مواصفات OAuth 1.0 الحالية - كيف تعالج هجوم تثبيت الجلسة؟

StackOverflow https://stackoverflow.com/questions/6016914

  •  14-11-2019
  •  | 
  •  

سؤال

لقد قمت بتطبيق موفر OAuth 1.0 التالي هذه المواصفات, ، والذي ينبغي أن يكون الأحدث.تم تعديل المواصفات لمعالجة هجوم تثبيت الجلسة الذي تم تحديده في عام 2009.الأمر هو أنني لست متأكدًا من الاضطرار إلى الاختلاف بين المواصفات فيما يتعلق بالمقاييس التي تمت إضافتها/تغييرها في المواصفات استجابةً لهذه المشكلة.

منذ أن قمت بتطبيق المواصفات "الصحيحة"، أجد صعوبة في أن أشرح لأصحاب المصلحة الإجراءات التي اتخذتها لتخفيف المخاطر.

هل يهتم أحد بإلقاء بعض الضوء على هذه القضية بالنسبة لي؟

هل كانت مفيدة؟

المحلول

1.0A يعالج هجوم محدد جدا موصوف هنا:

http://hueniverse.com/2009/04/ موضح - مهاجمة التثبيت /

نصائح أخرى

  1. ال oauth_callback المعلمة مطلوبة الآن في خطوة إنشاء رمز الطلب.ال oauth_callback_accepted أشارت معلمة الاستجابة إلى أنه يتم استخدام OAuth 1.0a.
  2. ال oauth_verifier يتم إنشاء المعلمة بواسطة مزود الخدمة أثناء مرحلة المصادقة/الموافقة.
  3. ال oauth_verifier يجب إرسالها في خطوة إنشاء رمز الوصول.

يرى http://wiki.oauth.net/w/page/12238555/Signed%20Callback%20URLs لمزيد من التفاصيل.

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top