WebAuthNで「none」と「self」の両方の認証をサポートする背後にある動機は何ですか?
WebAuthNは、検証可能な認証を実行しない基本的に2つの異なる方法を提供しているようです。証明書利用者がnoneを要求するか、オーセンティケーターが自己認証を選択します。
これは、対称性のための純粋なプロトコル設計の選択ですか(「認証が要求された場合、常に提供されます」の不変条件を許可します)、特定のレガシーユースケースをサポートするためですか(そうである場合、それらは何ですか?)、またはselfとnoneの間にセキュリティ上の影響/違いはありますか?
これは、下位互換性のためである可能性が最も高いです。 Chrome 67 自己認証の使用を開始 U2Fの場合(U2F仕様では「none」は許可されていません)、100,000バッチの要件を満たしていないことが判明した特定のキープライバシーを保護するため。