via POST.

    @@ -211,6 +215,8 @@

    Met deze gegevens kunnen we weer een POST doen naar de token endpoint (voor Google: https://accounts.google.com/o/oauth2/token) om een access token te genereren. Dit keer hoeven we geen redirect_uri mee te sturen en moeten we de grant_type parameter op 'refresh_token' zetten:

    +

    Hint: Deze keer geen slash achteraan de token URL endpoint, goed opletten!

    +

    Gebruik de access token die je krijgt om een API call te doen naar https://www.googleapis.com/calendar/v3/calendars/secavans@gmail.com/events. Vergeet niet weer de juiste Authorization header te gebruiken om je access token in te zetten! Als je het goed doet krijg je alle events uit onze Google Calender te zien in JSON formaat.

    @@ -229,9 +235,11 @@

    Gebruik de authorisatie URL zoals die hier staat gedocumenteerd.

    +

    Hint: Vergeet niet de juiste scope te gebruiken zodat de gebruiker ook echt toestemming kan geven voor een bepaalde API. Bij Google zijn de scopes meestal URL's. Voor Google Calendar kan je de scope bijvoorbeeld hier vinden

    +
    - Beschrijf de HTTP requests die je hebt gemaakt om de token te krijgen en de API te gebruiken (en ook de uitkomst van die requests). Gevoelige data mag je met ***** censureren. + Beschrijf de HTTP requests die je hebt gemaakt om de token te krijgen EN de API te gebruiken (en ook de uitkomst van die requests). Gevoelige data mag je met ***** censureren. {% include "points.html" with points=answers.answer_oauth_google_requests.points max="15" %}