Firefox中Webauthn配置的差异

Question

我试图理解Mozilla中不同的配置元素意味着什么。最近，Dropbox公司宣布他们启用了对WebAuthn的支持。我试着登录到DropBox，使用我通过Chrome注册的U2F密钥，它成功了。

然而，当我尝试登录到Gitlab时，它没有工作。我必须显式地启用security.webauth.u2f。那么，这些配置元素在Firefox中有什么不同呢？

security.webauth.u2f、security.webauth.webauthn_enable_usbtoken和security.webauth.webauthn_enable_softtoken

我目前的假设是，security.webauth.*是火狐自己身份验证技术的实现，而security.webauth.webauthn.*是W3C的认证标准的实现，它也支持U2F。这个假设对吗？

另外，usbtoken和softtoken有什么区别？

Answer 1

据我所知(在agl的博客文章的帮助下)：

• security.webauth.u2f控制Chrome引入的原始FIDO U2F API。
• security.webauth.webauthn控制现在标准的W3C WebAuthentication API.

它们都允许您与现有的U2F (CTAP1)设备交谈，但使用不同的JavaScript函数。为Chrome的“扩展”API编写的网页不会自动知道如何使用WebAuthn，反之亦然。

这就是Dropbox博客文章背后的全部想法:他们支持U2F键已经很长时间了，但一开始它只支持Chrome。现在，它知道这两个API，并检测哪些是可用的。

对于设备本身：

• security.webauth.webauthn_enable_usbtoken通过USB控制对真实U2F密钥的访问。
• security.webauth.webauthn_enable_softtoken使浏览器模拟一个U2F设备，用于开发目的(而且可能没有任何安全保证)。